Нова технологія Passkey дозволить людству вирішити проблему простих та неунікальних паролів — з її допомогою про них нарешті можна буде забути.
Недарма пароль називають першою лінією кіберзахисту, адже саме завдяки ним ґаджети, програми та онлайн-сервіси можуть відрізняти користувачів один від одного. Комбінація «логін + пароль» (або, як варіант, «електронна пошта + пароль») дозволяють онлайн-сервісу чи програмі «впізнати» користувача й відкрити саме його акаунт або сторінку. Паролі використовували майже з появою програм, які вимагали автентифікації — «впізнавання» користувача, аби потім зробити доступним саме його дані чи акаунти.
Чому та як паролі перестали бути надійними
Що активніше розвиваються технології, то більше проблем існує у використанні паролів. Щороку технологічні компанії публікують1 списки паролів, які використовуються найактивніше, і щороку ці списки не змінюються2. Вони традиційно містять комбінації на кшталт «12345», «qwerty», «admin» чи щось схоже. Парадокс таких рейтингів полягає в тому, що користувачі прекрасно знають вимоги до паролів, так само вони обізнані з тим, що використання простих комбінацій спричиняє потенційні проблеми з цифровою безпекою. Проте ситуація роками не змінюється, й попри всі зусилля компаній, онлайн-сервісів та програм, які застерігають не використовувати прості паролі, люди все одно доволі часто обирають саме їх.
Проте набагато поширеніша ситуація — коли користувач застосовує не простий пароль, а складний, але однаковий для декількох сайтів. Почасти використовується певний парольний шаблон — умовно кажучи, паролі до різних сайтів відрізняються 1-2 символами.
У ситуації використання простих чи однакових комбінацій заведено звинувачувати користувачів, проте насправді сама концепція паролів, яка створювалась багато років тому, не передбачала, що їх знадобиться багато. Оцінити, яку саме кількість паролів доводиться мати людині, доволі складно. До прикладу, експерти Nordpass ще недавно вважали, що середній показник становить3 близько сотні. До того ж опитування аналітиків цієї фірми засвідчило зростання кількості паролів лише для особистих цілей на 70% за останні три роки. Тож зараз фахівці з кібербезпеки оперують показником в 168 паролів у кожного пересічного користувача для особистого використання. А ще 87 паролів вони нарахували для бізнес-цілей.
Тобто в звичайної людини є понад 250 паролів (які так чи інакше пов’язані з логіном — іще одним елементом даних, який варто тримати в голові).
Запам’ятати таку кількість комбінацій нереально навіть людині із феноменальною пам’яттю, якщо припустити, що користувач буде чемно дотримуватися основного правила паролів — різноманітності, тобто обере окремий пароль для кожного окремого сайту чи застосунку. Саме через величезну кількість паролів люди намагаються спростити собі життя й обирати горезвісні «123456» або «administrator». Окрім того, багато людей зберігає паролі у вбудованих у браузерах сховищах, тож навіть якщо такий пароль буде складним, запам’ятати і відтворити той складний рядок, який колись вводився, дуже важко.
У рішенні повторювати паролі теж є прогалини, й доволі серйозні. Основна проблема полягає в тому, що сайти зламують, паролі потрапляють у витоки даних, тобто стають відомі зловмисникам, часто — в комбінації з логіном або поштою. До прикладу, людина обрала одну комбінацію «логін + пароль» для двох сайтів. Так сталося, що перший сайт зламали, ця комбінація потрапила у витоки й стала відома зловмисникам. Це означає, що під загрозою опинились обидва сайти, в яких ця комбінація використана. Але якщо при зламі сайти стараються попереджати своїх користувачів, аби ті змінили паролі, то в такому розвитку подій постраждати може саме другий сайт, який мав таку саму авторизаційну комбінацію.
Вберегти себе від таких випадків можна за допомогою ресурсу Have I Been Pwned4 — його розробники зібрали найбільшу базу зламаних паролів та можуть у відповідь на електронну адресу показати, на яких сайтах був зафіксований злам акаунтів, пов’язаних з цим мейлом. Останні версії браузера Chrome можуть попереджати користувача, коли він використовує неунікальний пароль, а той, який потрапляв у попередні витоки.
Спроби онлайн-сервісів змусити користувачів використовувати унікальні паролі втілюються в пропозиції їх зміни. Проте це рішення не є оптимальним, бо все одно передбачає, що людина має пам’ятати величезну кількість комбінацій. І коли її заставляють змінювати пароль, вона може, до прикладу, замість паролю «qwerty» обрати «qwerty1», який буде ніби й іншим, але й далі легким для зламу.
Парольні альтернативи
Технологічний світ уже давно шукає способи відмовитися від паролів, і найуспішнішими в цьому стали розробники смартфонів, яким виявилось нескладно інтегрувати найбільш очевидну альтернативу — біометричні характеристики людини. Ідеться про всім добре знайомі технології сканування обличчя (FaceID) чи відбитку пальця (TouchID). Деякі більш захищені системи можуть використовувати технології розпізнавання сітківки ока (до прикладу, для доступу до військових об’єктів).
Іноді як пароль використовують запис голосу, проте з розвитком систем штучного інтелекту та інструментів клонування голосу цей спосіб ставатиме5 менш популярним. Наразі також розробляють автентифікацію на основі розпізнавання6 ходи людини. Але цю ідею теж не вдасться використовувати масово, адже це дорого й передбачає розпізнавання людини на відстані. Проте у цього способу використання є додатковий ризик: до прикладу, він дозволить відстежувати людину на камерах спостереження.
Системи збереження паролів
Окремий напрямок розробок у сфері кібербезпеки — це системи збереження паролів. Фахівці рекомендують використовувати парольні менеджери7 — програми, які зберігають усі ваші паролі та інші чутливі дані, а сховище з ними захищене ще одним майстер-паролем. Проте ця ідея роботи з паролями не є абсолютно надійною, адже для них теж існує ризик зламу. До прикладу, саме з такою проблемою стикнулися користувачі LastPass8. Існували ризики зламів9 й для інших менеджерів паролів.
У світі також продаються спеціальні ґаджети10 для зберігання паролів та парольні блокноти11. Проте обидва рішення — це доволі нішеві продукти, які не особливо популярні на загал. А другий взагалі видається дивним: його ідея не відрізняється від горезвісного стікера з паролем, наклеєного поруч із ноутбуком.
Двофакторна (мультифакторна) автентифікація
Покращення захисту акаунтів можна добитися завдяки двофакторній (або навіть мультифакторній) автентифікації. Вона передбачає використання не одного ступеня захисту (лише пароля), а принаймні двох.
Дані, які використовуються у двофакторній автентифікації, обираються за певним правилом. По-перше, це дані, які юзер знає (пароль або PIN-код). Окрім того — дані, які йому належать (мобільний гаджет чи емейл-акаунт) або дані, якими він володіє (біометрична інформація). Двофакторна автентифікація передбачає використання комбінації цих даних. До прикладу, після введення пароля користувачу пропонують підтвердити себе за допомогою посилання, надісланого на електронну адресу, або через одноразовий код, згенерований його додатком-аутентифікатором, що стоїть на його смартфоні. Навіть якщо зловмиснику стане відомим пароль, то фактор володіння (мейлом чи смартфоном) вбереже користувача від зламу.
Проте й цей спосіб захисту акаунтів важко вважати ідеальним — до прикладу, він може не врятувати при фішинговій атаці, коли людині пропонують авторизуватися на підробному сайті чи сторінці, яка імітує сторінку входу в мобільний застосунок.
Апаратний токен
Іще один варіант — використання пристроїв, які створюють додатковий захист. Їх ще називають апаратними токенами, і вони працюють із використанням стандарту FIDO Universal 2nd Factor (U2F)12.
Апаратний токен виглядає13, як звичайна «флешка». Найвідомішим виробником таких пристроїв є компанія Yubico, і вона пропонує багато різних токенів, які відрізняються між собою підтримуваною технологією. Найпростіші працюють через USB-порт, складніші можуть підтримувати навіть безконтактний NFC-зв’язок.
Працює апаратний токен дуже просто. Для початку в налаштуваннях акаунта потрібно вказати, що другим фактором автентифікації буде апаратний токен, підключити його до комп’ютера (чи розмістити поруч зі смартфоном). На токені запишеться інформація про акаунт та сайт (додаток), який він має підтверджувати.
Наступного разу після вводу пароля сайт (чи застосунок) попросить користувача скористатися токеном. Якщо це проста USB-модель, то достатньо буде підключити токен до комп’ютера і натиснути на ньому кнопку. Для просунутіших моделей потрібно прикласти їх до пристрою чи іншим способом показати, що в користувача є саме цей токен.
Дедалі більше сайтів стали підтримувати апаратні токени, серед них — Google-акаунти, Dropbox та сервіси компанії Meta.
Що таке Passwordless і чому ця концепція стане стандартом у цифровій безпеці
Попри всі спроби пошуку оптимальних шляхів роботи з паролями, вони не нівелюють основну проблему — існування паролів, використання яких має загрози. Тому технологічні компанії стали шукати способи відмовитися від пароля як такого. Саме так й виникла концепція Passwordless14. Вона передбачає побудову захисту акаунтів без використання паролів. Власне, деякі парольні альтернативи (до прикладу, біометрична автентифікація) і є певним варіантом Passwordless.
Відмова від паролів має купу переваг. Якщо система автентифікації не використовує паролі, то й не потрібно перейматися тим, аби пароль був надійний, складний та унікальний. Так само немає проблеми щодо того, як цей пароль зберігати. Іще одна перевага — якщо немає паролів, то їх не зламують.
Passkey — майбутнє безпечної автентифікації
У пошуках альтернативи та спробах вирішити проблеми, які так чи інакше стосуються паролів чи їх замінників, ІТ-компанії створили технологію Passkey15. Саме вона сьогодні може стати найкращою альтернативою паролям та навіть позбавити користувачів від них, тобто сприяти переходу до Passwordless.
Основна ідея Passkey полягає у тому, аби замість паролів використати безпечніший і зручний спосіб ідентифікації користувачів та одночасно вирішити проблеми, які так чи інакше стосуються використання паролів — ця технологія може позбавити юзерів потреби пам’ятати паролі або мати при собі згадані вище апаратні токени.
Passkey — це новий спосіб безпарольної аутентифікації, який можна використовувати при заході на сайти чи в додатки. Passkey передбачає використання двох ключів, комбінація яких і забезпечує автентифікацію.
На першому етапі користувач генерує два ключі — приватний та публічний. Для генерації ключів можна використовувати, до прикладу, смартфон та спеціальний застосунок. Приватний ключ зберігатиметься на пристрої користувача (наприклад, на смартфоні або ноутбуці, як варіант — у зашифрованому сховищі парольного месенджера) та може бути використаний після біометричного підтвердження користувача (або іншим способом, до прикладу, задавши PIN-код свого смартфона). Публічний ключ передається на сервер при спробі користувача зайти, до прикладу, в інстаграм. Проте публічний ключ потрібно підтвердити — саме для цього використовується той приватний, який розміщено на смартфоні (чи іншому сховищі). Сервер звертається до пристрою, пристрій просить юзера підтвердити себе — через FaceID, чи TochID, графічний чи PIN-код, і лише тоді підтверджує за допомогою приватного ключа процедуру автентифікації.
Створення Passkey відбувається теж доволі просто — до прикладу, для Google-акаунта досить зайти на сайт16 та виконати інструкції.
Для користувача процес автентифікації із використанням Passkey буде ще простіший — при спробі зайти, до прикладу, на фейсбук, сайт самостійно звернеться до пристрою користувача та попросить підтвердити публічний ключ за допомогою приватного. А юзеру потрібно буде лише підтвердити себе через біометрію чи графічний ключ смартфона. Іншими словами, для пересічного користувача Passkey означає просто розширене використання смартфона та біометрії. Важливе уточнення: не лише смартфон може використовуватися як основу для Passkey — наразі цей спосіб підтримує браузер Chrome. А для популяризації цієї технології Microsoft, Apple та Google інтегрували Passkey у свої операційні системи.
Чому Passkey краща за паролі
Якщо людина втратить смартфон із Passkey або інше сховище зламають, то через неможливість підтвердити ключі за допомогою біометрії зловмисники не зможуть зайти в акаунт.
Passkey використовує криптографічні алгоритми, що робить його значно стійкішим до зламу. Якщо публічний ключ стає доступним зловмиснику, без приватного ключа він не зможе автентифікуватися.
Відсутність потреби запам’ятовувати паролі — це ще одна перевага цієї технології. А сама ідея Passkey побудована так, що чутливі дані (до прикладу, біометрична інформація) зберігаються на пристрої користувача, тобто не покидає її фізично. Це рішення теж підвищує захист цих даних.
Сама концепція Passkey нівелює цілий ряд популярних атак (як от спроби фішингу) тобто таких, де зловмисники створюють підробний сайт та пропонують авторизуватися на ньому. Адже комбінація ключів, передбачена технологією Passkey, прив’язана до сайту та його доменного імені. Коли користувачам пропонується інше доменне ім’я, навіть якщо на ньому розміщена підробна форма аутентифікації, яка повідомить юзера про те, що вона ніби-то прийняла публічний ключ та звернеться до пристрою за приватним ключем, він не спрацює, бо підробний сайт має інше доменне ім’я.
Які проблеми існують у запровадженні Passkey
Наразі Passkey ще не досить популярна технологія: не всі пристрої та платформи підтримують її, та й спонукати користувачів перейти на нові способи автентифікації теж не так просто.
Іншою проблемою Passkey є кросплатформність. Якщо паролі можна легко перенести з однієї операційної системи в іншу, то багато парольних сховищ, до прикладу, iCloud Keychain та Google Password Manager поки не вміють експортувати Passkey. Це означає, що користувач iPhone не зможе перенести свої паролі в інше сховище, до прикладу, коли він вирішить обрати іншу платформу.
Сьогодні Passkey є в браузері Chrome, проте лише на тих онлайн-сервісах, які підтримують нову технологію. Подивитись на список можна на спеціальному сайті15.
Чи замінить Passkey паролі найближчим часом
Технологія Passkey має хороший потенціал замінити звичні паролі. Та попри те, що її вже підтримують багато великих компаній, навряд чи найближчим часом інтернет перейде повністю на її використання. Але й паролі рано чи пізно стануть минулим, і, можливо, саме із запровадження Passkey світ почне від них відмовлятися.
