Недостатки популярных методов аутентификации

Недостатки популярных методов аутентификации

Сейчас на каждом углу можно слышать о необходимости использовать надежные пароли. Но мало кто задумывается над тем, что пароли – далеко не самый надежный способ защитить свои персональные данные, а многие предлагаемые современные методы не многим лучше. Давайте же разберемся, сколько же правды в подобных утверждениях, и какой способ аутентификации все же самый надежный.


Сколько бы специалисты по информационной безопасности не обращались к пользователям Интернета с призывами выбирать сложные пароли, исследования утекших баз паролей все равно приводят к единому результату – ключи типа “qwerty”, “qwerty123”, “123456” или “iloveyou” по-прежнему занимают лидирующие места. А это значит, что взломать пароль методом банального перебора можно достаточно легко. И если цель хакера – не качество, а количество взломанных аккаунтов, то она будет достигнута. А значит, пароль в широком смысле  - не панацея.


Сейчас специалисты активно ищут технологию, которая могла бы придти на смену паролям.  И в последнее время все больше говорят о том, чтобы ввести биометрическую аутентификацию – по отпечаткам пальцев, с помощью сканера сетчатки и т.д.


Наверняка, многие из читателей знакомы с таким способом по фильмам и книгам. Но, к сожалению, подобная аутентификация не насколько надежна, как принято считать. Уже два года назад были созданы прототипы устройств, работающих подобно устройствам кардеров – они способны считывать, идентифицировать и передавать третьим лицам информацию об отпечатках ладони. Сейчас на Западе (где уже имеют практику внедрения биометрической аутентификации) такие устройства получают все более широкое распространение.


Кроме того, специалисты предлагают использовать биометрический доступ для доступа к сервису, который будет хранить в одном месте все аккаунты одного человека. Учитывая небезопасность данного способа аутентификации, сложно представить, каких масштабов может достигнуть «охота за отпечатком», и сколько персональных и финансовых данных будет похищено за один взлом.


Поэтому сейчас наиболее безопасным остается использование стандартной двухэтапной аутентификации с помощью связи SMS + пароль. Как нетрудно догадаться, основу безопасности здесь составляет именно «смска» с кодом, пароль несет вспомогательную функцию. Основная причина надежности такого способа – необходимость злоумышленнику иметь физический доступ к мобильному устройству и достаточно сложная технология перехвата SMS.


Но, тем не менее, все же существуют вредоносные приложения, способные читать входящие сообщения. Правда, для того, чтобы они работали, необходимо наличие операционной системы на телефоне, т.е. он должен быть смартфоном и иметь выход в Интернет.


Решение этой проблемы, как ни странно, заключается в использовании более устаревших моделей мобильных телефонов – обычных «звонилок», способных только делать голосовые вызовы, писать и отправлять сообщения. В этом случае для перехвата входящей SMS злоумышленнику понадобится целый набор инструментов, используемых обычно для перехвата звонков и сообщений спецслужбами. Надо ли говорить, что доставать и использовать такое оборудование крайне сложно, и мошенник уж точно не воспользуется таким способом ради получения доступа к одному аккаунту «Вконтакте».


Вот и выходит, что телефон-«звонилка» и двухэтапная аутентификация – один из самых надежных и вместе с тем доступных способов защиты своих данных и аккаунтов.


Роман Идов, ведущий аналитик компании SearchInform:

Безусловно, парольная аутентификация – морально устаревшая и не слишком надежная технология, используемая повсеместно из-за своей дешевизны и простоты. Но если вы действительно хотите защитить свои данные, то лучше выбрать двухфакторную аутентификацию, которая, как показывают исследования, снижает вероятность взлома на 80% по сравнению с обычным паролем. В то же время, нужно понимать, что и двухфакторная аутентификация – не гарантия того, что ваш аккаунт на том или ином сервисе не «уведут», поэтому  стоит вести себя осторожно и быть знакомым с основами обеспечения собственной информационной безопасности.