Усталость от паролей

Возрастающая роль информационных технологий и Интернета в труде, финансах, досуге и других аспектах жизни, а также внедрение технологий безопасных транзакций, привели к тому, что у людей накапливается всё больше учетных записей и паролей.

По результатам опроса, проведённого в феврале 2020 года компанией, разрабатывающей менеджер паролей Nordpass, у типичного пользователя имеется 100 паролей^[2].

Среди факторов, вызывающих усталость от паролей:

• неожиданные требования к созданию нового пароля;
• обязательство создать новый пароль, соответствующий определённому шаблону;
• требование повторного ввода нового пароля;
• частые и неожиданные запросы на повторный ввод пароля при переходах внутри интранета;
• слепой ввод символов при ответе на запрос пароля и при его назначении.

Некоторые компании внедряют альтернативные методы аутентификации^[3], либо используют технологии, при которых данные пользователя вводятся автоматически. Вместе с тем, существует и противоположная тенденция: организации выпускают новые приложения со своими собственными системами идентификации, что усложняет ситуацию и снижает удобство использования.

• Программное обеспечение единого входа (single sign-on, SSO) облегчает задачу, так как требует запомнить только один пароль для приложения, которое обеспечивает доступ к нескольким другим учетным записям, с использованием или без использования дополнительного программного агента на компьютере пользователя. Однако потеря единственного пароля блокирует доступ ко всем сервисам SSO, а его компрометация создает риск массового несанкционированного доступа.
• Интегрированные менеджеры паролей — многие операционные системы имеют средства для хранения и отбора паролей, обычно используя основной пароль входа пользователя для доступа к зашифрованной базе паролей. В Microsoft Windows таким сервисом является Credential Manager, в iOS, iPadOS и macOS — Keychain, схожие возможности реализованы в свободных десктопах GNOME и KDE. Кроме того, поддержка хранения паролей встроена в все основные браузеры. Однако в случае потери, повреждения или кражи устройства пользователь может потерять доступ ко всем сайтам, где полагался на менеджер паролей или функции восстановления.
• Стороннее дополнительное ПО-менеджеры паролей типа KeePass или Password Safe также помогает справиться с усталостью от паролей, позволяя хранить их в зашифрованной базе, доступной по единому паролю. Однако это решение унаследовало типичные риски SSO: потеря главного пароля лишает доступа ко всем остальным, а его компрометация открывает доступ к ним посторонним.
• Восстановление паролей — большинство защищённых паролем веб-сервисов позволяют пользователям восстановить доступ через самостоятельный сброс пароля (например, по электронной почте, привязанной к аккаунту). Однако такие системы часто становятся целью атак с применением социальной инженерии, когда злоумышленник получает достаточную информацию о жертве, чтобы выдать себя за неё, запросить письмо для сброса и перенаправить его на подконтрольный адрес, получая доступ к аккаунту.
• Аутентификация без пароля — решение проблемы полностью устраняет пароли, используя альтернативные методы: биометрическую аутентификацию, токен безопасности и т. д. Компании Okta, Transmit Security и Secret Double Octopus предлагают подобные сервисы^[4]. В отличие от систем SSO и менеджеров паролей, такие сервисы совсем не требуют от пользователя придумывать или запоминать пароли.

Для преодоления проблемы усталости от паролей разрабатываются новые методы управления аутентификацией, предлагающие альтернативу традиционным системам паролей. Перспективные направления включают:

Биометрические методы (отпечатки пальцев, распознавание лица, сканирование радужки) позволяют пользователю удостоверять личность без запоминания сложных паролей, используя уникальные биологические признаки. Такие решения реализуют компании Okta и Transmit Security, снижая зависимость от паролей^[5].

Токены безопасности (они же аппаратные токены, аутентификационные токены) позволяют повысить защищённость сервисов, требуя при входе, кроме пароля, ввести одноразовый код или криптографический ключ с внешнего устройства. Такая двухфакторная аутентификация (2FA) уменьшает нагрузку, связанную с запоминанием множественных паролей, и повышает безопасность. Примером провайдера решений в этой сфере является Secret Double Octopus^[5].

Сервисы аутентификации без паролей обеспечивают значительный сдвиг в методах идентификации, полностью устраняя пароли. Вместо них используются альтернативные методы, такие как биометрия, аппаратные ключи или так называемые «волшебные» ссылки по электронной почте. Это упрощает пользовательский опыт и снижает риски, связанные с утечками паролей. В числе лидеров направления — Okta, Transmit Security, Secret Double Octopus^[5].

Новейшие технологии поведенческой биометрии анализируют индивидуальные поведенческие особенности (скорость печати, движения мышью, взаимодействие с сенсорными экранами) для невидимого пользователю контроля идентичности. Система постоянно следит за этими параметрами и может подтверждать личность без необходимости явного ввода пароля, снижая как утомляемость, так и риски взлома^[5].

Эти подходы становятся альтернативой традиционным менеджерам паролей, улучшая одновременно удобство, безопасность и пользовательский опыт. Ожидается, что дальнейшее развитие подобных методов позволит успешно решать проблемы усталости от паролей^[5].