Безпарольний світ як найближча реальність

Паролі у цифровому світі з’явилися ще у 1960 роки. Але покладатися на них як на єдину безпекову стратегію в цифровому світі не можна вже декілька років. Відколи отримала розвиток соціальна інженерія. Як показує практика, паролі – це найслабша ланка вашого захисту.

У 61% випадків кібератак хакерам вдається досягати цілей через злам паролів. У червні 2021 року на хакерському форумі було опубліковано інформацію про витік 8,5 мільярдів паролів!

Що таке безпарольна автентифікація

Безпарольна автентифікація схожа на двофакторну, багатофакторну автентифікацію, де пропущено перший крок — введення пароля.
Замість паролів можуть бути використані OTP-паролі, PIN-коди або біометричні способи розпізнавання особистості. При цьому не обійтись без апаратних засобів. Це можуть бути як мобільні телефони з датчиками або додатками, так і спеціальні пристрої — ключі безпеки.

Кількість шкоди, яка завдається хакерами за останнє десятиліття, не просто лякає — жахає. За даними компанії McAfee, збитки від кібератак у світі ще у 2020 році перевищили трильйон доларів, що становить 1% від світового ВВП.

Враховуючи цю проблему, три глобальні IT-компанії — Google, Microsoft та Apple — вирішили відмовитися від паролів зовсім і замінити їх безпарольною автентифікацією. Вони оголосили про це на майданчику Альянсу FIDO 5 травня, коли всі користувачі відзначають Всесвітній день пароля.

Не виключено, що вже незабаром ця дата може стати Всесвітнім днем без пароля, оскільки завершити перехід до нового стандарту планують на початку 2024 року. І ця тенденція, що вже намітилася, може стати прикладом для інших платформ.

Як працює безпарольна автентифікація 

Безпарольна автентифікація базується на стандарті FIDO. Він працює так: при реєстрації на майданчику пристрій користувача створює кілька ключів — закритий і відкритий. Закритий ключ зберігається на пристрої, а відкритий ключ реєструє користувач у сервісі. Потім, коли користувачеві потрібно увійти на сервіс, він розблокує закритий ключ за допомогою якоїсь наперед обумовленої дії. Це можуть бути:

  • використання ключа безпеки FIDO;
  • підключення до пристрою другого фактора (ключа безпеки);
  • введення PIN-коду;
  • вимовлення фрази у мікрофон телефону;
  • накреслення пальцем певного малюнка на поверхні екрану тощо.

Все це може працювати як на основі базового пароля, так і без нього.

Переваги безпарольної автентифікації

За допомогою безпарольної автентифікації можна забути про проблеми входу паролем назавжди.

Що буде, якщо замінити паролі на безпарольну автентифікацію:

  • ви збережете творчий ресурс — вам не доведеться знову й знову сушити голову, щоб вигадати складний пароль для кожної нової реєстрації;
  • зможете вивільнити пам’ять для інших завдань — не доведеться запам’ятовувати десятки паролів;
  • збережете дорогоцінний час — не потрібно витрачати час на відновлення пароля, якщо ви його втратили або забули;
  • ви будете надійно захищені — не потрібно наражатися на ризик зламу акаунта;
  • позбавитеся проблем зберігання — не потрібно турбуватися про те, де зберігати паролі і боятися, що база буде скомпрометована;
  • уникнете ефекту доміно — ви зможете уникнути втрати даних у кількох облікових записах, де використовуєте однакові паролі;
  • авторизуватиметеся в один дотик — ви зможете входити в облікові записи швидше, а значить, зможете працювати ефективніше.

 

Безпарольний доступ для співробітників дуже вигідний для багатьох компаній, адже витоки даних стануть малоймовірними. Тому, що перехопити одноразовий пароль або видобути біометричні дані співробітників набагато складніше та дорожче. Тим більше, що вже давно з’явилися пристрої, які працюють автономно та не передають біометричні дані на сервер.

А ще уявіть зручність клієнтів ваших магазинів, яким не доведеться болісно згадувати пароль, коли захочеться купити щось ще.

Найкращі інструменти для безпарольної автентифікації

Ті, хто користувався двофакторною автентифікацією, вже знають, як працює підтвердження особи через телефон:

  • Це може бути введення одноразового пароля, отриманого на месенджер, пошту, у SMS або генерується в додатку;
  • отримання Push-повідомлення із кнопкою підтвердження входу;
  • відповідь на контрольне запитання голосом;
  • дотик до датчика відбитків пальців.

Це все непогано працює, але більше на рівні користувача, і не дуже зберігає ваш час, якщо ви працюєте в IT-сфері, в IT-команді або якщо у вас є сайт, майданчик, яким ви керуєте. До того ж окремі методи перевірки містять небезпеку перехоплення: наприклад, одноразові паролі, надіслані на пошту або у SMS.

Тому багато розробників віддають перевагу спеціалізованим пристроям — ключам безпеки. Одними з найкращих є ключі YubiKey виробництва США та Швеції. 

Ці невеликі компактні пристрої мають чималі переваги:

  • надійність — надміцний корпус з армованого скловолокна стійкий до ударів та не містить висувних частин;
  • нанотехнології — виробник пропонує ключі, які практично не мають корпусу, при цьому зберігають всі необхідні функції для роботи; їх можна непомітно розмістити безпосередньо на сервері і вони не заважатимуть;
  • вибір формфактора – в асортименті продукції YubiKey є ключі з роз’ємами USB-A, USB-C та Lightning;
  • підтримка одноразових паролів — серед YubiKey є серії, що підтримують одноразові паролі OTP і OATH – HOTP (коди, обмежені за часом);
  • безпарольний вхід — всі ключі безпеки YubiKey підтримують протоколи FIDO2/WebAuthn і FIDO U2F — це означає, що ви можете налаштувати як безпарольний вхід, так і багатофакторну автентифікацію;
  • додатковий захист — немає нічого зручнішого, аніж вхід в один дотик і впевненість у тому, що ключ окрім вас ніхто не зможе використовувати, тому у 2021 році була випущена лінійка з біометричним датчиком.

Багато компаній готуються до переходу на новий стандарт безпеки. Ви можете використати це вже зараз! А вибрати надійні ключі можна у нашому магазині (посилання).