Компьютерные ученые хотят разработать безопасную альтернативу паролю для
регистрации на сайтах и выполнения других функций.
У большинства пользователей десятки онлайн аккаунтов, и в силу человеческой
природы многие из них часто используют легкие для запоминания пароли. Применение
одинаковых паролей на многочисленных сайтах также является распространенной
проблемой. Большинство сайтов достаточно защищены, чтобы хранить пароли в виде
хешей. Но если эти хеши раскрываются при наличии на веб-сайте уязвимости, тогда
во многих случаях при помощи радужных таблиц можно распознать и пароли. Это само
по себе опасно, но становится еще хуже, если человек использует в социальных
сетях тот же пароль, что и на более важных сайтах, таких как почта или сервер
интернет-банкинга.
Исследователи безопасности давно знали, что клиентам нельзя доверять
подержание безопасности при использовании паролей на многочисленных сайтах.
Недавний взлом HBGary,
во время которого были частично использованы недостатки одинаковых паролей, еще
раз продемонстрировал, что слабая защищенность паролей, также является проблемой
для компаний.
В новой статье
компьютерных ученых из института Макса Планка в Дрездене, Германия, предлагается
устранить проблему со слабыми паролями не посредством отражения атак с
применением полного перебора, а путем преодоления нежелания людей выбирать
безопасные, но трудно запоминаемые пароли. Новый подход предполагает разделение
пароля на две части, одну - запоминаемую человеком, а другую - хранящуюся на
самом сайте, как поясняется в отрывке из статьи, представленном ниже.
Основная идея нашего метода заключается в разделении длинного и
безопасного пароля на два компонента. Первый компонент запоминается
пользователем. Второй компонент трансформируется в изображение CAPTCHA и затем
защищается при помощи развитой двумерной динамической системы, похожей на
фазовый переход, в такой ситуации полный перебор становится неэффективным.
Это интересная идея, но неизвестно, сможет ли данный метод противостоять
некоторым модифицированным атакам с использованием полного перебора.
Компьютерные ученые из Кембриджского университета, занимающиеся поиском
решения этой извечной проблемы безопасности, предлагают даже более радикальную
идею: положить конец паролям.
В докладной
записке "Pico:
no more passwords", Франк Стайано из Кембриджского университета предлагает
покончить с прошлым и "повсеместно избавиться от паролей, не только онлайн".
Вместо паролей, безопасность логинов должны будут обеспечивать токены. Идея
достаточно сомнительная в свете совершенного в прошлом месяце и широко
освещенного в прессе взлома
RSA, поставившего под угрозу SecurID.
Стайано принимает это во внимание и говорит, что он в большей степени
заинтересован в открытых дебатах. "Возможно, ваша незамедлительна реакция на
Pico будет такова: "Это никогда не сработает" - но я считаю, что мы обязаны
придумать что-то более приемлемое, нежели пароли", написал он в блоге
Кембриджского университета Light Blue Touchpaper. По крайней мере, статья четко
подводит итог, почему пользователям надоели пароли.
С точки зрения юзабилити, пароли и PIN-коды подошли к концу своей жизни.
Даже несмотря на то, что они удобны для внедрения, пользователям становится все
труднее управлять ими. Требования, предъявляемые к пользователям (сложные
пароли, причем все разные) становятся все более неприемлемыми, когда каждому из
них приходится справляться с десятками паролей. Тем не менее, мы не можем
избавиться от них до тех пор, пока не создадим более пригодный и безопасный
альтернативный метод аутентификации пользователей.
Статья была представлена на международном семинаре по вопросам безопасности
International Workshop on Security Protocols в Кембридже на прошлой неделе.