| 4 августа 2016 г. — 7:45 утра PT
Я уже говорил, и повторю снова: пароли — это ужасно устаревший и неуклюжий подход к безопасности, и пора отправить их в историю. Эта точка зрения была подкреплена главным технологом Федеральной торговой комиссии Лорри Краннор, которая на этой неделе заявила на конференции по безопасности, что официальные правительственные рекомендации регулярно менять пароли на самом деле могут ухудшить ситуацию.
Ее аргумент основан на том, что я не только видел сам, но и делал сам — когда работал в крупной компании, которая требовала ежемесячной смены паролей. Когда вы заставляете людей регулярно менять пароли, они используют предсказуемый шаблон — часто не более чем увеличивают число (что-то001, что-то002 и так далее). Это не только облегчает взлом существующих паролей, но и позволяет предсказать, каким будет будущий пароль…
Исследователи использовали обнаруженные ими преобразования для разработки алгоритмов, которые смогли с высокой точностью предсказывать изменения. Затем они смоделировали реальные взломы, чтобы увидеть, насколько хорошо они сработали. При онлайн-атаках, когда злоумышленники пытаются сделать как можно больше попыток, прежде чем целевая сеть заблокирует их, алгоритм взломал 17 процентов учетных записей менее чем за пять попыток. При офлайн-атаках, выполненных на восстановленных хешах с использованием сверхбыстрых компьютеров, 41 процент измененных паролей были взломаны в течение трех секунд.
Таким образом, пароли по своей сути небезопасны, а меры, призванные сделать их менее таковыми, на самом деле могут оказаться контрпродуктивными.
Apple, разумеется, уже предприняла некоторые шаги для снижения зависимости от паролей, представив Touch ID на iPhone 5s и очень запоздало предложив Автоматическую разблокировку Mac через Apple Watch. Я очень надеюсь, что это будет всего лишь промежуточным этапом перед внедрением Touch ID на Mac.
Но, как я уже утверждал, Touch ID — это лишь частичное решение проблемы. Оно не устраняет необходимость в паролях, и на самом деле одно незаметное изменение в iOS в начале этого года означает, что нам приходится использовать наши коды доступа iOS чаще.
Двухфакторная аутентификация улучшает безопасность паролей, но далеко не идеально. Несмотря на недостатки, неудобство этого подхода и отсутствие обучения потребителей означают, что многие люди просто не заморачиваются.
Пароли — это технология, которая датируется примерно 200 г. до н.э., и впервые появилась в компьютерах в 1961 году. Не то чтобы мы не могли сделать что-то лучшее через 55 лет (или 22 столетия)…
HSBC объявил ранее в этом году, что полностью переходит на биометрическую безопасность, заменяя как пароли, так и запоминаемые вопросы комбинацией Touch ID и распознавания голоса — при этом технологии Apple играют ключевую роль в этом переходе. Другие финансовые учреждения также применяют аналогичные подходы.
Текущая форма Touch ID от Apple — Secure Enclave, требующая ввод кода для активации Touch ID при перезагрузке устройства и регулярно после этого — означает, что он никогда не сможет полностью заменить пароль. Но это не значит, что в будущих устройствах нельзя найти техническое решение, которое позволит отказаться от паролей.
Конечно, отпечатки пальцев и голоса — не единственные формы доступной биометрической безопасности. Мы эксклюзивно сообщили еще в 2014 году, что Apple работает над технологией сканирования радужной оболочки глаза, и недавний отчет предположил, что Apple может планировать это для iPhone 2018 года. Samsung уже продемонстрировала возможность его интеграции в мобильное устройство в виде нового Galaxy Note 7.
Распознавание лиц — еще одна технология, которая давно используется для разблокировки устройств Android, хотя и не с лучшими историями успеха. Но это не значит, что с самим подходом что-то не так — первые сканеры отпечатков пальцев были такими же ненадежными, пока Apple не представила первую технологию, которая действительно подходила для этой задачи.
Короче говоря, мы находимся на этапе, когда пароли давно просрочены, и существует множество других доступных технологий для их замены.
Почему я думаю, что Apple должна взять на себя инициативу в этом? По трём причинам. Во-первых, Apple — это, прежде всего, удобство использования. Хотя Apple I, возможно, и была новаторской, вся бизнес-модель Apple с тех пор строилась на том, чтобы брать уже существующие вещи и делать их работающими так, как должны. Пароли не проходят ни одного разумного теста на удобство использования, и этого одного было бы достаточно, чтобы Apple работала изо всех сил над их заменой.
Во-вторых, Apple является чрезвычайно сильным сторонником конфиденциальности и безопасности. Пароли больше не соответствуют назначению, когда речь идет об уровне безопасности, который Apple стремится предложить. Они уязвимы для атак методом полного перебора, для фишинговых кампаний и многого другого.
В-третьих, там, где Apple ведет, другие следуют. Пароли сегодня являются стандартным решением для безопасности. Все их используют, потому что их используют все. Apple демонстрирует готовность отказаться от устаревших технологий — от дискет до разъемов для наушников. Думать иначе, если хотите. Компания редко бывает первой в чем-либо, но как только Apple занимает позицию по какому-либо вопросу, это легитимизирует его в глазах массового рынка. Делает его не просто приемлемым, а желанным.
Таким образом, Apple занимает уникальное положение, чтобы взять на себя инициативу в вопросе, который давно назрел: превратить пароли во что-то, о чем наши дети будут читать на уроках истории. И сейчас самое время сделать это.
Вы согласны? Или вы думаете, что пароли еще должны существовать какое-то время? Пожалуйста, примите участие в нашем опросе и поделитесь своими мыслями в комментариях.
Изображения: zastavki.com; Apple; Apple