Четверг , Сентябрь 21 2017
Домой / Android / Беседка №326. Преувеличенные слухи о смерти паролей

Беседка №326. Преувеличенные слухи о смерти паролей

Twitter

Google+

Преимущества пароля как способа защиты информации.

Беседка №326. Преувеличенные слухи о смерти паролей

Многие годы я постоянно натыкаюсь на заголовки в стиле «Смерть пароля». Я до сих пор получаю PR-рассылки от компаний, обещающих «лишить пароли актуальности». Не счесть, сколько раз я читал о новой технологии, которая «заменит пароли». Все они ошибались. Правда в том, что пароли с нами надолго. И вот несколько причин.

Пароли либо абсолютно верны, либо абсолютно неверны. «Bsdo#du()q1» выглядит практически как «Bsdo#du()1», но для компьютера эти комбинации абсолютно разные. Поправочный коэффициент отсутствует, и ни один компьютер не перепутает их. Для сравнения: в случае с биометрическими технологиями, такими, как датчики отпечатка пальца, сканеры сетчатки глаза и анализаторы особенностей ввода текста всегда приходится учитывать определённую погрешность, биология не отличается четкостью измерения. Могут меняться голоса, лица и освещение, всё это приходится учитывать и биометрическому сканеру. Но если заполучить / воспроизвести информацию максимально близко к оригиналу, то можно обойти биометрическую идентификацию, что неоднократно демонстрировалось. Уменьшите погрешность — получите ошибки и негодующих пользователей. У паролей нет таких проблем.

Пароли не зависят от технологий и обладают обратной совместимостью с предыдущими версиями

Они являются (сравнительно) небольшой строкой текста. Каждая операционная система за прошедшие полвека — Windows, Mac, Unix, Android, iOS, TRSDOS, BeOS, Symbian, AmigaOS — может работать с паролями. Но не все устройства могут различать лица, считывать отпечатки пальцев или анализировать особенности вашей моторики. И не все устройства имеют USB-порт для подключения идентификационного токена. Не каждое устройство может получать сообщение с временным кодом. Применение новых технологий авторизации имеет свою цену и нет никакой гарантии, что они будут повсеместно использоваться впоследствии.

Пароли — бесплатная разовая мера

Если пароль становится известным в результате утечки данных, то можно просто заменить его на новый. Но пальцев всего 10, а глаза всего два. Что делать, если отпечатки пальцев «утекли» в недобрые руки? (Подобное произошло с государственными служащими, чья биометрическая информация была украдена в ходе взлома федерального отдела по организации кадровой работы.) Части тела так просто не заменить.

Паролем легко поделиться

Я понимаю, что не стоит так делать, но люди постоянно отправляют свои пароли, зачастую под вполне благовидными предлогами. Можно посылать их по e-mail (так себе идея), по SMS (тоже не очень), записывать на бумажке (уже лучше) или говорить получателю лично (идеальный вариант). Отпечаток пальца или скан сетчатки передать не получится.

Пароль анонимен

Если вы не используете в качестве своего пароля уникальную персональную информацию, то никак не получится отследить вас по паролю. Напротив, голос, отпечатки пальцев, сетчатка глаза и другие биометрические данные, как и сам смартфон, принадлежат только вам и всё это можно использовать для отслеживания человека.

Пароль — это секрет

Или, по крайней мере, должен являться им. Но это не про биометрические идентификаторы. Ваше лицо появляется на публике практически каждый день. Отпечаток пальца можно снять с винного бокала. ДНК легко заполучить из упавшего с головы волоса. USB-токен могут позаимствовать, когда хозяин будет спать. Но пароль (теоретически) знаете только вы.

Беседка №326. Преувеличенные слухи о смерти паролей
Правильное использование паролей

Проблемы с паролями возникают лишь потому, что они используются людьми, которые ленивы. Мы придумываем слишком короткие и слишком простые пароли, используем один и тот же пароль для разных сайтов, поэтому взлом базы данных одного сайта может поставить под угрозу несколько сервисов. Но мы можем свести на нет человеческий фактор, используя машины. Мы можем использовать менеджеры паролей, которые генерируют и используют надежные пароли для каждой используемой нами учетной записи. Да, менеджер паролей может стать самым ненадёжным звеном, но при использовании нескольких подобных решений и разделении своих аккаунтов между ними ничего подобного не случится.

Мы можем использовать двухфакторную аутентификацию, которая в наше время может быть гораздо надежнее текстового кода. Вторым фактором, например, может стать случайно сгенерированное число из соответствующего приложения или USB-токен, который вы храните на связке ключей. Большую часть времени в дополнительной аутентификации нет необходимости, она требуется лишь тогда, когда вы выполняете вход в учетную запись с нового устройства. Пароли никуда не денутся, как и мы. Нам просто нужно более грамотно их использовать.

Оригинальный материал, автор — Пол Вегенсейл

Кому-то покажется паранойей, но такие меры предосторожности имеют под собой рациональную идею. Пока гром не грянет, как говорится. Двухфакторная аутентификация имеет большую степень надёжности, нежели биометрические способы идентификации пользователя. Это не значит, что нужно отказаться от отпечатка пальца. Повторюсь, если на устройстве не хранится критически важной информации, то можно обойтись и им. Но в обратном случае нужно задуматься о дополнительных механизмах защиты. Описанный автором способ является довольно понятным и универсальным для всех. Более продвинутым способом являются специальные приложения, например, уже упомянутый мной на страницах сайта Cerberus, отслеживающий статус устройства и позволяющий удаленно стирать память гаджета, делать фото вора и многое другое. Подстраховка, конечно, но лишним не будет.

Я не считаю, что пароли в скором времени пропадут, для этого нужно максимально наполнить рынок устройствами с различными биометрическими сканерами, что пока что не совсем характерно для бюджетного сегмента. Автор прав, нам нужно задуматься, а правильно ли мы используем доступные способы защиты? Ну и полезно вспомнить о банальных правилах, о которых в том числе говорится в материале.

источник

Понравилась статья? Не забудьте рассказать друзьям:

Проверьте также

251f126c19862e8791456bd69faf928f

Чем отличается мобильная жизнь маргинала?

Twitter Google+ Друзья, мы давно слышим от владельцев WM-смартфонов полные негодования протесты против клеймения их ...

Добавить комментарий

Читайте ранее:
cc267f97afa2777e963c315027fe1e9a
Российские разработчики запустили новую ролевую игру в сеттинге Смутного времени «The

Российские разработчики запустили новую ролевую игру в сеттинге Смутного времени «The Unrest Age». Кроме кровопролитных ...

Закрыть