Скажи мне, какой у тебя пароль, и я скажу, кто ты

Простой пароль можно быстро подобрать методом брутфорса с помощью ботов и автоматизированных решений. Кроме того, он максимально уязвим к фишинговым атакам и программам-вымогателям – бичу эры высоких технологий, когда максимум информации о человеке или компании зависит от нескольких кликов.

Недавно GeekBrains и VK провели масштабный опрос, чтобы проверить пользователей на знание культуры паролей, и выяснилось, что треть опрошенных до сих пор продолжает использовать для защиты учётных записей на разных ресурсах один и тот же пароль, причем еще и состоящий из памятных дат и имен. Исследования скорости, с которой хакеры могут взломать аккаунты с помощью «грубой силы» перебора, показывают, что более 70% пользователей интернета находятся в зоне высокого риска, продолжая использовать легкие базовые комбинации. Ведь первое, что смотрят хакеры при атаке, – это списки наиболее популярных паролей и максимум доступной о пользователе информации, которая может быть зашифрована – имя, адрес, название любимой спортивной команды или музыкальной группы, имена детей и клички питомцев. Далее они будут с помощью специальных программ проверять эту информацию путем добавления дополнительных чисел или символов, модифицирования, например, в лит-спик, а также сканирования через радужные таблицы. И конечно, хакеры также проверят, не были ли ранее взломаны другие учетные записи пользователя, чтобы как можно быстрее разгадать загадку – узнать, не применен ли этот пароль на всех сервисах.

Тот факт, что многие используют один и тот же пароль для нескольких ресурсов и никогда не меняют излюбленную комбинацию, максимально помогает мошенникам получать доступ к разным аккаунтам – личным и корпоративным. С помощью словарей и метода подстановки украденных учетных данных, киберпреступники могут получить удаленный доступ к любому ПК, а далее – к аккаунтам не только рядовых пользователей, но и к сайтам, сетям и серверам различных организаций. Это один из самых популярных ходов в сложно-спланированных кибератаках на государственные, коммерческие и банковские структуры.

Как защитить свои пароли?

Основные рекомендации специалистов по обеспечению защиты пароля сводятся к его свойствам и способам хранения:

• Сильный пароль

Специалисты информационной безопасности постоянно твердят о том, что пароль должен быть сложным – больше 12 букв различного регистра, включая спецсимволы и числа. Установлено, что в среднем хакерам потребуется примерно 3 года для того, чтобы взломать пароль из 11 букв и чисел, а при наличии сложной комбинации спецсимволов – больше 30 лет. Также рекомендуется генерировать новый пароль для каждого ресурса и регулярно менять их, хотя бы раз в год.

Очевидно, что запоминать и постоянно придумывать такие сложные пароли пользователям крайне неудобно. Что может стать решением или достойной альтернативой?

• Менеджер паролей

Программа-помощник, которая помогает создавать сложные пароли и держать их в зашифрованном виде в едином цифровом хранилище. Использовать менеджеры для доступа к учетным данным на разных сайтах и приложениях быстро и легко – нужно только придумать и запомнить один мастер-пароль. Кроме того, многие менеджеры поддерживают функцию автозаполнения для наиболее часто используемых ресурсов. Но насколько это надежно?

Если менеджер паролей поддерживает стандарт индустрии, то расшифровать такое содержимое будет практически невозможно. Кроме того, программы не имеют доступа к мастер-паролю и зашифрованной информации в базе. Они оценивают придуманные пользователями пароли на предмет сложности и информируют о компрометации на каком-то из ресурсов. Благодаря встроенным функциям проверки веб-сервисов они могут указывать на фишинг и признаки тайпсквоттинга.

Но ключевой аспект безопасности этих программ все равно сводится к надежности мастер-пароля, который должен быть достаточно сложным. Поэтому сейчас все больше усилий в продуктовой кибербезопасности направлено на усиление защиты с помощью высокотехнологичных решений – интеграции двуфакторной (2FA)/многофакторной (MFA) и беспарольной аутентификации, которые позволят снизить риски взлома.

Как это работает?

Традиционная аутентификация по паролю основана на «чем-то, что знаешь только ты» в качестве фактора. Но именно то, что знает один, однажды может узнать и кто-то другой, обратив это против человека или организации, в которой он работает. Поэтому 2FA/MFA и беспарольная аутентификация – это способы получить безопасный доступ пользователя к сайту, приложению или системе, используя факторы владения («то, что у вас есть») и неотъемлемости («то, чем вы являетесь»).

Подтверждение личности происходит за счет использования одноразовых кодов по SMS или PUSH-уведомления или же с помощью специальных приложений-генераторов TOTP-кодов. Также могут применяться специальные устройства (аппаратный токен, смартфон, USB-устройство, брелок или смарт-карта) или технологии биометрической идентификации (отпечаток пальца, скан сетчатки глаза или лица, распознавание голоса). Если устройство или биометрия соответствуют информации в базе данных, то пользователь получает разрешение на доступ.

Кроме того, многие сервисы сейчас переходят на технологию единого входа OAuth и OpenID. Этот способ позволяет проходить аутентификацию в различных веб-сервисах с помощью единой учётной записи без ввода пароля. Фактически пользователь использует для авторизации, например, учётную запись в социальной сети. При этом используется не логин и пароль, а токен доступа, который предоставляют провайдеры OAuth и OpenID. Пользователю, который залогинен в приложении соцсети на смартфоне, не придётся проходить аутентификацию в другом приложении, поддерживающем OAuth.

Другое технологическое решение, которое сейчас набирает обороты, это Passkey –криптографический токен, который передаётся между веб-сайтом и устройствами пользователя для авторизации вместо пароля. Основное преимущество этого решения – в безопасности и защите аккаунтов от взломов. Благодаря системе обмена уникальными одноразовыми ключами, один из которых хранится на мобильном устройстве или компьютере, а второй — в облаке, злоумышленники, даже взломав сервер, не смогут добраться до закрытого ключа, а без него, соответственно, и проникнуть в аккаунт. Для аутентификации пользователя используются биометрические системы на смартфоне или компьютере, что сразу лишает мошенников возможности перехватить конфиденциальную информацию с помощью фишинга, социальной инженерии или брутфорса.

Этот способ защиты основан на современном стандарте беспарольной аутентификации WebAuthn, о поддержке которого в 2022 году объявили Apple, Google и Microsoft. WebAuthn предоставляет разработчикам веб-приложений способ реализации безопасной многофакторной аутентификации не с помощью использования сторонних библиотек и стандартных систем, а благодаря встроенным технологиям локальных устройств, к которым раньше веб-страницы не могли получить доступ.

Хотя об идее нового стандарта международная организация World Wide Web Consortium (W3C) заявила еще в 2016 году, только в марте 2019 была опубликована первая версия ассиметричной криптографии семейства протоколов FIDO2, который описывает браузерное JS API, позволяющее взаимодействовать с электронными ключами. Стандарт получил статус рекомендации, и несколько лет потребовалось для того, чтобы развить эту технологию и получить поддержку мировых web-холдеров.

На данный момент все больше мировых IT-гигантов начинает использовать этот передовой формат аутентификации, прикладывая усилия для введения его в статус нового общепринятого стандарта. В России не так много компаний, которые внедряют функцию беспарольной авторизации для своих сервисов, и среди них VK. С июня 2023 года пользователям ВКонтакте доступна функция беспарольного входа OnePass в аккаунт VK ID с помощью встроенных в устройства технологий авторизации.

Самое безопасное решение, какое оно?

Уровень защиты зависит от количества и сложности применяемых методов идентификации, потому что таким образом пользователь добивается «усложнения» работы злоумышленников. При запросе двух разных типов аутентификации надежность увеличивается в два раза: если хакер пройдет первый слой, ему придется также раздобыть, например, доступ к устройству или электронной почте. К тому же, система предупредит пользователя о любой попытке взлома аккаунта, фиксируя каждый запрос на предоставление пароля. Соответственно, если пользователь использует MFA, где один из этапов идентификации ориентирован на личность, а не устройство (биометрия), то это позволит обеспечить еще большую степень безопасности данных.

Если же говорить про беспарольную аутентификацию, то она гораздо сильнее и надежнее, чем традиционная. Она по определению нейтрализует атаки, связанные со слабыми или украденными паролями, учетными данными и секретами, обеспечивая при этом более удобный вход в систему. Простыми словами – если нет того, что можно легко украсть, то и проблем меньше. Но возрастает роль физической привязанности аккаунта к устройству. В случае, если смартфоном или токеном завладеет злоумышленник, он получит несанкционированный доступ ко всем ресурсам. Чтобы избежать таких последствий необходимо создать резервный вариант и настроить ротацию факторов доступа по MFA, а также отдавать предпочтение биометрическим технологиям входа.

Нововведения и сложные технологии сперва вызывают много вопросов и подозрений, потому что гораздо сложнее довериться тому, что ты не знаешь и не держишь в руках. Всегда найдутся те, кто будет сопротивляться изменениям своего поведенческого паттерна и использовать привычный способ авторизации – с помощью пароля. Поэтому разработчикам веб-сервисов при переходе на новые форматы аутентификации необходимо предусмотреть выбор альтернативных решений и возможность использования менеджера паролей.

Подводя итог

Защита аккаунтов – это не только ответственность ресурсов, но и самих пользователей. Как бы ни старались специалисты по ИБ внедрить самые передовые технологии в обеспечение безопасности продуктов и сервисов, важно, чтобы люди использовали эти нововведения и доверяли рекомендациям разработчиков.

Общее развитие индустрии безопасности клиентов сейчас построено на переход от технологий, максимально зависящих от придуманных человеком паролей, к повсеместному использованию криптографии и биометрии. Ожидаемо, что то, что когда-то было мечтами футуристов, уже совсем скоро станет нашей новой реальностью – благодаря бешенному темпу развития IT и ИБ мы ускоренно входим в высокотехнологичный мир без паролей.

Автор: Рустэм Газизов, директор департамента защиты клиентов ИБ VK