Паролі більше не в моді, або який метод аутентифікації найнадійніший? Якщо вірити дослідженням, в минулому році на чорних кіберринках продавалося понад 15 мільярдів вкрадених особистих даних, в тому числі імена і паролі для соцмереж, онлайн-банкінгу та музичних стрімінгових сервісів. Як стверджує Microsoft, в 99,9% випадків витоку даних можна було уникнути, якби користувачі приділяли більше уваги аутентифікації в мережі.
Артур Філатов, Керівник бізнесу кібербезпеки компанії Tet (ex-Lattelecom)
Що таке аутентифікація?
Простими словами аутентифікація – це підтвердження того, що ви – це ви, а не хтось інший. Це частина процедури входу в систему, обліковий запис або отримання доступу до будь-якого онлайн-ресурсу після ідентифікації і перед авторизацією. Розібратися в цих «-ціях» нескладно: ідентифікація – це перевірка вашого логіна, імені користувача або електронної пошти, а авторизація – доступ і права, які ви отримуєте після проходження ідентифікації та авторизації.
Наприклад, ви приходите на велике весілля, називаєте своє ім’я, і вас знаходять в списку гостей (це ідентифікація, таке ім’я дійсно є в списку). Вас можуть попросити показати ваше запрошення або навіть паспорт (це аутентифікація, ви дійсно та людина, чиє ім’я назвали). Всі дані збігаються, вас пропускають в розкішний зал (це авторизація, тепер ви можете приємно провести час у колі запрошених).
Для чого це потрібно?
В першу чергу, для захисту даних. Адже якщо ваша інформація потрапляє в чужі руки, це загрожує діапазоном наслідків: від попадання особистих фото в соцмережі до розорення компанії, з даними якої ви працюєте віддалено. Кількість можливих операцій в мережі збільшується, зростає і кібершахрайство. Тому до захисту інформації варто ставитися з усією серйозністю, навіть якщо це звичайний обліковий запис в онлайн-магазині.
Методи аутентифікації
Виділяють одно- і багатофакторну (зазвичай двофакторну) аутентифікацію. Фактори бувають трьох видів:
- унікальне знання (код, пароль, кодове слово тощо);
- унікальне пристосування (токен, електронний підпис, сертифікат тощо);
- унікальні біометричні характеристики (відбитки пальців, риси обличчя, малюнок сітківки ока тощо).
Отже, в однофакторній аутентифікації використовується фактор/ри одного виду, а у багатофакторній – двох або трьох.
Однофакторна аутентифікація
Паролі
Згідно з дослідженням Cybersecurity Ventures, кожен інтернет-користувач в середньому має від 25 до 36 паролів для аутентифікації. Запам’ятати таку кількість секретних кодів звичайній людині не під силу, тому більшість користувачів вибирають прості для запам’ятовування (і злому) паролі і повторюють їх на різних сайтах (спрощуючи задачу хакерам). Більш складні паролі значно надійніше, але їх непросто запам’ятати і потрібно десь зберігати. А все, що десь зберігається, можна вкрасти. Тому всі серйозні організації вже відмовилися від цього виду аутентифікації.
Переваги:
- швидкий вхід в систему.
Недоліки:
- легко зламати;
- якщо паролі повторюються, одночасно може постраждати особиста інформація на різних ресурсах.
В середньому, витрати для використання потужності дата-центрів складають 25$ за годину. Відповідно, кібер-злочинці можуть використовувати потужності хмарних послуг в оренду з метою злому паролів. Це означає, що стає можливим підбирати більш ніж 650 мільйонів різних комбінацій паролів в секунду. А саме, якщо якийсь зловмисник наткнеться на “надскладний пароль з 7 символів”, і у цього зловмисника в своєму розпорядженні є час і 25$ в запасі, то, швидше за все, ваш пароль буде зламаний.
Додайте ще один символ до вашого паролю, і зловмиснику в нашому сценарії буде потрібно вже максимум 5 днів і близько 3000$, щоб зламати ваш пароль (разом з усіма іншими паролями довжиною у 8 символів).
Цифрові сертифікати і електронні цифрові підписи
Цифрові сертифікати з відкритими ключами часто використовуються в мережах з великою кількістю користувачів. В такому випадку мережа не зберігає інформацію про користувачів, вони самі її надають у вигляді сертифікатів (електронних форм), виданих спеціальними центрами. Цифровий підпис переважно використовується для аутентифікації, коли мова йде про важливі документи.
Переваги:
- висока надійність;
- можливість перевірити справжність сервера, до якого підключаєшся.
Недоліки:
- ризик крадіжки сертифікату/підпису.
Апаратні токени
Це спеціальні пристрої (часто у вигляді флешки) з одноразовими паролями, які дозволяють користувачеві авторизуватися в системі.
Переваги:
- автоматичне генерування і введення паролю;
- високий рівень захисту.
Недоліки:
- додаткові витрати на придбання;
- ризик крадіжки або втрати.
Двофакторна аутентифікація
Підтвердження по SMS
Добре знайомий усім метод, який активно використовують в онлайн-банкінгу. Після того як ви ввели свій логін і пароль на сайті, потрібно додатково ввести одноразовий пароль, який прийде в SMS.
Переваги:
- більш високий ступінь захисту.
Недоліки:
- SMS можна перехопити;
- залежність від якості мобільного зв’язку;
- проблеми в разі крадіжки або втрати телефону.
Підтвердження за допомогою смартфону
У цьому випадку після першого етапу аутентифікації для додаткового підтвердження особи вам або телефонують на ваш номер телефону, або надсилають код в мобільний додаток, встановлений на ньому.
Переваги:
- відносно високий рівень надійності;
- у випадку з додатком можливість входити в нього з різних пристроїв.
Недоліки:
- залежність від якості мобільної мережі або інтернет-підключення;
- необхідність мати при собі телефон.
Підтвердження за біометричними даними
Крім вже звичного нам розблокування пристроїв з допомогою відбитків пальців або ідентифікації особи, для аутентифікації також використовують і інші унікальні характеристики: малюнок сітківки ока або вен на руці, голос, характерні жести при роботі з мишкою або клавіатурою тощо.
Переваги:
- високий рівень надійності;
- ваші органи і звички завжди при вас, ви їх не забудете вдома і не втратите.
Недоліки:
- недосконалість зчитувальних пристроїв, які можна «обдурити» за допомогою 3D-копій або фотографій;
- неможливість передавати біометричні дані на відстані;
- можливі проблеми в разі отримання користувачем фізичних каліцтв.
Короткий, але важливий висновок
Найнадійнішим способом захисту даних на сьогодні є багатофакторна аутентифікація. Підключайте її при першій-ліпшій можливості, адже це саме той випадок, коли «зайва» перестраховка виправдана на всі 200%.
