Исследование компании Deloitte показало, что более 90% паролей интернет-пользователей уязвимы к хакерским атакам. Действительно, в последние годы безопасность аутентификации по паролю подвергается все большему сомнению. В июне 2012 г. в публичный доступ были выложены 165 тыс. хэшей паролей от аккаунтов пользователей популярной социальной сети LinkedIn. Компания Rapid7 провела их анализ и составила небольшой отчет, в котором показала, насколько предсказуемы пользователи при выборе паролей. Из года в год в списке самых популярных паролей лидируют «password», «12345», «qwerty» и т.п.
Топ-30 самых популярных комбинаций для паролей, по результатам анализа 165 тыс. подобранных паролей
Количество паролей | Комбинация для пароля | Количество паролей | Комбинация для пароля | Количество паролей | Комбинация для пароля |
941 | link | 95 | jesus | 46 | dragon |
435 | 1234 | 91 | connect | 45 | soccer |
294 | work | 85 | f**k | 32 | killer |
214 | god | 78 | monkey | 32 | 654321 |
205 | job | 76 | 123456 | 31 | pepper |
179 | 12345 | 72 | master | 30 | devil |
176 | angel | 65 | b**ch | 29 | princess |
143 | the | 60 | d**k | 28 | 1234567 |
133 | ilove | 52 | michael | 26 | iloveyou |
119 | sex | 48 | jordan | 26 | career |
Источник: Rapid7, 2012
Дело в том, что проблема не столько в самих паролях, сколько в людях, их использующих. Обычный человек просто не в состоянии помнить много длинных и устойчивых к взлому комбинаций. Другими словами, разработанные правила для создания паролей – минимальная длина, использование спецсимволов, различные регистры и т.д. – и эффективны и бесполезны одновременно. Они эффективны с точки зрения чистой теории (чем длиннее и «заковыристее» комбинация, тем она более устойчивая к взлому), но бесполезны с позиции удобства использования.
Согласно итогам исследования по компрометации данных, проведенного экспертами компании Verizon в 2013 г. (Verizon 2013 Data Breach Investigations Data Breach Investigations Report), атаки с использованием слабых паролей используются злоумышленниками очень широко.
ТОП-20 угроз по компрометации данных
Источник: Verizon, 2013
Почти все компании, которые задумываются об угрозах безопасности, исходящих от вынужденной слабости парольной аутентификации, начинают с введения системы отправки одноразовых паролей через SMS. Этот путь прошли и Google, и Facebook, и Twitter и многие другие. Еще больше компаний используют SMS в качестве механизма восстановления доступа к аккаунту. Однако у данного решения есть как свои достоинства, так и недостатки. При всей своей простоте и доступности подобный способ имеет ненадежный и негарантированный механизм доставки секретного пароля. Никто не может гарантировать исправность мобильного телефона пользователя или его нахождение в зоне действия сети оператора. Кроме того, кто-то должен платить за отправление SMS. И, конечно, это не пользователь. Следовательно, компаниям, решившим повысить безопасность своих сервисов этим способом, придется взять на себя дополнительную финансовую нагрузку по оплате услуг оператора.
Понимание этих проблем подталкивает сервисы искать другие способы строгой аутентификации пользователей. В настоящий момент больше всего распространены программные и аппаратные генераторы одноразовых паролей. Однако и эти решения подвержены фишинг-атакам и кроме того требуют хранения «секрета» на сервере, что небезопасно в случае утечки базы пользователей. По этой же причине использовать одно устройство на разных сервисах не представляется возможным. Более продвинутым решением строгой аутентификации является использование USB-токенов с криптографией на борту. В процессе аутентификации используются асимметричные алгоритмы, что позволяет не хранить на сервере секретные ключи. Такого рода решения весьма эффективно могут работать на любых платформах, но только при наличии USB-разъема. Поэтому проблему аутентификации сегодня пробуют решить сразу с нескольких сторон. Кто-то ведет разработки в ключе биометрии, кто-то создает новые защищенные смарт-карты. И хотя созданные решения достаточно эффективны, применяются они очень ограниченно (главным образом в связи с отсутствием совместимости и поддержки во множестве существующих сервисов). Описанные проблемы заставляют крупных игроков интернет-бизнеса искать новые безопасные и универсальные решения строгой аутентификации. Именно поэтому с появлением FIDO в альянс вступили многие значимые в этой области компании.
Сообщество неравнодушных
FIDO Alliance (Fast Identity Online Alliance) – это сообщество технологических компаний, которые занимаются поиском надежного стандарта аутентификации пользователя, чтобы заменить привычные пароли. Альянс рассчитывает, что стандарт позволит людям и организациям использовать тот способ аутентификации, который покажется предпочтительным именно для них.
Альянс был создан в июле 2012 г. несколькими компаниями (Lenovo, PayPal, и др.), однако за короткий срок сумел привлечь множество сторонников со всех уголков мира. Сегодня Россия в альянсе представлена только одной организацией – компанией «Актив», занимающейся разработкой и производством программно-аппаратных средств обеспечения информационной безопасности.
Примечательным событием в деятельности альянса стало вступление в него Google. Дело в том, что компания уже достаточно давно вела собственные разработки по усилению защиты пользователей. Результаты работы знакомы практически каждому пользователю сервисов «корпорации добра». Это одноразовые пароли через SMS, OTP-токены (отдельные физические устройства, на которые посылаются одноразовые пароли), или программный генератор одноразовых паролей «Google Authenticator». Но, несмотря на разнообразие применяемых решений, Google до сих пор продолжает активно искать новые, что свидетельствует о несовершенстве существующих.
Источник: CNEWS