Что такое аутентификация без пароля и как она работает

Большинству людей необходимо запомнить последовательность разных паролей для входа в различные устройства и учетные записи, будь то для своих телефонов и ноутбуков, или для учетных записей электронной почты и социальных сетей. Становится слишком легко лениться относительно гигиены паролей , но именно тогда пользователи становятся наиболее уязвимыми для кибератак. Хакерaм стало невероятно легко украсть пароли с помощью утечки данных , фишинга и других атак.

В результате в последние годы пароли вышли из употребления. Тенденция будет расти по мере того, как множество форм аутентификации без пароля все более широко применяются как пользователями, так и организациями. Итак, что такое безопасность без пароля, как она работает и каковы различные примеры аутентификации без пароля? Читайте дальше, чтобы узнать больше.

Что такое аутентификация без пароля?

Проще говоря, аутентификация без пароля позволяет пользователю проверить свою личность без пароля. Этого можно добиться разными способами. Например, пользователь может сканировать свое лицо или отпечаток пальца, чтобы получить доступ к своему устройству или учетной записи, или они могут использовать одноразовые пароли (OTP), часто используемые при двухфакторной аутентификации (2FA) , или URL-ссылки, которые создаются специально для каждой попытки входа в систему.

Пароли для входа в систему становятся все более популярными в последние годы, однако пользователи создают пароли с очень слабой безопасностью . Многие пользователи используют один и тот же пароль для разных учетных записей, не могут создать подходящие сложные пароли и забывают их регулярно менять. Хотя, конечно, в этом может помочь авторитетный менеджер паролей .

Как работает беспарольная аутентификация?

Аутентификация без пароля требует, чтобы пользователи предъявили что-то уникальное, чтобы подтвердить свою личность и получить доступ к устройству или учетной записи. Они известны как факторы аутентификации и бывают нескольких различных типов, в том числе:

• Факторы знания: что-то, что знает пользователь, например, пароль
• Факторы владения: что есть у пользователя, например, телефон, который может получить одноразовый пароль (OTP)
• Факторы принадлежности: то, что уникально для пользователя, обычно это относится к биометрическим данным, таким как отпечатки пальцев или распознавание лиц.
• Факторы местоположения: пользователю требуется определенная геолокация для доступа, например, его офис или дом.
• Факторы поведения: пользователь должен выполнить определенные действия, чтобы получить доступ, например, графический пароль Windows 8

Все логины требуют, чтобы пользователи указали хотя бы один фактор. Чаще всего это фактор знания - обычно пароль. Однако вход в систему без пароля устраняет необходимость в пароле за счет использования многих других факторов аутентификации для обеспечения повышенной безопасности. Часто это факторы владения, такие как одноразовые пароли, или внутренние факторы, такие как биометрия.

Безопасна ли аутентификация без пароля?

Как правило, вход без пароля считается гораздо более безопасным, чем традиционный вход, требующий от пользователя ввода своих учетных данных. Это связано с тем, что, устраняя необходимость в пароле, эти системы входа в систему значительно снижают риск кибератак, таких как перебор или атаки по словарю, кейлоггинг и атаки типа Man-in-the-Middle . Они также гораздо более защищены от взлома и социальной инженерии, а также от человеческой халатности, которая может привести к использованию одних и тех же паролей для нескольких учетных записей и забыванию их обновления.

Однако, как и большинство других вещей, аутентификация без пароля не является полностью надежной. Определенные злоумышленники могут найти способы взломать системы аутентификации, какими бы сложными они ни были. Хакеры могут захватывать адреса электронной почты, номера телефонов и даже устройства для перехвата определенных типов парольной аутентификации, таких как одноразовые пароли и магические ссылки.

MFA vs Аутентификация без пароля

Хотя они могут показаться похожими, многофакторная аутентификация (MFA) и аутентификация без пароля немного отличаются. Во многих случаях MFA использует пароль, а также другую форму проверки, такую как одноразовые пароли или биометрические данные. Однако, как следует из названия, защита без пароля избавляет пользователей от необходимости вводить пароль.

Однако бывают ситуации, когда используются две или более форм входа в систему без пароля, и пользователи должны пройти оба процесса проверки, чтобы получить доступ к своим устройствам или учетным записям. Это называется MFA без пароля.

Каковы распространенные примеры аутентификации без пароля?

Традиционно для входа в систему используется фактор знания - пароль, который функционирует одинаково: пользователи создают уникальные комбинации цифр, букв и / или символов и используют их с именем пользователя для получения доступа к своим устройствам или учетным записям. В отличие от паролей, аутентификация без пароля может принимать различные формы. Как уже упоминалось, защита без пароля обычно включает в себя по крайней мере один фактор аутентификации - обычно не фактор знания.

Сертификаты

Многие приложения и программы, подключенные к Интернету, используют цифровые сертификаты для проверки личности пользователей без паролей. В этом случае на личном устройстве пользователя будет храниться закрытый ключ, а на сервере приложения или программного обеспечения - открытый ключ. Эти два параметра должны соответствовать друг другу, чтобы включить аутентификацию без пароля.

Одноразовые пароли

Если вы когда-нибудь задавались вопросом «Что такое OTP-аутентификация?», Вот ваш ответ: хотя пользователи по-прежнему должны вводить их на своих устройствах для доступа к своим учетным записям, одноразовые пароли считаются формой аутентификации без пароля. Это связано с тем, что это временные коды, которые пользователи получают через текстовые сообщения или приложения для проверки подлинности; каждый раз они разные, и срок их действия истекает через несколько минут, поэтому они считаются более безопасными, чем традиционные пароли. Это тип фактора владения, поскольку - теоретически - только пользователь имеет средства для создания или получения одноразового пароля.

Биометрия

Многие устройства и программное обеспечение в наши дни используют биометрию для входа в систему по паролю. Это факторы наследственности, поскольку они предоставляют доступ к уникальным физическим характеристикам пользователя, например, по отпечаткам пальцев или сканированию сетчатки глаза. iPhone являются хорошим примером биометрической аутентификации, поскольку они позволяют пользователям включать распознавание лиц для доступа к устройству и входа в различные безопасные учетные записи, включая банковские приложения, что помогает предотвратить мошенничество в онлайн-банке .

Магические ссылки

Многие популярные интернет-программы теперь предлагают аутентификацию без пароля с помощью волшебных ссылок. По сути, это токены URL, которые пользователи могут использовать для входа в учетные записи, подтвердив свой адрес электронной почты или номер телефона. Когда пользователь входит в учетную запись, которая использует проверку по магической ссылке, система автоматически отправляет URL-ссылку на его зарегистрированный адрес электронной почты или в сообщении на его номер телефона - затем пользователь нажимает на ссылку для автоматического входа в учетную запись. Это еще один тип фактора владения, поскольку он предполагает, что только пользователь будет иметь доступ к своей электронной почте или телефону.

Приложения для проверки подлинности

Сторонние приложения для проверки подлинности, например, от Google и Microsoft, стали популярными для входа в систему без пароля. В этом случае пользователь настраивает конкретное приложение проверки подлинности - приложение, которое уже было совместимо с используемой службой учетной записи - со своими учетными данными. После того, как система будет правильно настроена, пользователь будет получать уведомление от приложения каждый раз, когда войдет в свою учетную запись, и ему потребуется либо предоставить одноразовый пароль, либо подтвердить логин, чтобы получить доступ.

Ключи доступа FIDO

Ключи доступа FIDO работают по той же схеме, что и цифровые сертификаты. Когда пользователь регистрирует свои учетные данные, система генерирует криптографическую пару ключей - открытый ключ хранится на сервере системы, а закрытый ключ хранится на устройстве пользователя. Система аутентифицирует закрытый ключ на устройстве пользователя, чтобы предоставить доступ к учетной записи.

Плюсы и минусы беспарольной защиты

Компании все чаще обращаются к беспарольной защите для защиты как внутренних, так и внешних заинтересованных сторон и обеспечения безопасности данных. Однако, как и во всем, что связано с кибербезопасностью, важно понимать преимущества и недостатки аутентификации без пароля.

Преимущества входа в систему без пароля

Некоторые из положительных сторон входа в систему без пароля включают в себя:

• Он более безопасен, чем пароли, и устойчив ко многим кибератакам.
• Пользователи считают его неприхотливым, поскольку им не нужно запоминать сложные пароли или регулярно их менять; пользователям также проще включить эту функцию в своих учетных записях или на устройствах.
• Компании, использующие аутентификацию без пароля, обычно получают гораздо меньше запросов о поддержке, так как меньше требуется сброса пароля или устранения неполадок.
• Эти системы масштабируемы и обычно очень быстро и легко внедряются.
• Часто этого достаточно, чтобы соответствовать требованиям к защите данных, в том числе Общему регламенту Европейского Союза о защите данных и Закону о конфиденциальности потребителей Калифорнии.
• Снижение количества случаев блокировки учетных записей и брошенных тележек для покупок.

Недостатки входа в систему без пароля

Хотя аутентификация без пароля становится все более популярной из-за безопасности, которую она предлагает, есть некоторые недостатки, в том числе:

• В некоторых случаях она может быть более сложной и дорогой, чем простые пароли.
• Системы, использующие биометрию, могут быть сложными, поскольку биометрические аутентификации не могут быть сброшены, если они были скомпрометированы.
• Предполагается, что пользователь будет использовать безопасный канал при настройке входа без пароля, но это не всегда так - процесс настройки может быть нарушен.
• В некоторых случаях эти системы не являются надежными - например, одноразовые пароли могут быть перехвачены или украдены с помощью замены SIM-карты .
• Некоторые пользователи, особенно с меньшим техническим опытом, могут не захотеть использовать беспарольный вход в систему, если они борются с системами или не понимают их.

Внедрение беспарольной аутентификации

Большинство электронных устройств и служб теперь предлагают пользователям варианты аутентификации без пароля наряду с традиционными методами входа в систему. Каждый из них будет включать разные формы, и большинство из них будет рекомендовать пользователям активировать это в качестве дополнительной безопасности. Чтобы включить аутентификацию без пароля, пользователи могут просто перейти к настройкам соответствующего устройства или учетной записи и выбрать соответствующие параметры (некоторые могут предлагать более одного). Некоторые из наиболее распространенных примеров входа в систему без пароля для потребителей:

• Распознавание лиц для iPhone и MacBooks
• OTP (one-time PIN) для регулярной проверки учетных записей Google
• Волшебные ссылки для различных браузерных приложений и программного обеспечения

Kaspersky Password Manager может помочь пользователям, которые по-прежнему хотят использовать пароли, но также хотят воспользоваться формой входа в систему без пароля. Он не только может генерировать сложные уникальные пароли для каждой учетной записи, но и хранит их все в зашифрованном частном хранилище, которое никто не видит. Программа также предлагает безопасный вход, позволяя пользователям автоматически заполнять свои данные на различных веб-сайтах, в приложениях и устройствах, и имеет собственный аутентификатор в приложении, который позволяет пользователям включать многофакторную аутентификацию для своих учетных записей.

Для предприятий важно выбрать и реализовать защиту без пароля, особенно если они предлагают учетные записи и устройства, ориентированные на клиентов, поскольку существует дополнительная необходимость в обеспечении безопасности информации клиентов. При этом следует учитывать несколько моментов:

• Выберите наиболее подходящую форму аутентификации без пароля, например, биометрическую аутентификацию с помощью отпечатков пальцев или магических ссылок.
• Решите, будет ли достаточно одного фактора или клиентам требуется многофакторная аутентификация без пароля для дополнительной безопасности.
• Найдите и приобретите необходимое оборудование и / или программное обеспечение.
• Убедитесь, что пользователи могут правильно зарегистрироваться и использовать выбранную систему.

Внедрение входа без пароля на уровне организации может оказаться сложной задачей и потребовать значительных затрат времени и денег. По этой причине многие предпочитают работать со сторонними поставщиками, чтобы быстро и эффективно реализовать эту конкретную форму кибербезопасности.

Беспарольное будущее?

Благодаря такому количеству преимуществ и гораздо более высокой безопасности по сравнению с традиционными паролями, похоже, что у беспарольной аутентификации есть светлое будущее, особенно с интеграцией искусственного интеллекта (AI) . Это может помочь защитить пользователей и их информацию во все более цифровом мире и предложить более безопасные варианты удаленной работы.

Однако есть некоторые проблемы, которые, возможно, придется преодолеть, если мы увидим, что безопасность без паролей становится все более популярной. К ним относятся решение проблем конфиденциальности, особенно в отношении биометрической аутентификации, оптимизация технической инфраструктуры, укрепление доверия пользователей и обеспечение соответствия нормативным требованиям.

Статьи и ссылки по теме:

• Советы по созданию надежного и уникального пароля
• Что могут сделать хакеры, зная адрес вашей электронной почты?
• 10 самых больших рисков в онлайн-играх и способы их избежать

Продукты и решения:

• Kaspersky Premium
• Загрузите Kaspersky Premium Antivirus с 30-дневной бесплатной пробной версией
• Kaspersky Password Manager
• Kaspersky Security Awareness