От колец с NFC до электронных татуировок — чего только не пытаются изобрести, чтобы избавить мир от всем опостылевшей необходимости то и дело вводить пароли.

О недостатках паролей сказано уже очень многое: они одновременно и неудобны, и не особенно надежны. Даже если придумать один сложный пароль и запомнить его, это не спасет от случаев вроде недавней грандиозной утечки Adobe. На то, чтобы использовать везде сложные и уникальные пароли, способны немногие, да и удовольствие это сомнительное.

Для важных применений вроде денежных переводов существуют разнообразные способы двухфакторной авторизации. Для консюмерских продуктов этот подход сейчас стал своеобразной панацеей. Но это еще больше усложняет процесс. Надежность надежностью, но возиться с кодами, приходящими по SMS, или запасаться электронными токенами SecurID никому (кроме отдельных фанатиков) не хочется.

В качестве промежуточного решения, учитывающего распространенность паролей и компенсирующего некоторые их недостатки, выступают программы вроде 1Password. Они дают возможность генерировать длинные и стойкие к подбору пароли и заодно отвечают за их хранение. Большой популярностью пользуются и браузерные запоминалки паролей. Главный их недостаток —если ты отрезан от своей программы, то оказываешься беспомощным. Зато злоумышленник, получивший доступ к базе и раздобывший пароль от нее, срывает большой куш. В декабрьском номере мы провели простейший тест из трех этапов. Полностью выстоял только опенсорсный KeePass. Roboform и 1Password выдержали большую часть «атак», а, скажем, продукт от «Лаборатории Касперского» и Sticky Password с треском завалил наши испытания.

Определенные удобства есть у авторизации через онлайновые сервисы — в первую очередь серверы OpenID, Facebook, Google и Twitter. Но это хорошо лишь для самых казуальных случаев — например, регистрации в системе комментариев на каком-нибудь сайте. Связывать кошелек с аккаунтом Facebook было бы безумием.

Отсюда — множество разработок, ставящих целью одновременно избавить пользователей от лишней мороки, защитить от глупостей вроде наклеивания на монитор бумажек с паролями и сделать авторизацию более надежной. В конечном итоге все сводится к двум направлениям: удобным универсальным токенам, которые можно носить с собой, и биометрии. А вот тонкости реализации могут различаться очень сильно.

Кольцо Google

В январе 2013 года технические издания облетела новость: Google начинает войну с паролями. Впрочем, война — слово слишком громкое, и на самом деле в Google всего лишь экспериментируют с новаторскими способами аутентификации. Но и это уже звучит интересно!

Основная идея экспериментов — привязать авторизацию к устройству. Этим устройством может быть телефон, компьютер или отдельный аксессуар. В качестве примера в Google приводят Yubico: этот стартап занимается выпуском крохотных карточек, которые вставляются в USB и предоставляют программам возможность убедиться, что перед ними нужный пользователь.

Стоит человеку прикоснуться к сенсору на внешней стороне карты, как та генерирует и передает компьютеру (вернее, установленному на него драйверу) одноразовый пароль, созданный с учетом хранящегося в карте уникального тайного ключа. Программа выполняет обратный алгоритм и убеждается, что полученная последовательность действительно соответствует карте и ассоциированному с ней пользователю. В целом это аналог токенов SecurID, но более удобный и к тому же дешевый — карта вместе с доставкой по Америке стоит всего пять долларов (за международную пересылку придется доплатить).

Эксперимент Google заключался в том, чтобы реализовать сквозную поддержку Youbico: браузер Chrome автоматически переговаривается с драйвером устройства и передает веб-сервисам Google сигнал об авторизации. В итоге, чтобы заглянуть в свой ящик Gmail, нужно лишь набрать адрес и дотронуться до вставленной в USB карты Youbico. Неплохое сочетание удобства и надежности.

Карточка YubiKey Nano настолько миниатюрна, что полностью умещается в порт USB
Карточка YubiKey Nano настолько миниатюрна, что полностью умещается в порт USB

Но у Youbico все же есть недостатки: во-первых, он занимает USB (есть «сквозная» версия, с наружным портом, но она не такая миниатюрная), во-вторых, это решение не универсальное — подойдет для компьютера, но не годится для мобильных устройств из-за отсутствия полноразмерного USB.

К марту 2013 года появились подробности о проекте некоего кольца, кующегося в жерле вулкана Google (простите, метафора сама напросилась). Кольцо, судя по довольно смутному описанию, просочившемуся в прессу, должно работать так же, как и карточки Youbico, только не через USB, а по NFC. Достоинства очевидны: мало того, что кольцо наверняка будет совместимо с новыми телефонами на Android, так оно еще и намного надежнее и удобнее. Забирать с собой карточку, каждый раз отходя от рабочего места, не станешь, а вот кольцо всегда на пальце и всегда готово к использованию.

Так может выглядеть кольцо Google
Так может выглядеть кольцо Google

Объединить их всех

Украшение на пальце, которое дает доступ к телефону или компьютеру с совместимой операционной системой, — это неплохо, но как-то однобоко. Нельзя ли сделать так, чтобы совместимость простиралась дальше и надежная бесконтактная авторизация была бы доступной на любых компьютеризированных устройствах? Да и кольцо хотят носить далеко не все: многие наверняка предпочтут иметь электронный ключ в каком-то другом виде. И тут все зависит от того, смогут ли гиганты индустрии договориться между собой и сделать единые протоколы. Надежда на это, как всегда, слаба, но она есть.

Объединенными усилиями PayPal и Lenovo был создан альянс FIDO. Со знаменитой компьютерной сетью эта аббревиатура не связана: в данном случае FIDO расшифровывается как Fast Identity Online — быстрая онлайновая идентификация.

Вот как звучит устав этой организации: «Открытые спецификации FIDO будут поддерживать полный спектр технологий аутентификации, включая биометрические вроде дактилоскопии, сканирования сетчатки, распознавания голоса и лиц, а также существующие решения и коммуникационные стандарты, такие как Trusted Platform Modules (TPM), токены USB, embedded Secure Elements (eSE), смарткарты и NFC. Открытые спецификации будут создаваться с учетом расширяемости и будущих инноваций. Разработки FIDO будут направлены на интеграцию технологий в единую инфраструктуру, позволяющую приспособить системы безопасности к разнообразным нуждам пользователей и организаций».

FIDO был создан лишь в этом году, и на данный момент работы находятся только на подготовительных этапах. Тем не менее чувствуется востребованность этой инициативы, и новые участники не заставляют себя ждать. К примеру, в октябре к альянсу примкнула фирма MasterCard.

Лабораторные работы

То, что происходит в исследовательских лабораториях, всегда на порядок интереснее, чем деятельность альянсов и комитетов по стандартизации. Новые виды авторизации не исключение.

Ученые из финского центра научно-технических исследований VTT Technical Research создали занятный гаджет, который не только помогает авторизоваться, но и упрощает работу с несколькими устройствами одновременно. Их система называется InTouch и может быть выполнена в виде браслета, кольца или даже накладки на ноготь.

Прототипы InTouch пока что смотрятся не очень привлекательно, но в будущем могут превратиться в незаметную накладку на ноготь
Прототипы InTouch пока что смотрятся не очень привлекательно, но в будущем могут превратиться в незаметную накладку на ноготь

InTouch позволяет копировать данные с одного устройства на другое буквально в одно касание. Пользователь, например, может подержать палец на значке файла, отображенном на экране планшета, а затем прикоснуться к дисплею смартфона, и файл окажется скопированным. Памяти, правда, внутри у устройства совсем мало (оно и понятно — своего источника питания у InTouch нет, и он работает как метка NFC, в отраженном радиосигнале), так что копируются только ссылки на файл, а данные передаются по другому каналу: напрямую по Bluetooth, Wi-Fi либо через облачный сервис. Если аутентификационные аксессуары обретут столь полезные функции, то спрос на них наверняка будет намного большим.

Однако на кольцах свет клином не сошелся: есть и другие, более футуристичные методы авторизации. Например, исследователи из массачусетской компании MC10 по заказу Motorola разработали способ печатать несложные электронные схемы прямо на коже и протестировали татуировки, служащие для авторизации. Эти тату миниатюрны — всего сантиметр на сантиметр, и микросхемы не вживляются в кожу, а вдавливаются резиновым штампом. Однако представить повальное «чипование» населения довольно непросто: при виде этих татуировок не покидают мысли о колониях строгого режима и фильме «Крепость». Как и другое изобретение тех же исследователей — капсулы, способные подпитываться от кислотной среды в желудке, — это скорее вещь для особых случаев, например применения в медицине.

Найдутся ли желающие носить на руке такое украшение?
Найдутся ли желающие носить на руке такое украшение?

Появляются и новые биометрические способы аутентификации. Например, канадская фирма Bionym предлагает опознавать пользователей по их сердцебиению. Оказывается, оно не менее уникально, чем рисунок на подушечках пальцев или сетчатка глаза. В Bionym разработали браслеты, улавливающие пульс и пригодные для беспроводной авторизации. Учитывая, что гаджеты, носимые на запястье (умные часы, браслеты Nike FuelBand, Jawbone Up и подобные), все популярнее, этот метод имеет все шансы получить широкое распространение.

Браслеты Bionym Nymi будут стоить 99 долларов или 79 — по предзаказам
Браслеты Bionym Nymi будут стоить 99 долларов или 79 — по предзаказам

Ай-палец

Если в Google и в FIDO Alliance лишь готовят почву для беспарольного будущего, то фирма Apple не только реализовала свое решение, но и успела продать несколько миллионов устройств с ним. Речь об iPhone 5s, в который встроен дактилоскопический датчик. Он основан на технологии компании AuthenTec, приобретенной Apple в 2012 году, и выгодно отличается от существовавших ранее бытовых сканеров отпечатков пальцев.

Устройство Touch ID
Устройство Touch ID

В AuthenTec придумали, как сделать сканирование быстрым и одновременно более надежным. Фокус заключается в том, что новый датчик сканирует не мертвую кожу на пальце, а делает объемный снимок капилляров под ней. Это означает, что подделать отпечаток традиционными методами не выйдет: плоские слепки не годятся, да и палец должен быть живым и теплым.

Интереснее всего то, как эта технология работает в связке с iPhone, облачным сервисом iCloud, с недавних пор позволяющим сохранять там базу паролей, и беспроводным стандартом iBeacon (он основан на Bluetooth 4.0 и годится на замену NFC). Получается, что у владельцев iPhone всегда с собой портативный беспроводной сканер отпечатков пальцев, к тому же подключенный к своему сервису синхронизации.

Потенциально это дает возможность в любой момент достать телефон и через него передать необходимые для авторизации данные на любое другое устройство (будь то компьютер, кассовый аппарат или, например, турникет в метро). Но «электронным паспортом» сам телефон в данном случае не является и сработает только вместе с пальцем своего владельца. В теории такой метод может оказаться надежнее, чем кольцо.

Схема дактилоскопического датчика iPhone 5s
Схема дактилоскопического датчика iPhone 5s

И снова к паролям

У всех новых способов авторизации есть достоинства, но всецело доверяться им не стоит. Вообразим себе простую бытовую ситуацию: завел ты втайне от подруги или жены (как вариант — бойфренда или мужа) романтическую переписку. А она (или он) возьми да и проведай о твоих грязных секретах. И решит, пока ты спокойно спишь, самовольно приложить твое кольцо или палец к твоему же телефону. Утром тебя может ждать скандал или политая слезами записка на холодильнике: «Лживая скотина, я от тебя ухожу! P. S. Твой айфон приведен к заводским настройкам, бэкап удален, а биткоины я забираю себе. Приятного дня!»

Понятно, что защита информации от людей, с которыми живешь под одной крышей, — это особый случай, и взаимное доверие всегда будет лучше любых технических средств. Но этот пример дает понять, что уязвимости все равно существуют и что у паролей остается важное преимущество. Пока они хранятся только в голове, без ведома владельца узнать их не выйдет.

11 комментарий

  1. 09.07.2014 at 10:06

    «В AuthenTec придумали, как сделать сканирование быстрым и одновременно более надежным. Фокус заключается в том, что новый датчик сканирует не мертвую кожу на пальце, а делает объемный снимок капилляров под ней. Это означает, что подделать отпечаток традиционными методами не выйдет: плоские слепки не годятся, да и палец должен быть живым и теплым.»

    т.е. куча статей про взлом ифонов силиконовым слепком и прочей фигней — врут?

  2. 09.07.2014 at 10:31

    Недавно я наткнулся в интернете на подобную компанию, которая хочет избавить мир от паролей. Кажется ее название «WWPass». В контексте вопроса «а как защитить свои данные от тех с кем ты живешь» они используют дополнительно к авторизации по карточке, секретный «access code» вроде всем известного pin code, и соответственно решают эту проблему. А еще у них есть сайт для разработчиков, на котором можно почитать гуи, о том как привязать подобную авторизацию к себе в веб-сервис.

  3. 09.07.2014 at 11:08

    «чего только не пытаются изобрести, чтобы избавить мир от всем опостылевшей необходимости то и дело вводить пароли.»
    ————————————————————————————————-
    ну какая же это гениальная фраза!

    Они все хотят «ИЗБАВИТЬ» нас от чего плохо или бесполезного, помочь нам! Ну прям все во благо человечеству! Ну таки они молодцы!
    ————

    А как насчет тотального контроля и рабства уже в буквальном смысле слова!???

    НЕ ХОТИТЕ???? Щас то оно еще скрытое от «масс»… а в этом случае покровитель нажал одну кнопку и 100 000 муравье (человек) бомжы! Вот это будет круто, вот за это вы голосовали и за это ВЫ БЕЗДЕЙСТВОВАЛИ !!!…

    • 09.07.2014 at 12:27

      Ответ истинного укра. Не? СПГС, Рептилойды, ZOG! Ай бле как страшно! Прямо жутко за себя и за других. Спроси себя, куска идиота, можешь ли ты что-нибудь изменить? Глянь лучше внутрь своей глюпой сущности и подумай чуток. Мб для начала надо врубить мозг, подзаработать, обеспечить себя и близких? А потом уже с высоты накопленного опыта и будучи способным принять конструктивные и эффективные решения начать свое «ДЕЙСТВИЕ». Не? Ну или ибись бошкой в танк дальше. Дело твое.

  4. 09.07.2014 at 13:11

    Я так понимаю, все методы сводятся к тому, что если не находишься около своего компа, то его фиг кто включит? То есть, находясь где-то за 1000 километров, не сможешь попросить кого-нибудь переслать тебе файл с твоего рабочего компа?

  5. 09.07.2014 at 13:14

    Пароль в мозгах, всё остальное можно украсть. Интересно, насколько надо быть безмозглым, чтобы необходимость вводить пароль стала «опостылевшей»?
    >они одновременно и неудобны, и не особенно надежны.
    Лучше пока ничего не придумали. Пароль не статичен, хранится в недоступном ворам месте. Лучше конечно пожизненный пароль в виде отпечатка пальца или девайс, посеяв который можно сказать пока всем своим данным.

  6. 10.07.2014 at 03:15

    Лучше пользоваться менее удобныеми паролями, чем отдвать кому-то свои биометрические данные. Цена за удобство слишком высока.

  7. 12.07.2014 at 16:39

Оставить мнение

Check Also

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно …