Справа в тому, що проблема не стільки в самих паролі, скільки в людях, їх використовують. Звичайна людина просто не в змозі пам'ятати багато довгих і стійких до злому комбінацій. Іншими словами, розроблені правила для створення паролів - мінімальна довжина, використання спецсимволов, різні регістри і т.д. - і ефективні і приносять користі одночасно. Вони ефективні з точки зору чистої теорії (чим довше і «хитромудрі» комбінація, тим вона більш стійка до злому), але не приносять користі з позиції зручності використання.
Спільнота небайдужих
FIDO Alliance (Fast Identity Online Alliance) - це спільнота технологічних компаній, які займаються пошуком надійного стандарту аутентифікації користувача, щоб замінити звичні паролі. Альянс розраховує, що стандарт дозволить людям і організаціям використовувати той спосіб аутентифікації, який здасться кращим саме для них.
Визначною подією в діяльності альянсу стало вступ в нього Google. Справа в тому, що компанія вже досить давно вела власні розробки щодо посилення захисту користувачів. Результати роботи знайомі практично кожному користувачеві сервісів «корпорації добра». Це одноразові паролі через SMS, OTP-токени (окремі фізичні пристрої, на які посилаються одноразові паролі), або програмний генератор одноразових паролів «Google Authenticator». Але, незважаючи на різноманітність застосовуваних рішень, Google до сих пір продовжує активно шукати нові, що свідчить про недосконалість існуючих.
Навіщо це Google
Для відповіді на це питання потрібно трохи технічних подробиць. Первісна ідея передбачала розробку універсальної системи аутентифікації користувачів, де замість пароля використовувався б програмно-апаратний комплекс. Наприклад, гібридна система з USB-токеном і розпізнаванням голосу або NFC-чіп і одноразовий пароль. Згодом ідея трансформувалася і зараз основною робочою завданням FIDO Alliance є створення плагіна для браузерів, який був би завжди на зв'язку з сервісом контролю даних, забезпечуючи строгу аутентифікацію користувача.
Схема суворої аутентифікації із застосуванням плагіна для браузерів FIDO
Сувора аутентифікація вУкаіни
Проте, не все так погано, як може здатися на перший погляд. Рішення по суворої аутентифікації на веб-ресурсах вУкаіни існують, але використовуються вони поки тільки в тих сферах, де без них не обійтися. Наприклад, в банківській сфері і в сфері держпослуг. Як приклад доречно буде розглянути проект Рутокен Web. розробляється вже згаданою компанією «Актив» - тим самим єдиним українським учасником FIDO. Основне завдання проекту Рутокен Web - заміна небезпечною аутентифікації по зв'язці «логін-пароль» на двухфакторную апаратну аутентифікацію. В якості першого чинника аутентифікації пропонується наявність у користувача USB-токена, а другого - знання унікального PIN-коду до нього. Як і в ідеї FIDO Alliance, принцип роботи передбачає використання трьох компонентів: апаратного пристрою, що має можливість здійснення електронного підпису, плагіна для браузера, який здійснює зв'язок між USB-токеном і браузером, і серверної частини, в якій реалізується перевірка електронного підпису на сервері.
Однак вУкаіни існують власні криптографічні стандарти. Як заявлено в прес-релізі компанії «Актив», беручи участь в роботі FIDO, компанія прагне закласти в архітектуру розроблюваного протоколу можливість використання національних криптографічних стандартів і алгоритмів. Такий підхід може виявитися цікавий не тільки українським користувачам, але і користувачам в інших країнах, що мають власні вимоги до застосування криптографії. Така можливість модифікації протоколу в майбутньому дозволить безболісно переходити на нові більш безпечні алгоритми без заміни архітектури системи.
А де ж Microsoft, Amazon і Apple?
Примітно, що в альянс FIDO до сих пір не входять Microsoft, Amazon і Apple. Вони, як і інші великі сервіси, використовують двухфакторную аутентифікацію з SMS і одноразовими паролями. Якщо ймовірність вступу перших двох компаній в альянс існує, то по частині Apple є великі сумніви.
З огляду на тактику Apple «спочатку патентуємо, потім думаємо», багато хто сприйняв цю новину скептично. Проте, восени компанія анонсувала появу нового пристрою з вбудованим сканером відбитків пальців. Очікується, що сканер буде вбудований в екран пристрою. Зав'язка на власні пристрої в побудові схеми суворої аутентифікації виглядає логічною для виробника устаткування. Особливо такого закритого і безкомпромісного як корпорація Apple, яка ніколи не прагнула до підтримки загальновизнаних стандартів.
Шкурка вичинки варта
Клієнти і партнери
- Анкад
- МінздравУкаіни
- КРИПТО-ПРО
- СКБ Контур
- ЦентрІнформ
- ННЦ
- Код безпеки
- Код безпеки
- сигнал КОМ
- ІнфотекС
- Альфа Директ
- Електронна Київ
- Digital Design
- тензор
- депо
- Зв'язковий
- банк Нордеа
- БелІнфоНалог
- Татарстан