Пароли имеют жизненно важное значение для вашей интернет-безопасности. Но с таким количеством сервисов, как онлайн, так и оффлайн, отслеживать ваши пароли сложно. Системы входа без пароля начинают взлетать, устраняя необходимость вводить пароль каждый раз, когда вы входите в сервис.
Но если вы не используете пароль, как вы защищаете свою учетную запись? Что такое логин без пароля и они безопасны?
Что такое логин без пароля?
Без пароля пароли являются системами аутентификации, которые используют альтернативы паролю, позволяющие получить доступ к вашей учетной записи. Например, вместо пароля вы получаете уведомление по электронной почте, которое действует как маркер входа в систему. Кроме того, на вашем смартфоне может появиться всплывающее окно, позволяющее вам контролировать доступ к учетной записи.
При этом для входа без пароля часто используется уже существующая форма аутентификации, чтобы гарантировать вашу личность.
Возможно, вы уже сталкивались с входом без пароля с использованием учетной записи Gmail. Вместо того, чтобы вводить пароль каждый раз, когда вы входите в систему, Google может отправить запрос прямо на ваш телефон. В приглашении указывается время и место попытки входа в систему с возможностью подтверждения или отклонения входа.
Как работает логин без пароля?
Когда вы заходите на сайт, вы должны указать пароль, чтобы разблокировать свою учетную запись. Пароль известен только вам и сайту, обеспечивая безопасность вашей учетной записи. Вы уверены, что сайт сохранит ваш пароль в безопасности, сохранит его надежно и что сам сайт не уязвим.
Кроме того, вы определенно уже используете надежные уникальные пароли для каждого сайта и службы, потому что это наиболее безопасная практика.
Однако именно последнее стало трудным. При создании надежного одноразового пароля для каждого сайта пользователи создавали легко запоминающиеся, но ужасные пароли. И даже если вы создадите надежный пароль, анализ количества нарушений данных каждый месяц может подорвать ваши усилия.
При аутентификации без пароля вам не нужно доверять веб-сайту пароль. Вместо ввода пароля каждый раз, при входе без пароля используются несколько разных методов аутентификации.
Аутентификация на основе электронной почты без пароля
Наиболее распространенная система входа без пароля в настоящее время по электронной почте. Многие пользователи найдут основанный на электронной почте пароль без входа в систему наиболее знакомой системой, работающей аналогично сбросу пароля.
Когда вы пытаетесь войти, вы предоставляете адрес электронной почты. Служба отправляет безопасное электронное письмо на адрес, связанный с учетной записью, и электронная почта содержит безопасную одноразовую волшебную ссылку для входа в учетную запись службы. Волшебная ссылка включает в себя уникальный токен входа, который проверяется службой, и заменяет его на долгосрочный токен проверки.
Есть и другие варианты в почтовой системе. Например, в случае существующей учетной записи служба может отправить пользователю одноразовый код ключа DKIM, связанный с его учетной записью. Пользователь получает код DKIM и вводит его на сайт. Сайт проверяет код на соответствие существующим данным пользователя и завершает процесс входа в систему.
Вход в систему без пароля
В этом случае пользователь вводит правильный номер телефона. Сервис отправляет одноразовый код на номер телефона. Затем пользователь может войти в сервис. В качестве альтернативы, некоторые службы предлагают «робо-вызов» пользователю, где служба преобразования текста в речь будет непосредственно читать код.
Однако безопасность SMS находится под пристальным вниманием. Подавляющему большинству из нас не о чем беспокоиться. Но несколько высокопоставленных лиц (особенно те, у которых были большие объемы криптовалют) подверглись атакам с помощью SMS-хакерских атак. Узнайте, что такое атака с помощью подкачки симов и как вы защищаетесь от нее
Биометрический пароль без логина
Некоторые методы входа без пароля используют службы биометрического сканирования для проверки вашей личности. Услуги биометрической аутентификации предоставляются на большем количестве устройств, чем когда-либо. (Стоит ли переходить на биометрический сервис для вашего смартфона ?)
Идея заключается в том, что когда вы хотите получить доступ к сайту, на вашем смартфоне появляется подсказка. Вы разблокируете смартфон, используя предпочитаемую вами биометрическую систему, и разблокировка служит подтверждением вашей личности.
Однако, кроме Apple Face ID (для устройств, включающих и изготовленных после iPhone X, iPad Pro третьего поколения и iPod Touch седьмого поколения), биометрическое сканирование мобильных устройств не является полностью безопасным.
Другие производители оборудования для сканирования лица не так продвинуты и обманываются с помощью фотографии, в то время как для того, чтобы обмануть Apple Face ID, требуется полностью напечатанная и окрашенная 3D-голова . В других случаях сканеры отпечатков пальцев позволяют частичное распознавание. чтобы разблокировать устройство.
В настоящее время биометрическая система входа без пароля, вероятно, не лучший вариант. Однако в будущем это может стать лучшим вариантом.
Физический ключ Логин без пароля
Ключи физической защиты предлагают еще один вариант аутентификации при входе без пароля. Физический ключ безопасности — это специальный ключ безопасности USB. Когда вы хотите получить доступ к своей учетной записи, вы вставляете ключ безопасности в свой компьютер. Онлайн-сервис проверяет вашу учетную запись с помощью ключа безопасности, устраняя необходимость в пароле.
Яркими примерами физического ключа безопасности являются серия Google Titan и серия Yubico Yubikey.
Являются ли парольные логины двухфакторной аутентификацией?
Да и нет.
Да, логин без пароля аналогичен двухфакторной аутентификации (2FA) в том, что вы входите в свою учетную запись, используя альтернативный метод аутентификации. 2FA работает, защищая вашу учетную запись, используя два отдельных фактора, обычно это пароль и отдельное устройство.
Нет, это не то же самое, потому что, хотя вы используете отдельное устройство для аутентификации своей учетной записи, это все еще только один фактор.
Является ли пароль без пароля более безопасным?
Все, что мешает пользователям создавать ужасные пароли, хорошо, верно? Без пароля пароли удаляют еще одну точку отказа от конечного пользователя. В настоящее время без пароля пароли не получили широкого распространения. Их используют несколько крупных сервисов, таких как Gmail (как упоминалось выше) и Slack Magic Links.
Самым большим плюсом для владельцев сайтов и модераторов является внезапное отсутствие необходимости иметь дело с паролями пользователей. Незашифрованные пароли, хранящиеся в открытом текстовом файле, — это ночные кошмары; это мечта хакера. Пользователям, которые редко получают доступ к сервису, также не придется проходить процедуру «сбросить пароль».
Вход в систему без пароля также может помочь пользователям быстро войти в сервис. И наоборот, если вы регулярно выходите из службы, необходимость повторной авторизации по электронной почте или SMS может стать раздражающей в зависимости от продолжительности времени.
На данный момент используйте менеджер паролей
Для входа в систему без пароля потребуется время. Мяч катится, хотя. Большинство основных браузеров (кроме Safari) поддерживают вход в систему без пароля того или иного типа. В феврале 2019 года Google также объявил, что устройства под управлением Android 7 (это Android Nougat) или более поздней версии также получат поддержку входа без пароля.
Это означает, что поддержка входа в систему без пароля почти для 50 процентов всех устройств Android. Стандарты входа в систему без пароля, такие как FIDO2 и WebAuthn, будут продолжать получать обновления, что еще больше укрепит метод аутентификации.
На момент написания, вам все еще нужен пароль. Вам нужен надежный одноразовый пароль. Имея это в виду, почему бы не подумать об использовании менеджера паролей ?