Почему пароли перестали работать и что идет им на смену

Привычные всем нам пароли из букв, цифр и символов с каждым днем становятся все менее надежными. Даже придумав невероятно сложную комбинацию, вы не можете быть уверены в том, что ваш аккаунт в безопасности. Сейчас далеко не все зависит от вашей находчивости — часто логины и пароли попадают в руки злоумышленников по вине интернет-сервисов, например, соцсетей. Как происходит утечка этой важной информации и как можно защитить себя от взлома?

Жительница Лондона, назвавшая себя журналистам Сарой, рассказала о том, как ее пытались обокрасть злоумышленники, завладевшие паролем от аккаунта клиент-банка, несмотря на его полное соответствие требованиям безопасности.

В 2017 году Сара, работавшая актрисой в одном из лондонских театров, пришла домой с репетиции и увидела, что ее электронный почтовый ящик взломан. Но это было не самой большой неприятностью. Воспользовавшись доступом к почте, киберпреступники успели выпустить на имя Сары две кредитные карты. В оформлении еще одной банк отказал, заметив подозрительную финансовую активность клиента.

Женщине пришлось потратить 150 фунтов (более 12 тысяч рублей) на проверку платежеспособности, чтобы получить полную картину того, какие услуги банка еще были заказаны от ее имени. На восстановление справедливости, по словам Сары, также ушло немало времени.

Компания Cifas, являющаяся одним из крупнейших экспертов в области цифровой безопасности в Великобритании, заявила, что ее специалисты зафиксировали за минувший год около 190 тысяч случаев мошенничества в интернете. Большинство из них были связаны с получением доступа к аккаунтам через пароль.

Биометрия спасает мир

Как защитить свои данные и деньги от посягательств в этом мире, где так много зла и несправедливости? В первую очередь нужно использовать надежный пароль. То, что мы считаем непробиваемой комбинацией символов, суть которой понятна только избранному, преступники часто щелкают как семечки, используя специальное ПО и недоработки в безопасности популярных сервисов.

Но даже длинный и лишенный логики пароль не сможет гарантировать абсолютную неуязвимость, так как его могут просто взять в готовом виде прямо… на Facebook. В марте 2019 года представители социальной сети признались, что пароли миллионов пользователей Facebook и Instagram хранились на серверах в незашифрованном виде.

Еще одним примером может стать случай с популярным сервисом вопросов и ответов Quora. Хакеры взломали этот сайт и главным призом для них стали 100 миллионов логинов и паролей к электронным почтам пользователей со всего мира.

В 2013-2014 годах подобное произошло с гигантом Yahoo! Преступники взломали сервер компании и украли более 3 миллиардов логинов, паролей и контрольных вопросов! Только год назад компании с трудом удалось закрыть все вопросы, связанные с претензиями пользователей и целых компаний.

Глядя на все это, компания Microsoft объявила в 2018 году о том, что собирается полностью отказаться от такого морально устаревшего способа защиты данных как пароли. Создатели Windows считают, что будущее за биометрическими данными и специальными ключами безопасности.

Прогноз компании Gartner, занимающейся исследованием мирового рынка IT, говорит о том, что уже к 2022 году 60% представителей крупного бизнеса и почти все компании средних размеров, сократят свою зависимость от паролей наполовину и начнут внедрять более эффективные методы аутентификации пользователей.

Джейсон Тули, директор по прибыли компании Veridium, разрабатывающей решения для биометрии, сообщил журналистам свое видение вопроса:

Отказ от паролей имеет еще один немаловажный плюс — компании сократят расходы, связанные с заменой старых паролей на новые, если сотрудник забыл комбинацию или она случайно стала известна посторонним. В крупных фирмах экономия может быть весьма существенной. Согласно информации, которой владеет Тули, манипуляции с паролями ежегодно обходятся компаниям в 200 долларов на каждого сотрудника.

Филипп Блэк, коммерческий директор компании Post-Quantum, разрабатывающей системы шифрования данных, также уверен, что время паролей подошло к концу.

В Евросоюзе стараются уже сегодня решать эту проблему. Наиболее серьезной попыткой стало введение директивы о платежных услугах, известной как PSD2. Согласно этому документу, каждая компания должна использовать как минимум два разных способа идентификации сотрудника.

Современные системы имеют множество разных алгоритмов. Иногда для первичного установления личности используется что-то личное, например, банковская карта пользователя. Вторым этапом может стать введение PIN-кода или использование биометрических данных.

К идентификации пользователей по их биологическим особенностям в мире относятся все более благосклонно. Уже совершенно очевидно, что этот способ авторизации гораздо надежнее, чем пароли, SMS на телефон и именные жетоны. В 2019 году 67% банков мира сделали инвестиции в технологии физической биометрии, такие как распознание голоса, лица и, разумеется, отпечатков пальцев.

В этом году крупный банк NatWest ввел в обращение дебетовые карты со встроенным сканером отпечатков пальцев. Имеющийся опыт показывает, что использование биометрии не вызывает у людей ни малейших затруднений, но для внедрения этих технологий требуется специальное оборудование.

К счастью, с каждым годом устройства для биометрической идентификации становятся все более доступны. Статистика утверждает, что у пятой части жителей Великобритании в карманах лежат смартфоны с дактилоскопическим датчиком.

Как украсть отпечатки пальцев

К сожалению, злоумышленники также развивают свои навыки и используют инновационные технологии. В сентябре этого года на конференции по кибербезопасности, прошедшей в Шанхае, специалисты продемонстрировали способ похищения отпечатков пальцев на расстоянии, при помощи фотографии.

Если у вас украдут пароль, то это неприятно, но если у вас похитят отпечатки пальцев — то это уже катастрофа. Не верите? Тогда попробуйте изменить их также как меняете комбинацию цифр и букв в пароле. Так что с этим вопросом специалистам в области цифровой безопасности еще предстоит поломать голову.

Пока решение только одно — использование многофакторной аутентификации, сочетающей в себе несколько разных способов определения личности пользователя. А их гораздо больше, чем вы думаете. В частности, современные системы умеют определять личность по геолокации, списку покупок и даже по манере держать в руке мобильный телефон.

Али Никнам, исполнительный директор мобильного банковского сервиса Bunq, уверен, что биометрия не сможет эффективно заменить пароли.

Пока многофакторная аутентификация считается безопасной, но ее использование лишает процесс входа в сервисы прозрачности. Как человек может быть уверен в надежности защиты, если не имеет представления каким образом она работает?

Сара, о которой мы рассказали в начале нашей статьи, никогда не публикует свою дату рождения и другую личную информацию. Женщина в свои 33 года считает себя технически подкованной в вопросах информационной безопасности, но, как видим, это не уберегло ее от инцидента с банковскими картами. Вся надежда на разработчиков, которые рано или поздно придумают способ просто и надежно обезопасить аккаунты.

А пока самым распространенным способом создать себе неприятности, является халатность, как в случае с сотрудниками одного гавайского агентства по чрезвычайным ситуациям, которые хранили пароль в наиболее неподходящем для этого месте.

Смотрите также — 10 самых известных хакеров в истории