Паролі зараз спосіб життя. Важко уявити, яким був би Інтернет без будь-яких паролів, чи не так? Проте, якби ми обмірковували ідею пароля хоча б на мить, ми б зрозуміли, що паролі просто не дуже безпечні. Дійсно, більшість експертів з безпеки вже знають це, але тут ми все ще використовуємо паролі. Навіщо?
З кожною іншою зламаною базою даних і скандалом з кредитною карткою стає все більш очевидним, що ми не можемо покладатися на паролі набагато довше. Але якщо не паролі, що ще там?
Чому ми почали використовувати паролі
У давніх римлян була система гасел, які використовувалися для підтвердження особи і авторитету. Більш того, гасла використовувалися для входу в секретні локації або для доступу до приватних ресурсів. Звучить дуже схоже на сучасні паролі, вірно? Ці гасла змінювалися так часто, якраз на день, і виявилися досить ефективними.
Зрештою, гасла перетворилися на паролі і контр-паролі, де годинне представляло загадкове питання або фразу і очікувало заздалегідь певної відповіді. Подумайте над питанням безпеки сучасного веб-сайту, і ви отримаєте правильне уявлення.
Наприклад, у битві за Нормандію американські солдати виголошували «Спалах», зустрічаючи невідомих груп у полі. Відповідаючи «Громом», солдати можуть довести, що вони дійсно союзники, а не шпигуни або самозванці.
Комп'ютери мають своє коріння в армії, тому дивно, що ми прийняли механізм паролів для спеціалізованого доступу? Ми зробили кілька поліпшень - наприклад, прив'язали пароль безпосередньо до імені користувача для особистих облікових записів - але ця концепція існує вже тисячі років.
Паролі: один величезний недолік
Паролі добре послужили нам, в цьому немає ніяких сумнівів. Однак вони не ідеальні. Аж ніяк не. Фактично, концепція пароля має один явний недолік, який ніколи не може бути виправлений: паролі - це все або нічого.
Ми доклали чимало зусиль, щоб підібрати надійний пароль. створити паролі створити і переконайтеся, що конфіденційні дані зашифровані, але все це не має значення, коли хтось знає пароль. Як тільки вони це отримають, гра закінчена. По суті, захист паролем - це безпека через морок, практика безпеки, яка повсюдно піддається критиці як слабка і неефективна.
Що якщо ми об'єднали паролі з питаннями безпеки? Схоже, це типове рішення, що використовується банками та іншими місцями, які пропонують безпечні облікові записи, але якщо подумати, питання безпеки - це просто паролі в іншій обгортці і страждають від тієї ж проблеми використання неясності для безпеки.
Тим не менш, є багато інших недоліків використання паролів в епоху Інтернету:
- Більшість користувачів не хочуть турбуватися про запам'ятовування складного пароля і тому за замовчуванням використовують простий пароль, який легко вгадати.
- Більшість користувачів використовують один і той же пароль для багатьох облікових записів, в результаті чого один ключ відкриває десятки (або сотні) дверей.
- Більшість користувачів навіть не зберігають свої паролі в секреті. Все, від облікових записів Netflix до банківських рахунків, веб-облікових записів і відеоігор, часто передається друзям, членам сім'ї і навіть незнайомим людям.
- Шифрування і секретність марні для клавіатурних шпигунів. стайте жертвами кейлогерів. Проблема не пов'язана з комп'ютерами. Ви коли-небудь бачили зламаний банкомат? виявити зламаний банкомат?
Які доступні альтернативи?
Двофакторна автентифікація двофакторна автентифікація стає все більш популярною в наші дні. На відміну від комбінації пароль + питання безпеки, яка в основному запитує два екземпляри одного і того ж виду інформації, для двофакторної автентифікації потрібно два різних типи підтвердження особи, наприклад пароль + мобільний телефон.
І це напрямок, в якому повинна рухатися безпека. Оскільки паролі нематеріальні, вони можуть бути скомпрометовані тільки знаннями. Наявність будь-якого фізичного підтвердження особи є більш сильним заходом безпеки.
Наприклад, USB-накопичувачі можна перетворити на фізичні ключі. Практика ще не отримала широкого поширення, але, схоже, вона може мати багато практичного застосування. Що, якщо сертифікати безпеки USB були видані і використані таким чином, що певні веб-сайти будуть надавати доступ тільки при підключеному USB-накопичувачі?
Біометрія - використання людських характеристик для контролю доступу - це ще одна область, яка заслуговує більшої уваги. Один з можливих способів - використовувати знімок з веб-камери як пароль. через магію розпізнавання облич. Інші маршрути включають відбитки пальців, сканування райдужної оболонки ока і розпізнавання голосу.
Однак є критичний недолік, і це можливість втрати доступу через знеображення, ампутацію, ларингіт або що-небудь ще. Також існує той факт, що автентифікація повинна бути досить суворою, щоб її не обдурили самозванці/фотографії/записи, і в той же час досить поблажливі, щоб врахувати щоденні коливання зовнішнього вигляду, голосу і т. Д.
І, нарешті, деякі пропонують використовувати RFID-чіпи або пристрої NFC замість пароля, що дозволяє вам «пролистувати» свій шлях через безпеку; іншими словами, прославлена картка-ключ. Але у них теж є свої недоліки. RFID може бути перехоплений і NFC-пристрої небезпечні при.
Так що ж забрати? Обов "язково використовуйте надійні паролі, зберігайте добрі звички безпеки шкідливі і допомагайте навчати інших. Хоча зараз ми застрягли з використанням паролів, ми з нетерпінням чекаємо того дня, коли паролі стануть старими новинами.
Що ви думаєте? Ви волієте використовувати паролі або волієте, щоб ми повністю відійшли від них? Які ще є альтернативи? Поділіться з нами в коментарях нижче!