Новий безпарольний світ: як інновації змінюють цифрову безпеку

Нещодавня відмова Google від SMS-повідомлень для двофакторної аутентифікації є лише одним із кроків щодо серйозної зміни стандартів цифрової безпеки. Світ поступово відмовляється від паролів та одноразових SMS-кодів. Ця сейсмічна зміна допоможе кардинальним чином покращити захист користувацьких даних.

Як боротися із втомою від паролів

Сучасний інтернет-користувач є заручником паролів, точніше потреби пам’ятати їх усі. Хоча тривалий час паролі були якщо не основним засобом захисту цифрових акаунтів, то принаймні першою лінією цього захисту. Проте з кожним роком стає дедалі очевиднішою проблема втоми від паролів. Таку назву отримало явище, що описує відчуття людей, вимушених запам’ятовувати велику кількість паролів для різних акаунтів. Прямим наслідком втоми від паролів є ситуація, коли користувачі вдаються до простих чи слабких паролів або повторно використовують ті, які уже десь застосовувалися. Ці кроки підривають саму ідею цифрового захисту.

Наразі складно оцінити, яку кількість паролів має пересічний користувач. У лютому 2020 року, за оцінкою фахівців з NordPass, одна людина мала до сотні паролів. Новіше дослідження пропонує іншу цифру — майже 170 паролів для одного юзера.

Очевидно, що запам’ятати 170 рядків із символів людина просто не здатна, тому не дивно, що користувач використовує прості або повторювані паролі. Саме через них роками списки найпопулярніших паролів у світі не змінюються. У 2022 році до таких списків входили «123456», «password» та «qwerty». У 2023 ситуація майже не змінилася — лідером є той самий «123456».

Проблема простих паролів полягає в тому, що їх можна отримати методом простого перебору або так званою словниковою атакою. На це потрібно буквально декілька секунд. Саме тому онлайн-сервіси так наполегливо вимагають від юзерів створювати складні паролі.

Попри спроби держав та компаній боротися з ненадійними паролями (зокрема законодавчі заборони на продаж техніки із таким ненадійним захистом), нічого не змінюється. Ситуація стала настільки критичною, що технологічні компанії почали запроваджувати навіть такі доволі жорсткі методи боротьби, як їхня примусова заміна.

Підписуйтеся на наші соцмережі

Проблем парольному захисту додають багаточисельні випадки зломів та витоків даних, в результаті яких зловмисники публікують паролі, до яких їм вдалося отримати доступ. Згодом ці паролі хакери можуть використовувати для зломів нових акаунтів, коли люди обирають повторювані паролі для різних профілів. Дослідження, проведене Агентством кібербезпеки та безпеки інфраструктури (CISA), показало, що ненадійні або викрадені паролі спричиняють приблизно 80% випадків зломів даних.

Очевидно, що тоді, коли паролі придумали як явище, ніхто не міг уявити про потребу мати у середньому понад півтори сотні паролів. Сьогодні ця ситуація звична. Тому звинувачувати користувачів у простих чи повторюваних паролях дивно, адже напевне більшість з них добре знайома із базовими правилами парольного захисту. Навіть менеджери паролів, які вважаються однією з найкращих практик кіберзахисту, не врятують, адже і вони теж стають жертвами зломів та підробок.

Усі ці дані свідчать про те, що система захисту, заснована на паролях, застаріла і сучасна цифрова безпека потребує більш надійної та зручної альтернатив.

Що таке Passwordless та чому це майбутнє цифрового захисту

Безпарольна аутентифікація — це метод, який передбачає можливість залогінитися в систему без введення пароля чи будь-якого іншого блоку «секретних» даних. Оскільки пароля немає, відпадає потреба його запам’ятовувати.

Ідея безпарольної аутентифікації базується на використанні загальнодоступного ідентифікатора (імені, номера телефону, e-mail-адреси) та підтвердженні особи через довірений пристрій або інший маркер. Прикладом таких маркерів можуть бути біометричні дані, апаратні ключі доступу чи одноразові коди.

Біометрична аутентифікація — це всім відомі технології сканування обличчя (FaceID) чи відбитка пальця (TouchID). Апаратні ключі доступу — це невеликі пристрої, схожі на звичайні флешки. Вони працюють на основі стандартів Fast IDentity Online (FIDO). Наразі їх найчастіше використовують як другий фактор у двофакторної аутентифікації. Проте у майбутньому такі токени стануть повною заміною паролів при вході в систему. Окрім того, за безпарольної аутентифікації можуть використовуватися одноразові коди, які або генеруються спеціальними додатками-аутентифікаторами, або надсилаються через SMS. Ці дані зараз так само є елементом двофакторної аутентифікації. І саме тому Google відмовилась від використання SMS для надсилання цих кодів, оскільки цей канал зв’язку вважається ненадійним. Зокрема, SMS можна легко перехопити, що створює ризик несанкціонованого доступу до акаунта користувача.

Повний Passwordless. Як ІТ-ринок готується до нової безпарольної ери

Особливо активно останнім часом технології Passwordless просувають техногіганти, до прикладу, Microsoft. А у Google взагалі називають Passwordless нашим майбутнім.

Ринок Passwordless розвивається, і у 2023 році кожен третій бізнес був готовий перейти до цієї технології у найближчі два роки. У 2024-му обсяг глобального ринку аутентифікації без пароля оцінювався у $21,07 млрд, і прогнозується, що середньорічний темп зростання буде збільшуватися на 17,1% з 2025 по 2030 рік. Аналітики сподіваються, що обсяг цього сегменту ринку перевищить $82,50 млрд до 2034-го.

Наразі головним ідеологом Passwordless можна вважати компанію Google. Два роки тому компанія Google почала розгортати перехід на технологію Passkey для авторизації, за декілька місяців компанія зробила її стандартом для аутентифікації. Ідея Passkey полягає у використанні замість паролів двох ключів, комбінація яких стає аутентифікатором. Спочатку ці ключі генеруються, до прикладу, за допомогою смартфону чи аутентифікатора. Приватний ключ зберігається на пристрої, а публічний передається на сервер. Аутентифікація за допомогою Passkey буде відбуватися наступним способом: сайт звернеться до сервера із публічним ключем, проте підтвердити його потрібно буде за допомогою приватного. А зробити це можна буде, просто підтвердивши особу-власника смартфону, до прикладу, через FaceID. Як тільки Passkey почнуть додавати у свої онлайн-сервіси популярні платформи, почнеться реальна відмова світу технологій від паролів.

Неоднозначне майбутнє без паролів

Переваги переходу до безпарольної аутентифікації з погляду кібербезпеки є очевидними. Передусім Passwordless мінімізує ризики, пов’язані з фішингом і соціальною інженерією, адже відсутність паролів робить їх використання неможливим. Також зникає потреба у створенні, запам’ятовуванні та регулярній зміні паролів, що суттєво спрощує управління доступами й зменшує витрати часу та ресурсів на їхнє адміністрування.

Однак у цієї концепції є й зворотний бік. Одним із ключових викликів є залежність від пристрою. Більшість сучасних методів безпарольного входу, наприклад, біометрична аутентифікація або використання криптографічних ключів, вимагають наявності конкретного схваленого пристрою. Втрата, пошкодження чи недоступність такого пристрою може ускладнити доступ до акаунтів і створити нові потенційні ризики.

Загалом успішне впровадження Passwordless залежить не лише від технологій, а й від готовності користувачів змінювати звички та адаптуватися до нового. Вирішальну роль у цьому можуть відіграти онлайн-сервіси, які поступово або примусово переводитимуть користувачів на безпарольні методи аутентифікації.

Рух до безпарольного доступу — це важливий етап еволюції цифрової безпеки. І хоча він несе певні виклики, ця зміна видається неминучою та логічною. Ймовірно, ця трансформація незворотною, адже традиційні паролі вже давно вичерпали себе як надійний засіб захисту. Світ технологій неминуче шукатиме ефективніші альтернативи, і Passwordless-концепція може стати саме тим рішенням, яке визначить майбутнє кібербезпеки.