Пароли сейчас образ жизни. Трудно представить, каким был бы Интернет без каких-либо паролей, не так ли? Тем не менее, если бы мы обдумывали идею пароля хотя бы на мгновение, мы бы поняли, что пароли просто не очень безопасны. Действительно, большинство экспертов по безопасности уже знают это, но здесь мы все еще используем пароли. Зачем?
С каждой другой взломанной базой данных и скандалом с кредитной картой становится все более очевидным, что мы не можем полагаться на пароли гораздо дольше. Но если не пароли, что еще там?
Почему мы начали использовать пароли
У древних римлян была система лозунгов , которые использовались для подтверждения личности и авторитета. Более того, лозунги использовались для входа в секретные локации или для доступа к частным ресурсам. Звучит очень похоже на современные пароли, верно? Эти лозунги менялись так часто, как раз в день, и оказались весьма эффективными.
В конце концов, лозунги превратились в пароли и контр-пароли , где часовой представлял загадочный вопрос или фразу и ожидал заранее определенного ответа. Подумайте над вопросом безопасности современного веб-сайта, и вы получите правильное представление.
Например, в битве за Нормандию американские солдаты произносили «Вспышку», встречая неизвестных групп в поле. Отвечая «Громом», солдаты могут доказать, что они действительно союзники, а не шпионы или самозванцы.
Компьютеры имеют свои корни в армии, поэтому удивительно, что мы приняли механизм паролей для специализированного доступа? Мы сделали несколько улучшений — например, привязали пароль непосредственно к имени пользователя для личных учетных записей — но эта концепция существует уже тысячи лет.
Пароли: один огромный недостаток
Пароли хорошо послужили нам, в этом нет никаких сомнений. Однако они не идеальны. Отнюдь не. Фактически, концепция пароля имеет один явный недостаток, который никогда не может быть исправлен: пароли — это все или ничего.
Мы приложили немало усилий, чтобы подобрать надежный пароль. создать пароли создать и убедитесь, что конфиденциальные данные зашифрованы , но все это не имеет значения, когда кто-то знает пароль. Как только они это получат, игра окончена. По сути, защита паролем — это безопасность через мрак , практика безопасности, которая повсеместно подвергается критике как слабая и неэффективная.
Что если мы объединили пароли с вопросами безопасности? Похоже, это типичное решение, используемое банками и другими местами, которые предлагают безопасные учетные записи, но если подумать, вопросы безопасности — это просто пароли в другой обертке и страдают от той же проблемы использования неясности для безопасности.
Тем не менее, есть много других недостатков использования паролей в эпоху Интернета:
- Большинство пользователей не хотят беспокоиться о запоминании сложного пароля и поэтому по умолчанию используют простой пароль, который легко угадать.
- Большинство пользователей используют один и тот же пароль для многих учетных записей, в результате чего один ключ открывает десятки (или сотни) дверей.
- Большинство пользователей даже не хранят свои пароли в секрете. Все, от учетных записей Netflix до банковских счетов, веб-учетных записей и видеоигр, часто передается друзьям, членам семьи и даже незнакомым людям.
- Шифрование и секретность бесполезны для клавиатурных шпионов. становитесь жертвами кейлоггеров . Проблема не связана с компьютерами. Вы когда-нибудь видели взломанный банкомат? обнаружить взломанный банкомат ?
Каковы доступные альтернативы?
Двухфакторная аутентификация двухфакторная аутентификация становится все более популярным в наши дни. В отличие от комбинации пароль + вопрос безопасности, которая в основном запрашивает два экземпляра одного и того же вида информации, для двухфакторной аутентификации требуется два разных типа подтверждения личности, например пароль + мобильный телефон.
И это направление, в котором должна двигаться безопасность. Поскольку пароли нематериальны, они могут быть скомпрометированы только знаниями. Наличие какого-либо физического подтверждения личности является более сильной мерой безопасности.
Например, USB-накопители можно превратить в физические ключи. Практика еще не получила широкого распространения, но, похоже, она может иметь много практического применения. Что, если сертификаты безопасности USB были выданы и использованы таким образом, что определенные веб-сайты будут предоставлять доступ только при подключенном USB-накопителе?
Биометрия — использование человеческих характеристик для контроля доступа — это еще одна область, которая заслуживает большего внимания. Один из возможных способов — использовать снимок с веб-камеры в качестве пароля. через магию распознавания лиц. Другие маршруты включают отпечатки пальцев, сканирование радужной оболочки глаза и распознавание голоса.
Однако есть критический недостаток, и это возможность потери доступа из-за обезображивания, ампутации, ларингита или чего-либо еще. Также существует тот факт, что аутентификация должна быть достаточно строгой, чтобы ее не обманули самозванцы / фотографии / записи, и в то же время достаточно снисходительны, чтобы учесть ежедневные колебания внешнего вида, голоса и т. Д.
И, наконец, некоторые предлагают использовать RFID-чипы или устройства NFC вместо пароля, что позволяет вам «пролистывать» свой путь через безопасность; другими словами, прославленная карточка-ключ. Но у них тоже есть свои недостатки. RFID может быть перехвачен и NFC-устройства небезопасны при .
Так что же забрать? Обязательно используйте надежные пароли. , сохраняйте хорошие привычки безопасности вредные и помогайте обучать других. Хотя сейчас мы застряли с использованием паролей, мы с нетерпением ждем того дня, когда пароли станут старыми новостями.
Что вы думаете? Вы предпочитаете использовать пароли или предпочитаете, чтобы мы полностью отошли от них? Какие еще есть альтернативы? Поделитесь с нами в комментариях ниже!
Кредит изображения: Поле пароля через Shutterstock , Безопасность через неизвестность через Shutterstock , USB-ключ через Shutterstock , Сканирование радужной оболочки через Shutterstock