В стремительно меняющемся современном мире измениться может даже то, что кажется незыблемым и неоспоримым. Вот, допустим, пароли. Все к ним привыкли настолько, что их необходимость даже как-то странно подвергать сомнению. И все же, попробуем.
Нужны ли сегодня обыкновенные многоразовые пароли?
Сеть переполнена рассуждениями об их несовершенстве, низком уровне защищенности — взламывают их все, кому не лень. Да и владельцы аккаунтов не всегда ответственно используют это средство: редко меняют пароли, хранят их в доступном для посторонних месте, выбирают короткие и легкие для угадывания комбинации.
А между тем, уже давно есть способы аутентификации, дающие гораздо большую уверенность в том, что вход в учетную запись осуществляет именно тот пользователь, которому она принадлежит.
Например, двухфакторная авторизация, использующая одноразовые пароли, успешно применяется на все большем количестве сайтов. Если говорить о ресурсах, которые производят обращение финансовых средств в интернете (онлайн-банки, платежные системы), то тут двухэтапная аутентификация клиента является неоспоримым стандартом.
Двухфакторная аутентификация работает на основе одновременной проверки двух составляющих, способных подтвердить легитимность пользователя: знания и владения.
Фактором знания выступает многоразовый пароль, который пользователь вводит при входе в учетную запись, или PIN-код токена, генерирующего временный пароль.
А вторым — фактором владения — чаще всего служит телефон, на который приходят SMS с одноразовыми паролями, либо ОТР токен. Сама же отправка на сервер временного пароля, полученного при помощи этих устройств, как раз и является подтверждением фактора обладания.
Практика показывает, что использование токена в качестве средства аутентификации пользователей обеспечивает более высокую степень защиты, чем привычные многим SMS.
В чем же преимущества токенов?
- Токен работает автономно, не используя открытых каналов связи и подключения к интернету.
- Для начала работы с ним, как правило, требуется указать PIN-код, что дополнительно предохраняет от несанкционированного доступа.
- Устройство генерирует пароли с использованием наиболее современных алгоритмов шифрования данных. Например, в токенах компании Протектимус, применяются три разных алгоритма генерации: TOTP, HOTP и OCRA.
- Для случаев, когда нужна особенно высокая степень защищенности, может применяться строгая аутентификация по системе “запрос-ответ”. В этом случае каждая из сторон аутентификационного обмена располагает заранее условленным секретным ключом. Во время проведения аутентификации его значения учитываются при создании временного пароля и его расшифровке.
Надежность проверки подлинности пользователя, которую обеспечивает двойная аутентификация, основана на том, что недостатки и уязвимости одного фактора могут быть компенсированы другим. Так, если злоумышленникам станет известен пароль или PIN-код, то доступу в аккаунт посторонних воспрепятствует незнание ими one time password. Если же в чужих руках окажется телефон или ОТР токен, то без введения PIN-кода для разблокирования устройства (либо обыкновенного пароля) легальность пользователя не сможет быть подтверждена.
Сохранятся ли в будущем многоразовые пароли? Ведь они, несмотря на все свое несовершенство, являются важнейшим элементом двухфакторной аутентификации. Не потеряет ли она всей своей мощи, если “отменить” пароли? Думается, без них вполне можно обойтись уже сейчас, не лишая при этом 2FA столь необходимого ей первого фактора — знания чего-либо. Ведь с функцией, выполняемой сегодня обычным паролем, легко может справиться PIN-код, которым оснащен практически любой современный токен. Такой подход позволит сохранить проверку по двум параметрам (знание PIN-кода и обладание токеном) и, одновременно, упростит прохождение процедуры для пользователя. Защита данных при этом нисколько не пострадает.
На памяти одного поколения ушли в прошлое кассетные магнитофоны, ламповые телевизоры и бумажные письма. Похоже, та же судьба скоро постигнет и привычный многоразовый пароль. Скажем ему “спасибо” и “прощай”.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!