Фото: Biljana Jovanovic/Pixabay
Google пытается решить проблему недостаточно надежной защиты данных, построенной на паролях.
За последние недели компания Google сделала несколько интересных анонсов, касающихся паролей и защиты данных. Некоторые из них – это попытка решения проблемы утечки паролей и недостаточной надежности самого их использования.
И хотя в компании еще несколько лет назад отказались от использования исключительно паролей и перевели весь персонал на использование аппаратных токенов (дополнительных защитных устройств), пользователям своих сервисов компания пока не предлагает полностью отказаться от парольной защиты. Более того, недавно в Google предложили закрыть дополнительными паролями некоторую приватную информацию.
Пароль плюс второй фактор: must have для всех
Хотя пароли являются основным способом защиты пользовательских данных и устройств, у их использования есть множество проблем. Пароли остаются слабым звеном во всей системе защиты данных и являются источником многих уязвимостей. По разным данным, более 80% утечек данных и взломов происходит по причине слабых или скомпрометированных паролей.
Ежегодно публикуемая статистика наиболее популярных паролей практически не меняется из года в год. В нее регулярно входят такие банальные пароли, как «123456», «password», «111111», «qwerty» и другие весьма узнаваемые, а значит, и легко взламываемые фразы. Например, пароль «123456» все еще используют 23 млн владельцев онлайн-аккаунтов.
Одним из способов усилить защиту данных и аккаунтов является двухфакторная авторизация – когда, кроме пароля, сервис будет запрашивать что-то еще, еще один фактор авторизации, будь то код из SMS либо специального приложения (например, Google Authenticator). Вторым фактором авторизации может стать подключение дополнительного устройства.
В начале мая компания Google сообщила, что планирует сделать двухфакторную авторизацию опцией по умолчанию для пользовательских аккаунтов. Это решение весьма знаменательно для всего IТ-рынка.
На самом деле, двухфакторная авторизация давно была доступна владельцам Google-аккаунтов и ее традиционно рекомендовали использовать для усиления защиты данных. Но она не была обязательной. Теперь при регистрации нового Google-аккаунта двухфакторная авторизация будет предлагаться всем пользователям автоматически в качестве стандартного выбора «по умолчанию». Теоретически, от нее можно отказаться и сохранить использование только одного лишь пароля, но этот выбор естественным образом понизит уровень защиты аккаунта пользователя.
Хотя двухфакторная авторизация используется многими онлайн-платформами и компаниями, далеко не все из них настаивают на ее пользовании. Причин для этого множество – пользователи обычно не хотят усложнения любых взаимодействий с онлайн-сервисами и требование двухфакторной авторизации может их просто отпугнуть.
Кроме того, пользователи могут быть не особенно компетентны в настройке таких опций и при таких требованиях могут просто отказаться от использования сервиса. Поэтому шаг Google по установке этого способа в качестве выбора по умолчанию – это очень серьезное изменение парадигмы защиты пользовательских данных и способ подтолкнуть и потребителей, и рынок в целом к использованию двухфакторной авторизации как базового отраслевого стандарта.
Можно предположить, что в Google осознали, что проблему неуникальных слабых паролей и защиты аккаунтов по-другому решить невозможно, кроме как усилением самой концепции защиты пользовательских данных.
Борьба с утечкой и дополнительные пароли
Еще один важный анонс, касающийся паролей, компания Google сделала на недавней конференции Google I/O. Не секрет, что часто пароли попадают в утечки данных, то есть становятся известными либо злоумышленникам-организаторам такой утечки, либо всем желающим – если база украденных паролей была опубликована в свободном доступе.
Эта ситуация особенно опасна еще и тем, что часто один и тот же пароль используется на разных сайтах. А это значит, что утечка пароля, доступная к одному ресурсу, ставит под угрозу взлом сразу нескольких.
Браузер Google Chrome уже давно умеет анализировать базы утекших паролей и предупреждать пользователей в случае, если они стали жертвами такой угрозы. Однако не секрет, что пользователи часто не реагируют на такие предупреждения и не меняют ставшие известными пароли.
Браузер Chrome получил важное обновление – теперь он будет предлагать изменить пароль, попавший в утечку данных. Для этого Google запустила специальную функцию под названием Duplex, благодаря которой можно будет буквально в один клик перейти на нужный сайт и сменить пароль.
Еще один анонс, касающийся паролей, компания Google представила уже в конце мая. Теперь пользователи могут защитить страницу Web and Activity со своими действиями в Google с помощью дополнительного пароля. На этой странице собраны данные о геолокации посещаемых человеком мест, об истории веб-поиска, запросах и истории просмотров в YouTube. В Google сочли эту информацию очень важной и такой, которая требует повышенного уровня защиты и дополнительного пароля.
Passwordless, или Возможен ли мир без паролей?
Новые парольные инициативы Google весьма важны для рынка. Двухфакторная авторизация по умолчанию – это то, чего никто раньше не делал, поэтому можно предположить, что в Google оценили риски неуникальных паролей и других способов борьбы с их утечкой и решили буквально взять инициативу в свои руки и защищать пользователей насильно.
Примечательно, что озвучивая свою идею в блоге, компания Google назвала шагом к будущему, в котором не будут использоваться пароли, озаглавив запись «Более простое и безопасное будущее – без паролей».
Давняя уверенность в том, что защита, построенная на паролях, далеко не идеальна, стала основой для поиска парольных альтернатив. А предложенная компанией Google двухфакторная авторизация – только одна из таких альтернатив. На данный момент наиболее известной заменой паролей является биометрическая идентификация – Face ID, или дактилоскопические сканеры, которые активно используются во многих современных смартфонах. Этот же способ идентификации используют и многие современные платежные сервисы.
Есть успешные попытки заменить пароли распознаванием голоса – такие технологии разрабатывает компания Nuance Communication и голландский банк ING. Еще одной революционной технологией идентификации называют поведенческую аналитику или поведенческую биометрическую аутентификацию для идентификации пользователей на основе поведения. Эта система определения пользователя строит цифровой профиль человека на основе анализа целого ряда параметров, в том числе данных о его поведении. Среди них — угол наклона смартфона, способ нажатия клавиши, скорость и шаблоны прокрутки и многое другое.
Существуют и другие подходы к «узнаванию» пользователя, например, анализ контекстных сигналов – использования известного устройства в стандартном месте и по стандартным шаблонам. Например, сервис онлайн-банкинга будет запрашивать у вас только пароль, если вы зашли в систему через привычный браузер. А если ваш IP-адрес или устройство отличаются от привычных, банк попробует отправить вам второй фактор – звонок или SMS для подтверждения своего клиента.
Аппаратный токен
Идея Google улучшить защиту данных с помощью двухфакторной авторизации является серьезным шагом вперед, однако использование SMS в качестве второго фактора авторизации – весьма ненадежно и даже опасно. Дело в том, что есть достаточно большая вероятность перехвата SMS, использующихся для авторизации, кроме того, существуют приложения для взлома SIM-карты с последующим перехватом SMS.
Поэтому для обеспечения лучшей защиты стоит использовать аппаратный ключ (токен) в качестве второго фактора. Еще несколько лет назад компания Google перевела всех своих сотрудников на такой способ защиты аккаунтов и за это время ни один из них не стал жертвой взлома.
Авторизацию с помощью аппаратных ключей поддерживают и сервисы Google, и другие онлайн-сервисы, в частности, Facebook, Twitter, Instagram. Аппаратный ключ представляет собой небольшое устройство производства, например, фирмы Yubiko. Компания Google предлагает и свои аппаратные ключи Google Titan.
При их использовании вначале нужно в настройках аккаунта указать использование ключа как второго фактора авторизации. А потом после ввода логина и пароля нужно просто вставить ключ в USB-разъем или расположить рядом с устройством (если ключ поддерживает беспроводное соединение, например, WiFi или NFS).
Светлое (без)парольное? будущее
Изменения, анонсированные Google, и принудительное использование двухфакторной авторизации для пользователей – это серьезный сдвиг парадигмы. В компании четко поняли, что оставлять защиту данных «на растерзание» самих пользователей бесполезно, ибо те, осознавая все угрозы, будут заинтересованы в том, чтобы все взаимодействия с онлайн-аккаунтами у них происходили как можно проще и с минимальным количеством шагов.
Рассчитывать на сознательность, понимание рисков и знание основ кибербезопасности не приходится, и только вот такие принудительные меры могут хоть как-то усилить защиту данных.
В то же время активные разработки направления Passwordless не исключают изменения самой парадигмы защиты пользовательских данных, и полный отказ от паролей нельзя считать фантастикой. А вот что именно придет на смену комбинации логин (емейл) – пароль – пока прогнозировать сложно.