Откажитесь от паролей: пасскейты - будущее онлайн-безопасности предприятий

Пароль - это, по сути, секрет, рукопожатие между пользователем и системой, которое позволяет вам попасть в «питейное заведение». Однако проблема с секретами заключается в том, что их часто трудно сохранить. Только в прошлом месяце на одном из популярных хакерских форумов было обнародовано десять миллиардов паролей в открытом тексте, что стало крупнейшей утечкой в истории, и, честно говоря, сейчас уже никого не удивляет.

Такие утечки стали обычным делом, а растущее число последующих взломов - хрестоматийным: Отчет Google Cloud «Горизонты угроз 2023» показал, что 86 % корпоративных взломов связаны с кражей учетных данных. Пароли создают дополнительные неудобства, стоят компаниям денег и не нравятся никому, кроме хакеров, так почему же они все еще остаются основным методом защиты учетных записей?

В основном потому, что до сих пор не было приемлемой замены, как с точки зрения стоимости, так и с точки зрения технологий. Но технология ключей набирает обороты. Ключи - это беспарольные логины, устойчивые к фишингу и не требующие запоминания. Они упрощают регистрацию аккаунтов в приложениях и на веб-сайтах, просты в использовании, работают на всех устройствах пользователя и даже на других устройствах, находящихся в непосредственной близости.

Год назад компании Apple, Google и Microsoft объявили о своей приверженности использованию ключей в своих продуктах, а также о планах по расширению поддержки общего стандарта входа без пароля. Тем временем регулирующие органы начинают предлагать официальные рекомендации по использованию и внедрению ключей-пасок, в том числе Министерство торговли США.FIDO Alliance - это открытая отраслевая ассоциация, основанная с целью уменьшить и в конечном итоге устранить чрезмерную зависимость от паролей. С этой целью они разработали стандарты аутентификации и проверки устройств, а также безопасной регистрации устройств для обеспечения безопасности подключенных устройств в облачных и IoT-средах. Наиболее важной разработкой стал предложенный ими метод хранения криптографических ключей, позволяющий синхронизировать их между устройствами.

С технической точки зрения, ключи - это учетные данные FIDO, которые генерируются и хранятся в аутентификаторе, который может быть, например, смартфоном, ключом безопасности или менеджером паролей, поддерживающим ключи. Вместо того чтобы создавать пароль для новой учетной записи, пользователь выбирает, в каком аутентификаторе создавать и хранить новый ключ. В зависимости от реализации ключа, регистрация или вход в систему с помощью ключа может потребовать проверки пользователя, будь то пароль, PIN-код или биометрическая мера безопасности. В любом случае сам ключ никогда не будет раскрыт или использован.

Аутентификатор генерирует два криптографических ключа для новой учетной записи, один из которых является публичным и хранится на сайте учетной записи, а другой - приватным и хранится в аутентификаторе, используя API WebAuthn, широко реализованный во всех современных браузерах и операционных системах. Пользователь входит в учетную запись с ключом, а затем аутентификатор и веб-сайт обмениваются данными для проверки подлинности входа.Passkeys заменяет пароли парами криптографических ключей, обеспечивая безопасность входа в систему, устойчивую к фишингу, и улучшая работу пользователей. Криптографические ключи используются с устройств конечного пользователя (компьютеров, телефонов или ключей безопасности) для аутентификации пользователя.

Ключи, управляемые операционными системами телефонов или компьютеров, автоматически синхронизируются между устройствами пользователя с помощью облачного сервиса. В облачном сервисе также хранится зашифрованная копия учетной записи FIDO. По своей конструкции пропуски могут быть доступны только на одном устройстве, с которого их нельзя скопировать. Такие ключи иногда называют «ключами для одного устройства». Например, физический ключ безопасности может содержать несколько ключей для одного устройства.

Что делает пропуски будущим онлайн-безопасности

Ни один метод аутентификации не является абсолютно надежным, но пропуски - это значительный скачок вперед в развитии технологии. Они более безопасны, их проще использовать потребителям и сотрудникам, а поставщикам услуг - развертывать и управлять ими. Они устойчивы к фишингу, их невозможно угадать или забыть, а затраты на ИТ-услуги, связанные с потерей учетных данных, значительно снижаются.

Устойчивость к фишингу: Фишинговые атаки заманивают жертву, предлагая ей ввести свои данные для входа на мошенническом сайте, который в той или иной степени выглядит законным. А когда пользователь пытается войти в систему, он раскрывает свои учетные данные, и злоумышленник неожиданно получает полный доступ к его учетной записи. Такое невозможно с пропускными ключами, которые привязаны к сайту, для которого они были созданы.