Пароли — более безопасная и простая в использовании альтернатива паролям

«Я забыл свой пароль , мне нужна помощь, я не помню свой пароль, сбросьте пароль». Мы все сталкивались с ситуацией, когда пытались получить доступ к своей электронной почте, социальным сетям или банку. Хотя общая рекомендация — использовать менеджер паролей (он генерирует ключи и надежно их хранит), среднестатистический пользователь живет в замкнутом круге создания небезопасных паролей и их почти периодической смены. Для всего этого есть превосходное решение: «ключи доступа» или « пароли ».

Пароль — это цифровое удостоверение для аутентификации на веб-сайте или в приложении без использования паролей . Вместо того чтобы запоминать сложные пароли, пользователь просто использует биометрический метод (например, распознавание отпечатков пальцев или лиц) или локальный PIN-код на своем устройстве.

Например, если пользователь хочет войти в свою учетную запись Google через браузер, он может использовать отпечаток пальца на своем телефоне для подтверждения личности, без необходимости вводить пароль. Это не только удобнее, но и снижает риск взлома вследствие кражи ключей.

Ранее в этом месяце компания Microsoft объявила, что все новые учетные записи, создаваемые пользователями (будь то Outlook, Office или любая другая служба, требующая входа в систему), будут по умолчанию использовать пароли . Этот шаг уже реализуют другие игроки, такие как Google и Apple .

Вот что они собой представляют, как работают , почему они полезны и как их активировать в сервисе.

Аутентификация — это процесс проверки того, что пользователь является тем, за кого он себя выдает: например, когда мы вводим свое имя пользователя и пароль в электронном письме, система воспринимает эту информацию как подтверждение того, что наша личность аутентифицирована, и предоставляет нам доступ для чтения электронных писем.

Хотя эта идея кажется простой, на практике она гораздо сложнее, поскольку кража аккаунтов происходит постоянно. По данным FortiGuard Labs (Fortinet), в 2024 году на форумах даркнета было обнаружено 1,7 миллиарда украденных комбинаций имен пользователей и паролей . Более того, другое исследование показало, что 59% проанализированных паролей можно взломать менее чем за час. Все это подвергает пользователя постоянному риску так называемого захвата учетной записи .

«С практической точки зрения физические ключи или пароли более безопасны и практичны, чем пароль. Утверждение «более безопасно» является спорным, поскольку оно всегда зависит от контекста пользователя, но, обобщая, можно сказать, что оно верно», — сказал Иван Баррера Оро, «HacKan», разработчик программного обеспечения, специализирующийся на кибербезопасности, изданию Clarín.

По всем этим причинам Microsoft внедрила это изменение в пароли, которое задает тон для всей отрасли. «Это изменение не единично: Microsoft и другие организации подписали « Passkey Pledge », глобальное обязательство по внедрению паролей в течение следующего года. Идея состоит в том, чтобы двигаться в сторону более безопасного, простого и беспроблемного процесса аутентификации, соответствующего отраслевым стандартам и принципам безопасности по умолчанию», — сказал Марсело Фельман, директор по кибербезопасности Microsoft в Латинской Америке, Clarín.

Проблема часто заключается в том, что сервисы, которыми мы пользуемся, не предоставляют нам возможности выбора способа входа в систему. Но крупные игроки, Microsoft, Apple, Google, Amazon и Meta, уже это делают.

«Ключ доступа — это более безопасный и простой способ подтвердить, что это вы, когда вы входите в приложение или на сайт. Раньше, чтобы получить доступ к учетной записи, вам нужно было запомнить и ввести пароль, который, как предполагалось, знали только вы. Проблема в том, что если кто-то другой получит эту информацию, он сможет выдать себя за вас. Ключи доступа меняют это: они по-прежнему являются «секретом», но вам не нужно их запоминать. Они защищены системой безопасности вашего устройства и связаны с чем-то, что есть только у вас, например, с вашим отпечатком пальца, вашим лицом или PIN-кодом, который вы используете для разблокировки телефона», — продолжает Фелман.

«Например, вместо того, чтобы вводить пароль в банковское приложение, вы просто используете свое лицо для входа в систему, как при разблокировке телефона. Таким образом, никто не сможет украсть ваш пароль, потому что нет написанного пароля, который они могли бы угадать или выдать. Это современный, более безопасный и более удобный способ входа в систему», — объясняет он.

В этом смысле, а также всегда помня, что безопасность — это понятие относительное, а не абсолютное, пароли считаются наиболее безопасными в отрасли. «Их нельзя украсть или угадать, как пароль. Если кто-то узнает ваш пароль, он сможет получить доступ к вашим аккаунтам, как если бы это были вы. С другой стороны, пароли защищены чем-то, что нельзя легко скопировать или подделать, например, вашим отпечатком пальца, вашим лицом или PIN-кодом, который вы используете для разблокировки устройства. Никто не может выдать себя за вас, если у него нет физического доступа к вашему устройству и вашему уникальному способу его разблокировки. С паролями любой, кто знает ваш «секрет», может выдать себя за вас. С паролями только вы можете получить к ним доступ, потому что они привязаны к тому, кто вы есть, и к устройству, которое вы используете», — добавляет он.

В современных условиях трудно поверить, что пароли исчезнут в одночасье. «В настоящее время наиболее распространенным подходом является использование имени пользователя и пароля с дополнительным фактором или без него, за которым следует вход через социальные сети [например, вход с использованием учетных данных Google]. Пароли постепенно набирают популярность. Некоторые сервисы предлагают однофакторный вход, отправляя уникальную и эксклюзивную ссылку по электронной почте, что является хорошей альтернативой паролям. Другие сервисы, такие как Uber, допускают вход без пароля с помощью SMS. В обоих случаях мы говорим об одном факторе, учитывая, что отрасль ищет способы замены паролей », — говорит HackAn.

Обычно лучше воспользоваться этим методом и начать отказываться от паролей. «Обычно сервисы не позволяют вам выбирать, как входить в систему, но если вы можете, использование уникальной и эксклюзивной ссылки по электронной почте + физический ключ или другой второй фактор, отличный от пароля, очень практично и очень безопасно. Пароли уязвимы для фишинга. Недавно было доказано, что пароли также уязвимы, но в меньшей степени. Были даже уязвимости, которые делали возможным фишинг физических ключей, но, к счастью, это редкие случаи», — добавляет HackAn.

« Физические ключи » часто используются в качестве второго фактора аутентификации при доступе к личному аккаунту, обеспечивая дополнительный уровень безопасности.

Таким образом, происходит переход технологической отрасли на пароли. « Переход от паролей к паролям будет постепенным, но устойчивым. Microsoft уже объявила, что все новые учетные записи по умолчанию будут без паролей, используя пароли в качестве метода аутентификации по умолчанию. То есть людям, которые создают новую учетную запись, больше не нужно будет устанавливать пароль: они могут войти в систему с помощью распознавания лиц, отпечатка пальца или безопасного PIN-кода, в зависимости от устройства. Для тех, у кого уже есть учетная запись, возможность перейти на пароли уже доступна. Это будет рекомендуемый метод аутентификации , но те, кто предпочитает продолжать использовать пароли, могут сделать это сейчас», — говорит Фелман.

Однако у HackAn есть некоторые оговорки: «Я думаю, что это хорошая идея, хотя, возможно, немного поспешная. Пароли — это хорошая идея как концепция, а пароли всегда неудобны, поэтому этот подход может быть хорошим. Однако неверно, что пароли неуязвимы, и они могут даже не работать на многих устройствах. У меня возникли проблемы с тем, чтобы заставить их работать на моем ноутбуке, например, поэтому я надеюсь, что они разработают надлежащую реализацию, которая позволит использовать другие методы доступа в случае, если пароль не сработает или будет недоступен на рассматриваемом устройстве. Позитивно двигаться в направлении, которое позволит нам отодвинуть пароли на второй план», — полагает он.

Фелман согласен в одном: волшебного средства не существует. «Ни одно технологическое изменение не обходится без проблем. Вот почему сегодня, как никогда ранее, культура кибербезопасности и цифровая устойчивость стали стратегическим приоритетом. В повседневной жизни это отражается в таких простых вещах, как поддержание программного обеспечения в актуальном состоянии, выбор безопасных методов аутентификации и, прежде всего, обучение. Потому что речь идет не только о внедрении новых инструментов, но и о поддержке их с помощью образования, осведомленности и безопасных привычек. Только так мы сможем построить более безопасную цифровую среду для всех», — заключает он.

Хотя у каждой службы свой подход, механика в целом схожа и ее можно найти в настройках учетной записи на вкладке «Безопасность». Вот пример от Microsoft:

После создания рекомендуется проверить правильность его работы, чтобы избежать сюрпризов.