Содержание
Пароли сейчас образ жизни. Трудно представить, каким будет Интернет без каких-либо паролей, не так ли? Тем не менее, если бы мы обдумывали идею пароля хотя бы на мгновение, мы бы поняли, что пароли просто не очень безопасны. Действительно, большинство экспертов по безопасности уже знают это, но здесь мы все еще используем пароли. Зачем?
С каждой другой взломанной базой данных и скандалом с кредитной картой становится все более очевидным, что мы не можем больше полагаться на пароли. Но если не пароли, что еще там?
Почему мы начали использовать пароли
У древних римлян была система лозунгов, которые использовались для подтверждения личности и авторитета. Более того, лозунги использовались для входа в секретные локации или для доступа к частным ресурсам. Звучит очень похоже на современные пароли, верно? Эти лозунги менялись так часто, как раз в день, и оказались весьма эффективными.
В конце концов, лозунги превратились в пароли и контр-пароли, где часовой представлял загадочный вопрос или фразу и ожидал заранее определенного ответа. Подумайте о секретном вопросе современного веб-сайта, и вы получите правильное представление.
Например, в битве за Нормандию американские солдаты произносили «Вспышку», встречая неизвестных групп в поле. Отвечая «Громом», солдаты могут доказать, что они действительно союзники, а не шпионы или самозванцы.
Компьютеры имеют свои корни в армии, поэтому удивительно, что мы приняли механизм паролей для специализированного доступа? Мы сделали несколько улучшений — например, привязали пароль непосредственно к имени пользователя для личных учетных записей — но эта концепция существует уже тысячи лет.
Пароли: один огромный недостаток
Пароли хорошо послужили нам, в этом нет никаких сомнений. Тем не менее, они не идеальны. Отнюдь не. Фактически, концепция пароля имеет один явный недостаток, который никогда не может быть исправлен: пароли — это все или ничего.
Мы приложили много усилий, чтобы подобрать надежный пароль
и убедитесь, что конфиденциальные данные зашифрованы
, но ничего из этого не имеет значения, когда кто-то знает сам пароль. Как только они это получат, игра окончена. По сути, защита паролем — это безопасность через мрак, практика безопасности, которая повсеместно подвергается критике как слабая и неэффективная.
Что если мы объединили пароли с вопросами безопасности? Похоже, что это типичное решение, используемое банками и другими местами, которые предлагают безопасные счета, но если подумать, вопросы безопасности — это просто пароли в другой оболочке и страдают от той же проблемы использования неясности для безопасности.
Тем не менее, есть много других недостатков использования паролей в эпоху Интернета:
- Большинство пользователей не хотят беспокоиться о запоминании сложного пароля и поэтому по умолчанию используют упрощенный пароль, который легко угадать.
- Большинство пользователей используют один и тот же пароль для многих учетных записей, в результате чего один ключ открывает десятки (или сотни) дверей.
- Большинство пользователей даже не хранят свои пароли в секрете. Все, от учетных записей Netflix до банковских счетов, веб-учетных записей и видеоигр, часто делится между друзьями, членами семьи и даже незнакомыми людьми.
- Шифрование и секретность бесполезны против клавиатурных шпионов
, Проблема не связана с компьютерами. Вы когда-нибудь видели взломанный банкомат
?
Каковы доступные альтернативы?
Двухфакторная аутентификация
становится все более популярным в эти дни. В отличие от комбинации пароль + вопрос безопасности, которая в основном запрашивает два экземпляра одного и того же вида информации, для двухфакторной аутентификации требуется два разных типа подтверждения личности, например, пароль + мобильный телефон.
И это направление, в котором должна двигаться безопасность. Поскольку пароли нематериальны, они могут быть скомпрометированы только знаниями. Наличие какого-либо физического доказательства личности является более сильной мерой безопасности.
Например, USB-накопители можно превратить в физические ключи
, Эта практика еще не получила широкого распространения, но, похоже, она может иметь много практических применений. Что делать, если сертификаты безопасности USB были выданы и использованы таким образом, что определенные веб-сайты будут предоставлять доступ только при подключенном USB-накопителе?
Биометрия — использование человеческих характеристик для контроля доступа — это еще одна область, которая заслуживает большего внимания. Один из возможных способов — использовать снимок с веб-камеры в качестве пароля.
через магию распознавания лиц. Другие маршруты включают отпечатки пальцев, сканирование радужной оболочки глаза и распознавание голоса.
Однако есть критический недостаток, и это возможность потери доступа из-за обезображивания, ампутации, ларингита или чего-то еще. Существует также тот факт, что аутентификация должна быть достаточно строгой, чтобы ее не обманули самозванцы / фотографии / записи, и в то же время достаточно снисходительны, чтобы учесть ежедневные колебания внешнего вида, голоса и т. Д.
И наконец, некоторые предлагают использовать RFID-чипы или устройства NFC вместо пароля, что позволяет вам «проложить» свой путь через безопасность; другими словами, прославленная карточка-ключ. Но они тоже имеют свои недостатки. RFID может быть перехвачен
и устройства NFC небезопасны
,
Так что же забрать? Обязательно используйте надежные пароли
поддерживать хорошие привычки безопасности
и помогать обучать других. Хотя мы пока застряли на использовании паролей, мы с нетерпением ждем того дня, когда пароли станут старыми новостями.
Как вы думаете? Вы предпочитаете использовать пароли или предпочитаете, чтобы мы полностью от них отказались? Какие еще есть альтернативы? Поделитесь с нами в комментариях ниже!
Кредит изображения: Поле пароля через Shutterstock, Безопасность через неизвестность через Shutterstock, USB-ключ через Shutterstock, Сканирование радужной оболочки через Shutterstock
