В бъдеще паролите ще изчезнат напълно, тъй като хората ще възприемат други начини за достъп, казва Гифт Егуену, разработчик в Cloudflare (снимка: Рада Станева / TechNews.bg)
„Ще изчезнат ли напълно паролите за достъп до сайтове, услуги и приложения, които всеки от нас използва ежедневно, непрекъснато и с които сме свикнали?”. Този въпрос бе зададен от Гифт Егуену, разработчик в Cloudflare, към аудиторията, изпълнила залата по време на двудневната конференция DevReach 2023 в София. След презентацията си тя сподели за TechNews.bg, че е разговаряла с мнозина и е чула интересни и различни мнения в отговор на въпроса си. А какво мисли тя?
Актуални в сферата на автентикацията днес са три метода: безпаролна, многофакторна и еднофакторна автентикация, разказа Егуену. Всички тези начини за автентикация се ползват в зависимост от нуждите на потребителите и организациите. И трите метода са алтернатива на паролите.
Егуену беше категорична, че в бъдеще паролите ще изчезнат напълно, тъй като хората ще възприемат други начини за достъп като многофакторна автентикация, еднофакторна автентикация, биометрични данни или най-новото в тази сфера – т.нар. passkeys, каквито Google пусна по-рано тази година.
Отминаха времената, когато се налагаше да помним комбинациите от потребителски имена и пароли, каза Егуену. Именно паролите бяха основният начин за автентикация години наред, но те вече не са подходящ метод от гледна точка сигурността на онлайн транзакциите.
Друг проблем, свързан с паролите, е че средно 25-30, дори понякога 100 различни пароли се ползват от редовия потребител всеки ден. Съхраняват се на най-различни места, дори на листчета или на снимка в телефона – места, лесно достъпни и несигурни. Мениджърите на пароли лесно могат да бъдат пробити.
Като разработчик с опит, Гифт Егуену коментира, че в крайна сметка повечето от колегите ѝ се стремят към налагане на по-модерни методи за автентикация. Началото на този процес бе дадено от алианса FIDO (Fast IDentity Online), обединяващ водещи компании като Google и Microsoft, които създадоха иновативни методи и хората ги прилагат все повече. Миналата седмица Amazon също пусна passkeys за достъп до платформата си, т.е. вече не е необходима парола.
Конкретно за passkeys на Google, Егуену обясни, че този нов начин за достъп до приложенията не изисква парола, потребителско име или друг вид допълнителен фактор за автентикация, а вместо това – пръстов отпечатък или официален идентификационен код.
„При passkeys има криптографски ключове, които се съхраняват на вашето устройство. За хакерите е много трудно да се доберат до вашия пръстов отпечатък или идентификационни данни, докато паролата много лесно може да се пробие и не е сигурна. Кибератаките са основна заплаха за всички, които ползват пароли за достъп до банкови сметки и лична информация”, допълни Егуену и подчерта, че passkeys вече се ползват от компании като Google, Amazon, Adobe, TikTok, GitHub и др.
Автентикацията без парола включва еднократно генериран код за достъп, SMS-известяване и Magic Links.
Еднофакторната автентикация е друг интересен метод, при който можете да получите достъп до няколко различни платформи, приложения и сайтове чрез едно единствено удостоверение, подобно ползването на една парола. Пример за това е платформата на Google, където с една парола получавате достъп до електронна поща, до Google Maps, видеоразговори, таблици и презентации и други различни услуги. Като потребител не е нужно да си правите пароли за всяка отделна услуга или сайт.
Това е много полезно от гледна точна организирането на бизнес процесите в дадена компания, защото служителите чрез вписването си в само една платформа с една единствена парола могат да ползват както корпоративните имейли, така също и всички платформи, услуги и приложения, с които работи дадената организация.
Друг пример за еднофакторен достъп е технологията SAML 2.0, при която чрез един набор от идентификационни данни потребителят може да получи достъп до няколко приложения. Протоколът SAML представлява отворен стандарат, XML-базиран формат, който дава възможност на бизнеса да споделя информацията от потребителската автентикация и оторизация, като така, съвместно с партньорските компании, могат да се ползват корпоративни приложения от служителите.
Паролите вече не са подходящ метод от гледна точка сигурността на онлайн транзакциите, почерта Гифт Егуену (снимка: Рада Станева / TechNews.bg)
OKTA е друг вид “single sign” услуга, която позволява на всеки в дадена компания да ползва всички платформи с еднократно вписване.
Методите за многофакторната автентикация също включват SMS- нотификация, гласово известяване, еднократна нотификация и уеб автентикация чрез FIDO ключове за сигурност.
„Всички тези решения гарантират сигурността на потребителите. Безпаролният достъп, SMS-известяването и други методи вече се прилагат от повечето платформи. Те се превръщат в стандарт, мнозина го използват”, коментира Егеуну.
„От гледна точка на разработчика, когато създавате приложение, решавате кой метод да използвате. Ако, например, правите приложение за социална мрежа, ще искате логването да е супер лесно и може да ползвате Magic Links – безпаролна автентикация, при която въвеждате адреса на електронната си поща, получавате линк и чрез него може да се впишете. Ако става въпрос за организация с около 500 служители, може да се ориентирате към услуга за еднофакторна автентикация като ОКТА, например. Всичко зависи от конкретните изисквания на бизнеса”, сподели Егуену.
Възприемането на съвременните решение за автентикация означава да се оценяват и управляват мерките по сигурността, да се подбере правилният метод за автентикация, да се прилагат стриктни правила и политики относно паролите и, не на последно място, да се образоват потребителите – така Гифт Егуену обобщи накратко дейностите, от които зависи сигурността както на отделния потребител, така и на големите корпорации.
Не съм тук да споря, а просто споделям в каква посока се движат нещата в тази област. Вече всичко е двуфакторна аутентикация като основно се ползва телефона като устройство, което притежаваш. Аз лично не си помня паролата за google и не ми се е налагало да я пиша от поне година. Винаги като са искали някакво удостоверяване са ми го пращали на телефон. А във фирмата, в която работя ползваме както казах Okta с интеграция с fingerprint на лаптопа и парола въвеждам някъде веднъж в месеца.
българино
1. не си знам всичките пароли, знам само две.
Щели да ми откраднат паролата с троянски кон, анадолски манаф и блатна вещица. Значи могат да ме принудят да кажа паролата, но не могат да ми вземат отпечатък.
2. не е трудно да се вземе на някой телефона, който иска да му го вземат. Влизаш в заведение и всеки си държи телефона на масата готов за селфи.
3. Отпечатък и ретина се взимат изключително лесно. В МВР могат да имат имат мои отпечатъци и ДНК, но нямат паролата.
Не нужно дори да имам физически достъп до устройството за да взема отпечатък, трябва само да знам кое тъч смарт устройство ползваш или тел номер. Не ми се вярва да си с нокия с фенерче.
Най-лесно се краде пръстов отпечатък, а и може да се заснеме перфектно от насочена камера с висока разделителна способност и то където и да си, а не само докато влизаш в компютъра си. След това най-лесно се блокира мобилната мрежа. Дори и да ползвате оптичен интернет, то зашумяването на ефира ще ти пречи да влезеш. Най-трудно се поставя камера, където работи служителя. Ти ако имаш анонимен и лесен достъп до въпросната, то защо просто да не му задигнеш целия компютър… Тогава вече няма къде да влезе.
И накрая ако си носиш лаптопа винаги със себе си – ами запомнената в полето много дълга и сложна парола е напълно достатъчна и няма как да ти я откраднат, без достъп до въпросния лаптоп. Да евентуално може да имаш и метод за възстановяване на парола, но това вече е в добавка, а не основен метод.
При местата, където се изисква най-голяма степен на сигурност няма как да минеш без устройство, осъществяващо електронен подпис.
А как контролираш телефоните?
Паролите отдавна са отживелица. Има основно три метода на удостоверяване
1. нещо, което знаеш (парола)
2. нещо, което притежаваш (телефон, приложение за аутентикация, сертификат)
3. нещо, което ти принадлежи (пръстов отпечатък, ретина)
Паролата е най-лесния вариант за хакване. Могат да те заснемат докато си я пишеш, да ти я откратнат с някой троянски кон или просто да те принудят да я кажеш). Другите две неща, особено когато се комбинират, са много по-трудни за пробиване.
Вече почти всичките ни корпоративни системи са с Okta Verify (т.е. без телефон не можеш да се аутентикираш) плюс пръстов отпечатък от компютъра.