Google намагається вирішити проблему недостатньо надійного захисту даних, побудованого на паролі.
За останні тижні компанія Google зробила кілька цікавих анонсів, що стосуються паролів і захисту даних. Деякі з них — це спроба вирішення проблеми витоку паролів і недостатньої надійності самого їхнього використання.
І хоча в компанії ще кілька років тому відмовилися від використання виключно паролів і перевели весь персонал на використання апаратних токенів (додаткових захисних пристроїв), користувачам своїх сервісів компанія поки що не пропонує повністю відмовитися від парольного захисту. Крім того, недавно в Google запропонували закрити додатковими паролями деяку приватну інформацію.
Пароль плюс другий фактор: must have для всіх
Хоча паролі є основним способом захисту даних і пристроїв, у їхньому використанні є безліч проблем. Паролі залишаються слабкою ланкою в усій системі захисту даних і є джерелом багатьох вразливостей. За різними даними, понад 80% витоків даних і зломів відбувається через слабкі або скомпрометовані паролі.
Щорічно публікується статистика найпопулярніших паролів, і вона практично не змінюється з року в рік. У неї регулярно входять такі банальні паролі, як «123456», «password», «111111», «qwerty» та інші вельми впізнавані, а значить, і легко зламувані фрази. Наприклад, пароль «123456» все ще використовують 23 млн власників онлайн-акаунтів.
Одним із способів посилити захист даних і акаунтів є двофакторна авторизація — коли, крім пароля, сервіс запитуватиме щось ще, ще один фактор авторизації, чи то код із SMS чи спеціального застосунку (наприклад, Google Authenticator). Другим фактором авторизації може стати підключення додаткового пристрою.
На початку травня компанія Google повідомила, що планує зробити двофакторну авторизацію опцією за замовчуванням для користувача акаунтів. Це рішення дуже знаменно для всього ІТ-ринку.
Насправді, двофакторна авторизація давно була доступна власникам Google-акаунтів і її традиційно рекомендували використовувати для посилення захисту даних. Але вона не була обов'язковою. Тепер при реєстрації нового Google-акаунта двофакторна авторизація пропонуватиметься всім користувачам автоматично в якості стандартного вибору «за замовчуванням». Теоретично, від неї можна відмовитися та зберегти використання тільки одного лише пароля, але цей вибір природним чином знизить рівень захисту облікового запису користувача.
Хоча двофакторна авторизація використовується багатьма онлайн-платформами та компаніями, далеко не всі з них наполягають на її використанні. Причин для цього безліч — користувачі зазвичай не хочуть ускладнення будь-яких взаємодій з онлайн-сервісами та вимога двофакторної авторизації може їх просто відлякати.
Крім того, користувачі можуть бути не дуже компетентними в налаштуванні таких опцій і за таких вимог можуть просто відмовитися від використання сервісу. Тому крок Google з установки цього способу в якості вибору за замовчуванням — це дуже серйозна зміна парадигми захисту призначених для користувача даних і спосіб підштовхнути як споживачів, так і ринок загалом до використання двофакторної авторизації як базового галузевого стандарту.
Можна припустити, що в Google усвідомили, що проблему неунікальних слабких паролів і захисту акаунтів інакше вирішити неможливо, окрім як посиленням самої концепції захисту призначених для користувача даних.
Боротьба з витоком і додаткові паролі
Ще один важливий анонс, що стосується паролів, компанія Google зробила на недавній конференції Google I/O. Не секрет, що часто паролі потрапляють до витоку даних, тобто стають відомими або зловмисникам-організаторам такого витоку, або всім охочим — якщо база вкрадених паролів була опублікована у вільному доступі.
Ця ситуація особливо небезпечна ще й тим, що часто один і той же пароль використовується на різних сайтах. А це означає, що витік пароля доступу до одного ресурсу ставить під загрозу злом відразу декількох.
Браузер Google Chrome вже давно вміє аналізувати бази витіклих паролів і попереджати користувачів у разі, якщо вони стали жертвами такої загрози. Однак не секрет, що користувачі часто не реагують на такі попередження та не змінюють паролі, що стали відомими.
Браузер Chrome отримав важливе оновлення — тепер він пропонуватиме змінити пароль, який потрапив до витоку даних. Для цього Google запустила спеціальну функцію під назвою Duplex, завдяки якій можна буде буквально в один клік перейти на потрібний сайт і змінити пароль.
Ще один анонс, що стосується паролів, компанія Google представила вже наприкінці травня. Тепер користувачі можуть захистити сторінку Web and Activity зі своїми діями в Google за допомогою додаткового пароля. На цій сторінці зібрані дані про геолокації відвідуваних людиною місць, про історію вебпошуку, запити та історії переглядів у YouTube. В Google визнали цю інформацію дуже важливою та такою, що вимагає підвищеного рівня захисту та додаткового пароля.
Passwordless, або Чи можливий світ без паролів?
Нові парольні ініціативи Google вельми важливі для ринку. Двофакторна авторизація за замовчуванням — це те, чого ніхто раніше не робив, тому можна припустити, що в Google оцінили ризики неунікальних паролів та інших способів боротьби з їхнім витоком і вирішили буквально взяти ініціативу в свої руки та захищати користувачів примусово.
Примітно, що озвучуючи свою ідею в блозі, компанія Google назвала кроком до майбутнього, в якому не використовуватимуться паролі, назвавши запис «Більш просте та безпечне майбутнє — без паролів».
Давня впевненість у тому, що захист, побудований на паролі, далеко не ідеальний, стала основою для пошуку парольних альтернатив. А запропонована компанією Google двофакторна авторизація — тільки одна з таких альтернатив. Наразі найвідомішою заміною паролів є біометрична ідентифікація — Face ID або дактилоскопічні сканери, що активно використовуються в багатьох сучасних смартфонах. Цей же спосіб ідентифікації використовують і багато сучасних платіжних сервісів.
Є успішні спроби замінити паролі розпізнаванням голосу — такі технології розробляє компанія Nuance Communication і голландський банк ING. Ще однією революційною технологією ідентифікації називають поведінкову аналітику або поведінкову біометричну аутентифікацію для ідентифікації користувачів на основі поведінки. Ця система визначення користувача будує цифровий профіль людини на основі аналізу цілої низки параметрів, зокрема й даних про її поведінку. Серед них — кут нахилу смартфона, спосіб натискання клавіші, швидкість і шаблони прокрутки та багато іншого.
Існують також інші підходи до «впізнавання» користувача, наприклад, аналіз контекстних сигналів — використання відомого пристрою в стандартному місці та за стандартними шаблонами. Наприклад, сервіс онлайн-банкінгу запитуватиме у вас тільки пароль, якщо ви зайшли в систему через звичний браузер. А якщо ваша IP-адреса або пристрій відрізняються від звичних, банк спробує відправити вам другий фактор — дзвінок або SMS для підтвердження свого клієнта.
Апаратний токен
Ідея Google поліпшити захист даних за допомогою двофакторної авторизації є серйозним кроком уперед, проте використання SMS у якості другого фактора авторизації — вельми ненадійне та навіть небезпечне. Справа в тому, що є досить велика ймовірність перехоплення SMS, що використовуються для авторизації, крім того, існують програми для зламу SIM-карти з подальшим перехопленням SMS.
Тому для забезпечення кращого захисту варто використовувати апаратний ключ (токен) в якості другого фактора. Ще кілька років тому компанія Google перевела всіх своїх співробітників на такий спосіб захисту акаунтів і за цей час жоден із них не став жертвою злому.
Авторизацію за допомогою апаратних ключів підтримують і сервіси Google, й інші онлайн-сервіси, зокрема, Facebook, Twitter, Instagram. Апаратний ключ являє собою невеликий пристрій виробництва, наприклад, фірми Yubiko. Компанія Google пропонує також свої апаратні ключі Google Titan.
При їхньому використанні спочатку потрібно в налаштуваннях облікового запису вказати використання ключа як другого фактора авторизації. А потім після введення логіна та пароля потрібно просто вставити ключ у USB-роз'єм або розташувати поруч із пристроєм (якщо ключ підтримує бездротове з'єднання, наприклад, WiFi або NFS).
Світле (без)парольне? майбутнє
Зміни, анонсовані Google, та примусове використання двофакторної авторизації для користувачів — це серйозне зрушення парадигми. У компанії чітко зрозуміли, що залишати захист даних «на розтерзання» самих користувачів марно, бо ті, усвідомлюючи всі небезпеки, будуть зацікавлені в тому, щоб усі взаємодії з онлайн-акаунтами у них відбувалися якомога простіше та з мінімальною кількістю кроків.
Розраховувати на свідомість, розуміння ризиків і знання основ кібербезпеки не доводиться, і тільки ось такі примусові заходи можуть хоч якось підсилити захист даних.
Водночас активні розробки напрямку Passwordless не виключають зміни самої парадигми захисту даних користувача, і повну відмову від паролів можна вважати фантастикою. А ось що саме прийде на зміну комбінації логін (емейл) — пароль — поки що прогнозувати складно.