Начало конца паролей

Великое вымирание паролей уже началось

Представьте себе мир без паролей.

Вы по-прежнему можете входить во все свои онлайн-аккаунты в этом новом мире без паролей. От сайтов WordPress до вашего банка — проще и безопаснее, чем когда-либо, создавать и получать доступ к онлайн-аккаунтам — без паролей.

Разве это не было бы облегчением? Хорошие новости: глобальное исчезновение паролей уже происходит, и жизнь по ту сторону от него стала лучше.

В конце 2022 года Apple представила поддержку ключей доступа для iOS 16 и MacOS 13 «Ventura».

Вчера Google объявил, что «развертывает поддержку ключей доступа в учетных записях Google на всех основных платформах».

В iThemes мы очень гордимся тем, что наш продукт Security Pro был первым, кто внедрил ключи доступа и другие методы аутентификации без пароля в WordPress.

Как возможна жизнь без пароля?

Примерно через месяц после того, как я начал использовать Apple Watch, они начали автоматически разблокироваться и входить в мои настольные и портативные компьютеры, на которых установлена ​​текущая версия MacOS. Я не помню, чтобы делал что-то большее, чем включение поддержки пароля MacOS, чтобы использовать его с моими учетными записями Google и iThemes Security. По-видимому, это также позволило моим часам стать доверенным устройством доступа.

Раньше биометрический логин Apple Touch был самым доступным вариантом пароля, который у меня был. Теперь это мои часы. Иногда, если я отсутствовал достаточно долго, мне все еще нужно ввести свой пароль, но мои часы делают это намного реже благодаря общему ключу доступа, связанному с моим Apple ID и всеми моими устройствами Apple.

Аппаратные ключи, такие как YubiKey, обеспечат вам такую ​​же возможность входа в систему без пароля — устройства Apple не нужны.

Устройства Windows и Android поддерживают вход без пароля, в том числе благодаря паролям.

Что такое пароли?

Вы можете поблагодарить открытый исходный код за пароли. Технология Passkey основана на открытых стандартах, установленных Альянсом FIDO («Fast Identity Online»). WebAuthn API, разработанный W3C, является частью стандарта FIDO2. Именно WebAuthn позволяет ключам доступа быстро и легко выполнять межплатформенную аутентификацию без пароля.

Ключи доступа — это уникальные зашифрованные цифровые идентификаторы, генерируемые устройством аутентификации, таким как ваш смартфон. Криптография с открытым ключом используется для создания пары открытого и закрытого ключей. Вместе эта пара ключей образует ваш пароль на аутентифицирующем устройстве. Каждое из ваших устройств может иметь уникальный закрытый ключ, но ваш открытый ключ доступен через Интернет. Вероятно, вы никогда не увидите ни того, ни другого. Никто не будет.

Ваш телефон или другое устройство, поддерживающее пароль, подтверждает, что вы являетесь авторизованным пользователем, когда вы вводите пароль, PIN-код или проходите биометрическую проверку. Как только вы это сделаете, ваш телефон и его пароль станут ключом к дополнительным устройствам и приложениям. Вместо того, чтобы снова вводить пароль на своем ноутбуке и снова, чтобы войти в WordPress, ваш телефон говорит вашему компьютеру разрешить вам вход. Затем его операционная система говорит вашему браузеру попросить WordPress разрешить вам вход — и все это без пароля.

Если ваши устройства и веб-сайты настроены на пароли, это очень удобно. Возможно, вам потребуется указать PIN-код или пройти быструю биометрическую проверку, но это намного проще, чем заполнять три разные формы входа без повторного использования ваших паролей или использования слабых. И если вы ненавидите двухфакторную аутентификацию (2FA), вам больше не нужно ее использовать. ¹

Почему пароли заменят пароли

Первоначально ключи доступа появляются как вариант аутентификации наряду с паролями и 2FA. Вы можете использовать любой из них. Но со временем мало кто захочет хранить ненадежные пароли или иметь дело с трудоемкими кодами 2FA. Коды доступа быстро станут предпочтительным вариантом по следующим причинам:

1. Повышенная безопасность. Одной из основных причин, по которой ключи доступа заменят пароли, является повышенная безопасность, которую они обеспечивают. Многие утечки данных происходят из-за слабых или украденных паролей, что подчеркивает уязвимость традиционной аутентификации на основе пароля. Криптографию с открытым ключом, стоящую за ключами доступа, взломать значительно сложнее.

2. Улучшенный пользовательский опыт. Запоминание многих сложных паролей для ваших онлайн-аккаунтов может быть трудным и часто приводит к неправильному использованию паролей. Ключи доступа упрощают процесс аутентификации. Вам нужно только устройство, на котором хранится ваш пароль, для доступа к любой учетной записи, поддерживающей аутентификацию по паролю. Этот удобный пользовательский интерфейс способствует принятию паролей в качестве безопасного метода аутентификации.

3. Менеджеры паролей Необязательно. Ключи доступа могут уменьшить, если не устранить, потребность в традиционных менеджерах паролей. Хотя менеджеры паролей предлагают альтернативу хранению нескольких паролей, они также создают дополнительные риски. Эти хранилища паролей могут стать единой точкой отказа. Как мы видели на примере LastPass, взломанная платформа управления паролями может раскрыть все свои учетные записи клиентов, пароли и личную информацию.

Беспарольное будущее: как оно будет выглядеть

Затмение паролей ключами доступа имеет три больших преимущества, но их общая черта заключается в том, что ключи доступа обеспечивают как безопасность, так и простоту.

Плюсы

1. Бесшовная аутентификация. По мере того, как ключи доступа становятся все более распространенными, процесс аутентификации и доступа к онлайн-сервисам будет становиться все более плавным. Пользователи смогут входить в свои учетные записи, просто используя свои устройства для хранения паролей или методы биометрической идентификации, такие как отпечаток пальца или распознавание лица.

2. Многофакторная аутентификация стала проще. Ключи доступа по своей сути поддерживают многофакторную аутентификацию (MFA), объединяя то, что известно пользователю (ключ доступа), с тем, что у него есть (устройство, хранящее ключ доступа). Эта бесшовная интеграция MFA в процесс аутентификации приведет к созданию более безопасной онлайн-среды без ущерба для удобства пользователей.

3. Сокращение утечек данных. По мере того, как ключи доступа становятся новым стандартом аутентификации, количество утечек данных из-за ненадежных или украденных паролей, вероятно, снизится. Повышенная безопасность, обеспечиваемая ключами доступа, усложнит киберпреступникам взлом учетных записей пользователей, что приведет к более безопасному цифровому ландшафту.

До сих пор безопасная аутентификация редко сопровождалась хорошим пользовательским интерфейсом. Ключи доступа являются большим исключением. Это прекрасно, но всегда есть недостатки.

Недостатки

1. Изощренный фишинг и взлом социальных сетей. Парольные ключи практически невозможно украсть и взломать, но преступники никогда не сдаются, когда повышается уровень безопасности — они адаптируются к новым инструментам и находят незаслуженно забытые слабые места, чтобы использовать их. Сегодня инструменты искусственного интеллекта позволяют любому свободно говорить на любом языке, что является огромным преимуществом для тех, кто хочет обманом заставить других доверять им. Крупные нарушения паролей могут уйти в прошлое, но фишинг и взлом социальных сетей могут стать более изощренными и распространенными.

2. Физическая безопасность и конфиденциальность. Мои устройства Apple не могут сказать, что это не я, когда моя дочь-левша носит мои часы на своем меньшем запястье противоположной руки. Все, что ей нужно, это мои часы и 4-значный PIN-код для входа в мой компьютер. ² Это мог сделать вор — и полиция тоже. ³ По мере того, как наши отношения с нашими устройствами становятся все более физически запутанными, возникает много сложных вопросов о личной жизни. ⁴ Анонимность в сети, которая уже пришла в упадок, может исчезнуть.

3. Люди тоже будут делиться паролями. Менеджеры паролей широко используются для обмена паролями, что, однако, является ужасной практикой безопасности. Общий пароль в конечном итоге станет украденным паролем. К счастью, вы вряд ли когда-либо увидите, не говоря уже о том, чтобы запомнить, записать или отправить по электронной почте пароль коллеге или другу. Однако теперь вы можете использовать некоторые менеджеры паролей для хранения паролей и даже обмена ими. Есть безопасные способы сделать это, но я сомневаюсь, насколько хорошо это сработает на практике. Как бы вы это ни делали, делиться секретами по своей сути небезопасно. (Общий секрет больше не является секретом.) Обмен конфиденциальными данными или информацией в значительной степени зависит от доверия между людьми, а это всегда слабая связь — см. пункты № 1 и № 2 выше.

Мышление о безопасности против «не заставляй меня думать»

Какие бы проблемы ни ждали нас в будущем без паролей, мы к этому идем. Пароли взломаны — это ужасный метод аутентификации, и их нужно уничтожить — чем раньше, тем лучше. Использование беспарольной аутентификации улучшит наш опыт работы в Интернете и поможет защитить нашу цифровую жизнь. Отсутствие необходимости беспокоиться о безопасности паролей и управлении ими — огромное облегчение.

С другой стороны, «Не заставляйте меня думать» — отличная цель для пользовательского опыта и дизайна интерфейса, но может стать катастрофой для безопасности. Простота дизайна повышает эффективность пользователей и снижает их когнитивную нагрузку. Ключи доступа обеспечивают эту простоту исключительно хорошо. Но они не должны делать нас более самодовольными в отношении потенциальных угроз безопасности в мире постоянно меняющихся угроз.

Благодаря паролям и их принятию на всех основных платформах будущее Интернета будет более безопасным и удобным для пользователя при доступе к онлайн-сервисам. Дни борьбы за запоминание сложных паролей (и их совместное использование или повторное использование) скоро уйдут в прошлое, и это определенно улучшение.

Пришло время повысить и наши базовые стандарты безопасности. Ключи доступа сделают это, и я ожидаю, что это поможет сделать киберпреступность, мошенничество и кражу личных данных более трудными и редкими. Начните использовать их прямо сейчас, а если у вас есть сайты на WordPress, подумайте о том, чтобы использовать ключи доступа для входа в них. Продолжайте думать и о безопасности. Спросите, что означает безопасность и как могут измениться угрозы в новом контексте мира без паролей.

Примечания:

1. Такие отчеты, как «Я заблокировал себя от своей цифровой жизни» и «Gmail 2FA приводит к тому, что бездомные навсегда теряют доступ три раза в год», показывают недостатки двухфакторной аутентификации.
2. Apple Watch не могут быть лучшим ключом безопасности без биометрической аутентификации, такой как Touch ID. Основываясь на некоторых недавних патентах Apple, возможно, в разработке находится версия Touch ID для карманных компьютеров.
3. Фонд Electronic Frontier Foundation выразил обеспокоенность возможными нарушениями гражданских прав, если правоохранительные органы будут использовать ключ доступа к одному устройству для поиска на многих других устройствах и учетных записях в Интернете.
4. Идентификация уникальных биометрических подписей из биологических данных, собранных часами и подобными устройствами, также может быть возможна, поскольку они могут обнаруживать раннее начало таких заболеваний, как COVID.

Дэн Кнаусс

Дэн Кнаусс — специалист по техническому содержанию StellarWP. Он был писателем, учителем и фрилансером, работающим с открытым исходным кодом с конца 1990-х годов и с WordPress с 2004 года.