×
Избавьтесь от паролей: набор символов вас не защитит

«Этим летом хакеры уничтожили всю мою цифровую жизнь всего лишь за час».

Мат Хонан

 

У ВАС ЕСТЬ СЕКРЕТ, который может разрушить вашу жизнь.

 

Это уж не такая и скрываемая тайна. Вас защищает всего лишь строка символов, 6 символов, если вы не задумывались над сложностью пароля, или же 16 символов, если вы очень осторожный. Зная их, можно раскрыть все ваши секреты.

 

Ваш адрес электронный почты. Ваш банковский счет. Ваш адрес и номер кредитной карты. Фотографии ваших детей или, что еще хуже, ваши откровенные фотографии. Точное место, где вы сидите сейчас и читаете эти слова. С самого начала информационного века мы приняли идею, что достаточно сложный пароль является адекватным средством защиты всех ваших драгоценных данных. Но сейчас это заблуждение, фантазия и устаревший маркетинговый ход.

 

Независимо от сложности и уникальности вашего пароля – он больше не защитит вас. Оглянитесь вокруг. Утечки и сливы данных – это хакеры взламывают компьютерные системы и спокойно выкладывают списки логинов и паролей на веб-ресурсы в открытом доступе. Благодаря быстрому приросту информации, хранящейся в облаке, обманывать обслуживаемых клиентов стало как никогда просто. Все, что должен сделать хакер, – это использовать личную информацию, которая общедоступна на одном ресурсе, чтобы войти на другой ресурс.

 

Этим летом хакеры уничтожили всю мою цифровую жизнь всего лишь за час. Все мои пароли от Apple, Twitter, Gmail были очень надежными, из 7, 10 и 19 символов, все алфавитно-цифровые, но все три ресурса были связаны между собой, и как только хакеры получили доступ к одному, то сразу получили доступ ко всем. Они просто хотели мой логин Twitter: @mat, так как три буквы в имени пользователя считаются престижным логином. И, чтобы остановить меня от возвращения аккаунта обратно, они использовали мой аккаунт Apple и стирали все мои документы, сообщения, даже рисунки 18-месячной дочери из моих устройств iPhone, iPad и MacBook.

 

Поскольку этот день был отвратителен, то я посвятил себя исследованию мира онлайн-безопасности. И то, что я обнаружил, – крайне ужасающе. Нашу цифровую жизнь слишком просто взломать. Представьте себе, что я хочу получить доступ к вашему электронному почтовому ящику. Допустим, он находится на AOL. Все, что мне нужно сделать, – это зайти на веб-сайт и ввести ваше имя, возможно, добавив город, в котором вы родились, или ваш возраст. Эту информацию можно взять из Google. И с этим набором AOL дает мне возможность сбросить пароль, и я, так же как и вы, могу войти в ваш аккаунт. 

 

Команды хакеров

 

Что я сделаю первым делом? Найду слово «Банк», чтобы определить, в каком банке вы совершаете онлайн-операции. Захожу на этот сайт, кликаю на ссылку «Забыли пароль?». С помощью этого я получаю возможность сбросить пароль и войти в вашу учетную запись, которую я могу контролировать. Теперь я владелец вашего лицевого счета и адреса электронной почты.

 

Этим летом я научился попадать хоть куда. С помощью двух минут и 4 $ на открытие иностранного сайта я могу рассказать вам о вашей кредитной карте, номере телефона, номере социального страхования и ваш домашний адрес. Дайте мне на 5 минут больше, и я смогу быть внутри ваших счетов на, скажем, Amazon, Best Buy, Hulu, Microsoft и Netflix. Дайте мне еще 10 минут, и я смогу использовать ваши AT&T, Comcast и Verizon. Если добавить еще 20 минут, то я стану собственником вашего PayPal. Некоторые из этих дыр в безопасности сейчас уже устранены. Но не все, и новые обнаруживаются каждый день.

 

Общая слабость, делающая все эти взломы возможными, – это пароль. Это пережиток того времени, когда наши компьютеры не были связаны глобальной сетью. Сегодня вы ничего не сможете с этим сделать, и даже особо сложный, составленный из случайных символов пароль не сможет остановить по-настоящему коварных и преданных своему делу людей от взлома вашего аккаунта. Время паролей подошло к концу – мы просто еще не понимаем этого.

 

Пароли стары, как и цивилизация. И все время, пока они существуют, люди взламывают их. В 413 г. до н. э., в разгар Пелопоннесской войны, афинский полководец Демосфен высадился в Сицилии с 5000 солдат, чтобы помочь в нападении на Сиракузы. Для греков все шло хорошо. Сиракузы, ключевой союзник Спарты, казалось, обязательно падет. Но во время хаотичной ночной битвы при Эпиполе силы Демосфена были рассредоточены, и при попытке перестроиться они стали кричать свой заранее подготовленный лозунг, который будет идентифицировать солдат как дружественных. Жители Сиракуз услышали это и спокойно передали через свои ряды. Когда греки стали побеждать, то этот лозунг помог врагам стать союзниками. Используя эту уловку, защитники Сиракуз уничтожили захватчиков, и, когда взошло солнце, их конница добила остальных. Это был переломный момент в войне.

 

Первые компьютеры использовали пароли в Compatible Time-Sharing System MIT, разработанной в 1961 году. Это было сделано для того, чтобы ограничить время, которое пользователь мог тратить на работу в системе. Так было только до 1962 года, когда студент доктора философии Аллана Шера, желая больше времени, чем отведенные ему 4 часа, обманул вход в систему с помощью простого хака: он нашел расположение файла, в котором записаны все пароли, и распечатал его. После этого он получил столько времени, сколько хотел.

 

Во время становления интернета, когда мы все только начинали им пользоваться, пароли очень хорошо исполняли свою роль. Это было связано с тем, что они защищали небольшой объем данных. Наши пароли были ограничены горсткой приложений: ISP для электронной почты и, возможно, один или два сайта электронной торговли. Потому что никакой личной информации в облаке не было – облако было маленьким комочком, и, если его взломать, не было никакой пользы; серьезные хакеры все еще следовали за крупными корпоративными системами.

 

Таким образом, наша бдительность была усыплена. Адреса электронной почты стали универсальным логином для доступа на все ресурсы. Эта практика сохранялась, даже когда количество учетных записей росло в геометрической прогрессии. Электронная почта была выходом в мир новых облачных приложений. Мы начали делать интернет-банки в облаке, отслеживать свои финансы в облаке, платить наши налоги в облаке. Мы загружали наши фотографии в облако, наши документы и данные.

 

В конце концов, когда количество глобальных взломов увеличилось, мы начали верить странному психологическому ходу: это понятие «сложный» пароль. Это тот компромисс, на который пошли растущие веб-компании, чтобы сохранить зарегистрированных людей и чтобы они доверяли свои данные сайтам. Этот «лейкопластырь» теперь смывается рекой крови.

 

Каждая система должна допустить два основных компромисса, чтобы функционировать в реальном мире. Первый – это удобство, самая безопасная система не годится, если пользователю тяжело получить к ней доступ. Требование запоминать 256 символов шестнадцатиричного пароля обезопасит ваши данные, ведь никому и в голову не придет такой пароль. Такое повышение уровня безопасности самое легкое, но вы причините пользователям большие неудобства. Это не будет являться работоспособным компромиссом.

 

Второй компромисс – это конфиденциальность. Если вся система разработана, чтобы сохранить ваши данные в тайне, то пользователи вряд ли будут следить за режимом безопасности, зная, что толика их конфиденциальности в процессе. Представьте себе чудо безопасности для вашей спальни: не нужен ни ключ, ни пароль. Это потому, что техника безопасности следит за твоей спальней 24/7, и она может открыть ее, если увидит, что это ты. Не совсем идеально. Без личной жизнь мы могли бы иметь абсолютную безопасность, но никто не согласится на систему, подобную этой.

 

На протяжении всего десятилетия все веб-компании были в ужасе от этих компромиссов. Они просто хотели, чтобы люди заключали с ними договоры и пользовались их услугами, чтобы казаться совершенно конфиденциальными и вполне простыми, но такое положение вещей не может дать адекватную безопасность. Таким образом, сложный пароль стал чем-то вроде универсального решения. Сделайте его достаточно длинным, добавьте заглавные буквы и числа, поэкспериментируйте на восклицательных знаках, и все будет хорошо. Но с годами все перестало быть так прекрасно. В век вычислений, когда даже наши ноутбуки стали мощнее, чем рабочие станции высокого класса десятилетней давности, сложность взлома паролей с помощью «грубой силы» увеличилась всего лишь на несколько миллионов циклов. Это даже если не считать новые методы взлома, которые просто воруют наш логин и пароль или полностью обходят их, то есть методы, для которых вообще не важна сложность и длина пароля, и это никак не предотвратить. Число взломов крупных баз данных в США увеличилось на 67 % в 2011 году, и каждый взлом обходится очень дорого.

 

После того как базу данных Sony PlayStation взломали в 2011 году, компания выложила 171 млн $, чтобы восстановить свою сеть и защитить пользователей от идентичных краж. Подсчитайте общую стоимость, включая потери бизнеса, и увидите, как один простой взлом может стать катастрофой в миллиард долларов.

 

КАК НАШИ ПАРОЛИ ВОРУЮТ?

 

Всеми возможными способами: их угадывают, если пароли банальны, взламывают методом «грубой силы», получают с кейлоггеров или просто сбрасывают, обманывая службу поддержки клиентов компании.

 

Давайте начнем с самого простого способа: угадывание. Беспечность является самым большим риском для всей безопасности. Несмотря на долгие годы, люди все равно используют крайне простые, предсказуемые пароли. Когда консультант Марк Бернетт составил список самых распространенных паролей из 1000 штук на основе легкодоступных источников (например, сброшенные хакерами пароли или простой поиск Google), он обнаружил, что номер один в этом списке – это пароль «password». Второй по популярности пароль – 123456. Если вы используете простой пароль, подобный приведенным выше, то получить ваш счет становится еще проще. Бесплатные инструменты программного обеспечения с такими названиями, как Cain and Abel или John the Ripper, автоматизировали взлом пароля до такой степени, что это, в буквальном смысле, может сделать любой. Все, что вам нужно, – это подключение к интернету и список распространенных паролей (так называемый словарь), которые вы можете легко найти в интернете, чаще всего они находятся в базе данных пользовательского формата. 

 

Уязвимые пароли

 

Но шокирует не то, что люди до сих пор используют такие ужасные пароли. А то, что некоторые компании разрешают делать это. Одни и те же списки паролей, которые могут быть использованы для взлома, могут также использоваться, чтобы убедиться, что никто не в состоянии создать такой пароль в первую очередь. Но спасения нас от наших вредных привычек недостаточно, чтобы сохранить пароль в качестве защитного механизма.

 

Следующей нашей ошибкой является повторное использование пароля. В течение последних двух лет более 280 миллионов «хэша» (то есть шифрованных, но легко взламываемых паролей) было сброшено в интернет на всеобщее обозрение. LinkedIn, Yahoo, Gawker и eHarmony – все они имели нарушения в правилах безопасности, из-за которых были украдены имена пользователей и пароли миллионов людей, а затем выложены на открытые ресурсы. Сравнение двух свалок паролей показало, что 49 % людей повторно использовали один и тот же пароль на взломанных сайтах.

 

«Повторное использование паролей убивает нас, – говорит Диана Смиттерс, инженер-программист Google, работающая с системами аутентификации. – Есть очень эффективная экономика для обмена такой информацией».

 

Чаще всего хакеры, которые выкладывают в интернет списки взломанных паролей, – это, условно говоря, очень хорошие ребята. Плохие парни крадут пароли и спокойно продают их на черном рынке. Ваш логин, возможно, уже был скомпрометирован, и вы не узнаете об этом, пока ваш счет или другой аккаунт, которые вы используете, не будут уничтожены.

 

Хакеры могут получить наши пароли с помощью обмана. Наиболее известный метод фишинга – это имитация знакомого вам сайта, в котором просят ввести вашу регистрационную информацию. Стивен Дауни, технический директор компании Shipley Energy в Пенсильвании, описал, как этот метод поставил под угрозу онлайновый счет одного из членов совета директоров прошлой весной. Исполнительная власть использовала очень сложный буквенно-цифровой пароль, чтобы защитить свой электронный почтовый ящик AOL. Но вам не нужно взламывать пароль, если вы можете убедить владельца назвать его самостоятельно.

 

Использованный способ фишинга: хакер прислал письмо, фиктивно связанное с AOL, в котором попросили ввести логин и пароль. Она сделала это. После этого хакер ничего не делал. Он просто притаился, читая все ее сообщения, изучая ее. Он узнал, где она рассчитывается, что она является бухгалтером и кто управлял ее финансами. Он также выучил все ее фразы, приветствия, манеры, которые она использовала при общении. И только после этого он представился ею и отправил письмо по электронной почте своим бухгалтерам, заказав три отдельных телеграфных перевода денежных средств на общую сумму около 120 000 долларов в банк в Австралии. Ее домашний банк успел перевести 89 000 долларов до того, как аферу раскрыли.

 

Еще более зловещим способом кражи паролей является использование вредоносных программ: это скрытые программы, которые тайно устанавливаются к вам в компьютер и отправляют ваши данные другим людям. Согласно отчету компании Verizon, вредоносные атаки на кражу данных составляют 69 % от всех атак в 2011 году. Они являются эпидемией для Windows и, все чаще, для Android. Malware чаще всего работает путем установки кейлоггера или какой-нибудь другой формы шпионской программы, которые наблюдают за тем, что вы вводите или смотрите. Его целью обычно являются крупные корпорации, но не для того, чтобы украсть один или тысячу паролей, а для того, чтобы получить доступ ко всей системе.

 

Один из разрушительных примеров – это вредоносная программа ZeuS, которая впервые появилась в 2007 году. Щелчок на ссылку мошенника, которая, как правило, является фишингом электронной почты, устанавливает ее на ваш компьютер. После этого, если этот человек – грамотный хакер, он просто сидит и ждет вашего входа на счет онлайн банковской системы. Как только вы это сделаете, ZeuS перехватывает пароль и отправляет его обратно на сервер, доступный хакеру. В одном из случаев, в 2010 году, ФБР помогло задержать пять человек в Украине, которые использовали эту программу, чтобы украсть 70 миллионов долларов у 390 человек, прежде всего владельцев малого бизнеса в США.

 

Подобное отношение к таким компаниям – это типично.

 

«Хакеры все чаще идут за малым бизнесом, – говорит Джереми Грант, руководитель Департамента Национальной стратегии торговли для доверенных лиц в киберпространстве. По сути, он человек, ответственный за выяснение того, как пройти мимо текущего режима пароля. – Денег у них больше, чем у простых людей, но меньше защиты, чем у крупных корпораций».

 

Не следует:

 

  • Повторно использовать пароли. Если вы это сделаете, то хакер, получив один ваш пароль, будет владеть всеми вашими учетными записями.
  • Использовать слова из словаря. Если можете, то совмещайте несколько слов в одну кодовую фразу.
  • Использовать стандартную числовую замену. Думаете, «P455w0rd» хороший пароль? Нет! Инструменты взлома теперь включают в себя такие наборы символов.
  • Использовать короткий пароль. И не важно, насколько он странный. Нынешняя скорость обработки паролей позволяет быстро взламывать даже такие пароли, как «h6!r$q». Ваша лучшая защита – это наиболее длинный пароль. 

Рекомендую:

 

  • Включать двухфакторную аутентификацию, когда предлагают. Когда вы входите в систему из незнакомого места, система будет отправлять вам текстовое сообщение с кодом подтверждения. Да, это может быть взломано, но это лучше, чем ничего.
  • Давать неправильные ответы на секретные вопросы. Думайте о них как о вторичном пароле. Просто делайте ваши ответы легко запоминающимися. Мой первый автомобиль? Его название было «Camper Van Beethoven Freaking Rules».
  • Следите за своим присутствием в интернете. Один из самых простых способов взлома – это взлом вашей электронной почты или информация о платежном адресе. Сайты, например Spokeo и WhitePages.com, предлагают механизмы выбора для получения удаленной информации из своих баз данных.
  • Использовать уникальный и безопасный электронный адрес для восстановления пароля. Если хакер знает, где ваш пароль можно сбросить, то это линия атаки. Итак, вам нужно создать уникальный аккаунт, который вы никогда не будете использовать для общения. И не забудьте выбрать имя пользователя, не связанное с вашим именем, такое как m****n@wired.comоно может быть легко угадано.

ЕСЛИ БЫ НАШИ ПРОБЛЕМЫ С ПАРОЛЯМИ закончились, то мы бы могли спасти систему. Мы могли бы запретить глупые пароли и препятствовать повторному использованию паролей. Мы могли бы обучать людей пресекать попытки фишинга (просто внимательно смотрите на URL любого сайта, который запрашивает пароль). Мы могли бы использовать антивирусное программное обеспечение, чтобы искоренить вредоносное программное обеспечение.

 

Но тогда мы бы остались с самым слабым каналом связи: человеческая память. Пароли должны быть трудными, чтобы их постоянно не взламывали и о них не догадались. Так что если от вашего пароля есть хоть какой-то толк, то существует большая вероятность забыть его, особенно если вы будете следовать широко распространенной мудрости и не запишете его. Из-за этого каждый пароль в системе нуждается в механизме для сброса учетной записи. И неизбежные компромиссы (безопасность vs конфиденциальность vs удобство) означают, что восстановление забытого пароля не может быть слишком тяжелым. Это то, что делает доступ к вашему аккаунту более легким для овладения им через социальную инженерию. Несмотря на то что социальная инженерия несла ответственность лишь за 7 % случаев взлома, госструктуры отслеживали в прошлом году и получили 37 % процентов взломов от общего количества краж данных с помощью нее.   

  

Социальная инженерия – вот как мой AppleID украли еще прошлым летом. Хакеры убедили Apple восстановить мой пароль по телефону с детальной информацией о моем адресе и последних четырех цифр моей кредитной карты. А все потому, что я обозначил почтовый ящик Apple в качестве резервного почтового адреса для моей учетной записи Gmail, хакеры могли сбросить и его, и это бы означало удаление всей учетной записи, в которой содержится восемь лет пользования электронной почтой и важные документы, которые еще в процессе. Они также выдавали себя за меня на Twitter, публикуя расистские и антигомосексуальные записи.

 

После того как мои рассказы отправились в массы, Apple изменила свою практику: она временно приостановила выдачу новых паролей по телефону. Но вы могли получить один онлайн. Но вот месяц спустя другая разработка была использована снова, против Дэвида Пога, обозревателя технологий в New York Times. На этот раз хакеры смогли сбросить пароль в интернете, обходя его «безопасные вопросы».

 

Вы знаете, как это делать. Для того чтобы восстановить потерянный логин, вы должны ответить на вопросы, ответы на которые знаете только (предположительно) вы.

 

Для своего идентификатора Apple Пог выбрал:

 

(1) Какой была Ваша первая машина?

 

(2) Какова Ваша любимая модель автомобиля?

 

(3) Где вы были 1 января 2000 года?

 

Ответы на первые два вопроса были доступны в Google: он писал, что его первым автомобилем была Corolla, а недавно очень хвалил свою Toyota Prius. Ответ на третий вопрос хакеры просто угадали. Оказывается, на заре нового тысячелетия Дэвид Пог, как и остальная часть мира, был на «вечеринке».

 

Хорошо, вы думаете, что этого никогда с вами не случится: Дэвид Пог является очень известным в интернете, писателем для крупных средств массовой информации. А вы подумали о вашем аккаунте LinkedIn? Вашей странице Facebook? Страницах ваших друзей, детей, семьи? Если у вас есть серьезные страницы на веб-ресурсах, ваши ответы на стандартные вопросы чаще всего тривиальны, их нужно искоренить. Девичью фамилию вашей матери можно найти на Ancestry.com, ваш талисман средней школы – на «Одноклассниках», ваш день рождения и имя вашего лучшего друга – на Facebook, для этого требуется всего лишь несколько попыток.

 

Конечной проблемой паролей является то, что это единственное препятствие к доступу, открытое для многих направлений атаки. Мы не можем иметь пароля, базирующегося на системе безопасности, ведь он легко запоминающийся, и этого достаточно для мобильного входа и достаточно для удобного сброса, но не более. Но сегодня это именно то, на что мы полагаемся в буквальном смысле.   

 

КТО ЭТО ДЕЛАЕТ?

 

Кто хочет хорошенько поработать, чтобы разрушить вашу жизнь? Ответы на эти вопросы разделяются на две группы, которые одинаково опасны: это зарубежные синдикаты и скучающие дети.

 

Синдикаты страшны, потому что они очень эффективны и плодотворны. Вредоносные программы и вирусы хакеры писали ради хобби, а не ради выгоды. Не больше. Где-то в середине 2000-х организованная преступность взяла верх. Сегодня писатель вирусов больше похож на профессионального преступника, действующего из бывшего СССР, нежели на какого-то парня из Бостона, сидящего в комнате общежития. Для этого есть хорошая причина: деньги.

 

Если сложить все суммы в одно число, то в 2011 году русскоговорящие хакеры получили 4,5 миллиарда долларов от киберпреступности, и неудивительно, что эта практика стала организованной, промышленно развитой и даже жестокой. Кроме того, они нацелены не только на предприятия и финансовые учреждения, но и на частных лиц тоже. Российские преступники, многие из которых имеют связи с русской мафией, украли десятки миллионов долларов у физических лиц в прошлом году, в основном путем фишинга и вредоносных программ для сбора паролей онлайн-банков. Другими словами, если кто-то украл ваш пароль от Citibank, то есть большая вероятность, что это группа лиц.

 

Но подростки, во всяком случае, более страшны, потому что они инновационны. Группы, которые взломали Дэвида Пога и меня, имели одного общего участника: это 14-летний ребенок. Он не хакер в традиционном смысле этого слова. Он просто звонит в компанию или общается с ними в чате и просто просит сбросить пароль. Но это не делает его менее эффективным. Он и подобные ему начинают с поиска информации о вас, которая публично доступна: ваше имя, адрес электронной почты и домашний адрес, которые, например, легко получить с сайтов Spokeo и WhitePages.com. Затем они используют эти данные для сброса пароля в Hulu и Netflix, где платежная информация, в том числе и четыре последние цифры, хранятся на видном месте в одном файле. После того как у него появились последние четыре цифры, он может попасть в Yahoo, Microsoft и другие важные сайты. Вскоре терпеливо, методом проб и ошибок он будет владеть вашей электронной почтой, фотографиями, файлами и прочими.

 

Почему дети делают это? В основном просто для веселья. Одна из любимых целей – это просто позлить людей, разместив сообщения расистского или оскорбительного вида на их аккаунтах.

 

«Заплатки», которыми люди будут дополнять и сохранять безопасность пароля, также уязвимы. Например, прошлой весной хакеры ворвались в компанию безопасности RSA и украли данные, касающиеся символов SecurID, предположительно защищенные от взлома устройства, которые предоставляют вторичные коды для сопровождения паролей. RSA никогда не разглашала того, что именно было украдено, но считается, что хакеры захватили достаточно данных, чтобы дублировать номера дублируемых знаков. Если бы они также изучили ID устройства символов, то они были бы в состоянии проникнуть через самые безопасные системы в корпоративную Америку.

 

На потребительской стороне мы слышим много о великолепии двухфакторной аутентификации Google для Gmail. Она работает следующим образом: сначала вы подтверждаете номер мобильного телефона в Google. После этого каждый раз, когда вы пытаетесь авторизоваться от незнакомого IP-адреса, компания посылает дополнительный код на ваш телефон: это второй фактор аутентификации. Это сохраняет ваш аккаунт более безопасным? Абсолютно, и если вы пользователь Gmail, то вы должны отправить его в ту же самую минуту. Сохранит ли двухфакторная система, такая как Gmail, пароли от устаревания? Позвольте мне рассказать вам о том, что произошло с Мэтью Принцем.

 

Прошлым летом UGNazi решили преследовать Принца, генерального директора веб-разработок и компании безопасности под названием CloudFlare. Они хотели войти в его аккаунт Google Apps, но он был с двухфакторной защитой. Что делать? Хакеры поражают его аккаунт сотового телефона AT&T. Как оказалось, AT&T использует номера социального страхования в качестве телефонного пароля. Дайте вору девять цифр или даже просто последние четыре, наряду с именем, номером телефона и расчетным адресом на аккаунте, и это позволит любому добавить номер переадресации на любой аккаунт в системе. Ведь получение номера социального страхования в наше время – это очень просто: они доступны онлайн в открытых базах данных.

 

Хакеры использовали SSN, чтобы добавить номер переадресации к его AT&T-службе, и затем сбросили пароль с помощью Google. Таким образом, когда автоматическая проверка прошла, она была переадресована на них. Вуаля – они завладели аккаунтом. Двухфакторная защита просто увеличила время, требуемое для взлома. Чем дольше мы остаемся на этой устаревшей системе, тем больше номеров социального страхования доступны для получения в открытых базах данных, тем больше комбинаций взлома для входа в систему, тем больше мы выкладываем в интернет нашу жизнь на всеобщее обозрение.

 

ЭПОХА ПАРОЛЕЙ ПОДОШЛА К КОНЦУ.

 

Мы просто еще не поняли этого. И никто не понял, что займет их место. О чем мы можем уверенно говорить – доступ к нашим данным больше не может зависеть от некоего тайного ряда знаков, 10 строк знаков, ответов на 50 вопросов – таких, которые предположительно знаем только мы. Интернет не принимает секретов. Каждый пользователь за несколько кликов может узнать все.

 

Вместо этого наша новая система должна будет зависеть от того, кто мы и что мы делаем: куда и когда мы заходим, что мы с вами имеем и как мы действуем, когда мы там. И каждый жизненный аккаунт должен будет записать копии многих таких сведений — не только два и определенно не один.

 

Этот последний пункт крайне важен. Это то, что ярко показывает двухфакторную систему аутентификации Google, но компания просто не прониклась пониманием достаточно глубоко. Два фактора должны быть абсолютным минимумом. Подумайте об этом: когда вы видите человека на улице и думаете, что это мог бы быть ваш друг, вы не просите у него удостоверение личности. Вместо этого вы смотрите на комбинацию сигналов. У него есть новая стрижка, но такая же ли у него куртка? Его голос кажется тем же самым? Находится ли он там, где он может находиться? Если бы множество из этих пунктов не соответствовало, то вы бы не верили, даже увидев его удостоверение личности; даже если бы фотография оказалась правильной, то вы просто предположили бы, что она поддельная.

 

И это, в сущности, будет будущим для проверки идентификации онлайн. Она может включать пароли, во многом, как и ID в нашем примере. Но это больше не будет системой, основанной на пароле, не более чем наша система личной идентификации основана на удостоверениях личности с фотографией. Пароль будет всего одним символом в многогранном процессе. Джереми Грант из Министерства торговли называет это экосистемной идентификацией.

 

А что мы можем сказать о биометрии? После просмотра большого количества фильмов многие из нас будут думать, что считыватель отпечатков пальцев или сканер радужной оболочки глаза может быть тем же, чем раньше были пароли: единственным фактором, мгновенной проверкой. Но у них есть две врожденные проблемы. Во-первых, это инфраструктура, способов поддержки ее не существует, проблема «курицы или яйца», которая почти всегда записывает смерть для новой технологии. Поскольку считыватели отпечатков пальцев и сканеры радужной оболочки глаза очень дорогие и имеют много недочетов, то никто не использует их, поэтому они никогда не станут более дешевыми или качественными.

 

Вторая большая проблема, также ахиллесова пята системы любого фактора – просмотр отпечатка пальца или радужной оболочки глаза представляет собой единый фрагмент данных, а также единичные фрагменты данных, которые будут украдены.

 

Дирк Бэлфанц, разработчик программного обеспечения в службе безопасности Google, указывает на то, что секретные коды и ключи могут быть заменены, но биометрия остается навсегда: «Для меня будет трудным получить новый отпечаток пальца, если мой отпечаток попадет на поднятый мною стакан», – шутит он.

 

В то время как просмотры радужной оболочки глаза выглядят отличными в фильмах, в эпоху фотографий высокой четкости использование вашего лица, или вашего глаза, или даже вашего отпечатка пальца как универсальной проверки доступа означает, что любой, кто может скопировать их, может также получить доступ.

 

 Звучит неправдоподобно? Это не так. Кевин Митник, легендарный социальный инженер, который провел пять лет тюремного заключения за взломы, теперь управляет своей собственной компанией безопасности, которая получает деньги за взлом компаний, а потом рассказывает, какими путями это было сделано, хозяевам. В одном из недавних заказов клиент использовал голосовую идентификацию. Чтобы войти, вы должны были рассказать серию случайно сгенерированных чисел, и последовательность и голос говорящего должны были совпадать с изначальными. Митник позвал своего клиента и записал их разговор, обманув его, используя цифры от 0 до 9 в разговоре. После этого он разделил аудиозапись на части, воспроизвел числа в правильной последовательности и получил доступ к системе.

 

Ничего из вышесказанного не доказывает, что биометрия не будет играть важную роль в будущем систем безопасности. Устройства могли бы потребовать биометрического подтверждения, чтобы использовать их (телефоны на базе Android уже могут осуществить это, а также стоит учитывать недавнюю покупку фирмы Apple– мобильную биометрическую фирму AuthenTec, и это кажется шагом в сторону безопасности для iOS). Эти устройства помогут идентифицировать вас. Но если вы пытаетесь авторизоваться в своем банковском аккаунте из маловероятного места, например Лагос, Нигерия, тогда вам, возможно, придется пройти еще несколько шагов. Например, вы должны будете говорить какую-то фразу в микрофон, и голос будет проверяться. Возможно, камера вашего телефона снимет ваше лицо и пошлет фотографию трем вашим друзьям, один из которых должен подтвердить вашу личность, прежде чем вы сможете продолжить.

 

Во многих случаях наши информационные провайдеры научатся думать, как компании кредитных карт сегодня: мониторинг структуры для поиска алогичности, а затем прекращения активности, если она покажется мошенничеством.

 

«Множество из того, что вы видите, – это аналитика риска, – говорит Грант. – Провайдеры смогут видеть, откуда вы заходите и какого рода операционную систему используете».

 

Google уже продвигается в этом направлении, выходя за рамки двухфакторной аутентификации каждого входа, и наблюдает, как он связан с предыдущим с точки зрения расположения, устройства и других сигналов, которые компания не разглашает. Если они заметят что-то подозрительное, то заставят пользователя ответить на некоторые вопросы о счете.

 

«Если вы не сможете ответить на эти вопросы, – говорит Сметтерс, – то мы отправим вам уведомление, которое предупредит вас и попросит о смене пароля, потому что вы были взломаны».

 

Другое дело – это иметь ясное представление о нашей будущей системе, основанной на пароле, и какой компромисс потребуется. Правда в том, что многофакторная система будет жертвовать вашим удобством. Это вовлечет более значительные жертвы в нашу личную жизнь. Система безопасности должна будет знать ваше местоположение и привычки, возможно, что даже образцы речи или ваше ДНК.

 

Мы должны добиться этих компромиссов, и в конечном итоге мы добьемся этого. Единственный путь в будущем – это реальная проверка личности: чтобы наши движения и другие показатели отслеживались и соответствовали движениям и показателям, привязанным к нашей реальной личности. Мы не собираемся отступать от облака, мы не хотим снова хранить наши фотографии и данные на жестких дисках. Теперь мы тут живем. То есть нам нужна система, которая будет использовать то, что облако уже знает: кто мы и как мы говорим, куда мы идем и что там делаем, что у нас есть и на что мы похожи и, возможно, о чем мы думаем.

 

Это изменение будет требовать значительных инвестиций, они определенно создадут некоторые неудобства, но это сделает защитников частной информации очень осторожными. Звучит ужасающе. Но альтернатива – хаос и воровство и еще больше жалоб от друзей, которых только что ограбили. Времена изменились. Мы доверили все, что имеем, потенциально неработоспособной системе. Первые шаги должны подтвердить это. Вторые – исправить это.

 

Перевод: Вячеслав Гладков

 

Оригинал фото: wired, hackerss, coolcatteacher