Пароль не умирает
В прошлом году в интернете распространялись новостные статьи, утверждающие, что крупные технологические компании объединяются, чтобы устранить пароли. Некоторые стартапы даже заявили, что пароли устарели и вышли из употребления.
Founder
Введение
В прошлом году в интернете распространялись новостные статьи, утверждающие, что крупные технологические компании, такие как Apple, Google и Microsoft, объединяются, чтобы устранить пароли. Некоторые стартапы даже заявили, что пароли устарели и вышли из употребления. Погрузившись в область управления идентификацией в течение нескольких месяцев, я стал задаваться вопросом о достоверности и практичности этих утверждений.
Для чего нужен пароль?
На первый взгляд ответ кажется очевидным: пароли используются для входа в систему и подтверждения идентичности. Однако, я смотрю на это с другой точки зрения, если учесть тот факт, что пароли не могут действительно проверить, кто вы есть:
- Когда пользователь входит на сайт с помощью электронной почты и пароля, сайт не может подтвердить, кто на самом деле стоит за этими учетными данными. Это может быть человек или даже кошка.
- Любой может разблокировать iPhone с правильным PIN-кодом.
На самом деле, цель пароля заключается в том, чтобы анонимно доказать владение чем-то: учетной записью пользователя, устройством или доступом к двери.
Текущие «убийцы паролей»
Компании, о которых говорилось ранее, предложили различные "убийцы паролей". Многие из них утверждают, что они являются более безопасными альтернативами, которые исключают необходимость запоминания пользователями сложных, статических паролей во время аутентификации. Однако большинство этих альтернатив не совсем практичны для полного устранения паролей.
Аутентификация FIDO
FIDO (Fast Identity Online) аутентификация, как объяснено в официальной документации, использует методы криптографии открытого ключа для регистрации и входа в систему (стоит отметить, что WebAuthn является основным компонентом спецификаций FIDO2). На первый взгляд, процесс кажется привлекательным:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M252.203%2c47L256.37%2c47C260.536%2c47%2c268.87%2c47%2c276.536%2c47C284.203%2c47%2c291.203%2c47%2c294.703%2c47L298.203%2c47'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M562.203%2c47L566.37%2c47C570.536%2c47%2c578.87%2c47%2c586.536%2c47C594.203%2c47%2c601.203%2c47%2c604.703%2c47L608.203%2c47'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M818.594%2c47L822.76%2c47C826.927%2c47%2c835.26%2c47%2c842.927%2c47C850.594%2c47%2c857.594%2c47%2c861.094%2c47L864.594%2c47'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(130.1015625%2c 47)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='244.203125' y='-27' x='-122.1015625' style='' class='basic label-container'/%3e%3cg transform='translate(-92.1015625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='184.203125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d0%9d%d0%b0%d1%87%d0%b8%d0%bd%d0%b0%d0%b5%d1%82%d1%81%d1%8f %d1%80%d0%b5%d0%b3%d0%b8%d1%81%d1%82%d1%80%d0%b0%d1%86%d0%b8%d1%8f%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(432.203125%2c 47)' id='flowchart-B-1' class='node default'%3e%3crect height='78' width='260' y='-39' x='-130' style='' class='basic label-container'/%3e%3cg transform='translate(-100%2c -24)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='48' width='200'%3e%3cdiv style='display: table%3b white-space: break-spaces%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b width: 200px%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d0%a3%d1%82%d0%b2%d0%b5%d1%80%d0%b6%d0%b4%d0%b5%d0%bd%d0%b8%d0%b5 %d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d1%82%d0%b5%d0%bb%d1%8f%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(715.3984375%2c 47)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='206.390625' y='-27' x='-103.1953125' style='' class='basic label-container'/%3e%3cg transform='translate(-73.1953125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='146.390625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d0%a1%d0%be%d0%b7%d0%b4%d0%b0%d0%bd %d0%bd%d0%be%d0%b2%d1%8b%d0%b9 %d0%ba%d0%bb%d1%8e%d1%87%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(923.296875%2c 47)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='109.40625' y='-27' x='-54.703125' style='' class='basic label-container'/%3e%3cg transform='translate(-24.703125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='49.40625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d0%93%d0%be%d1%82%d0%be%d0%b2%d0%be%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Просто, правда? К сожалению, на пути стоит значительное препятствие: совместимость. По сравнению с традиционной комбинацией "идентификатор и пароль", аутентификация FIDO требует:
- Сайтов или приложений, которые поддерживают FIDO.
- Браузеров и/или операционных систем, поддерживающих FIDO.
- Устройств пользователя, на которых установлен удобный для пользователя механизм проверки.
Неудача в выполнении любого из этих требований делает аутентификацию FIDO недоступной, что приводит к откату к другим методам.
Более того, даже если все условия выполнены, что считается "подходящим для пользователя механизмом проверки" на устройстве? В настоящее время это может включать в себя биометрические методы, такие как распознавание отпечатков пальцев или лиц, с применением резервного варианта, такого как PIN-код, т.е. пароль. В итоге мы возвращаемся обратно.
Технически, это не "убийца паролей", а более безопасный и удобный для пользователя процесс аутентификации или проверки, защищенный паролями.
Одноразовый пароль
Несмотря на то, что название включает в себя термин «пароль», одноразовые пароли (OTP) не являются традиционными паролями, потому что они динамические. Существуют два популярных типа OTP:
- Одноразовый пароль на основе времени (TOTP): Генерируется алгоритмически, используя текущее время в качестве источника уникальности. Обычно используется в многофакторной аутентификации (MFA) или 2FA.
- SMS/Email одноразовый пароль: Генерируется на сервере с использованием случайных алгоритмов. В некоторых странах он широко принят в качестве основного метода входа в систему.
TOTP может быть не так широко известен по имени. Например, когда сайт просит вас установить MFA и использовать приложение, такое как Google Authenticator или Duo для сканирования QR-кода, вы, скорее всего, используете TOTP. Вы также могли заметить, что сайт часто отображает длинный "код восстановления" и советует вам сохранить его, так как он будет показан только один раз. Некоторые сайты даже призывают пользователей распечатать его на бумаге. По сути, этот код восстановления функционирует как длинный пароль.
Что касается SMS/Email OTP, они могут быть дорогими и ненадежными:
- Строительство SMS или отправителя электронной почты с нуля требует настройки.
- Отправители электронной почты должны установить положительную "репутацию", чтобы улучшить доставляемость, в противном случае отправитель может быть помечен как спам.
- В каждой стране есть свои собственные операторы мобильной сети, что приводит к непредсказуемым срокам доставки и заметным затратам на отправку SMS, особенно для стартапов.
Биометрия
Термин "биометрия" означает использование только биометрических методов для онлайн-аутентификации. На самом деле, есть фундаментальное различие по сравнению с другими методами: биометрическая аутентификация переключает изначальную задачу "доказательства владения чем-то" на "доказательство того, кто вы есть". Из-за проблем с конфиденциальностью, биометрические методы в основном используются для локальной аутентификации.
Но пароль не идеален
Как мы видим, "убийцы паролей" по сути скрывают пароли или используют пароли как резервные варианты. Вот сводка преимуществ паролей на основе нашего обсуждения:
- Доступность и совместимость: Пароли можно использовать в различных системах и они доступны широкому кругу пользователей.
- Экономичность и универсальность: Удостоверения личности на основе пароля в целом более экономичны, чем другие методы, и приспособлены к различным сценариям.
- Анонимность и конфиденциальность: Пароли позволяют анонимно использовать и защищать конфиденциальность пользователя.
Но каждая медаль имеет обратную сторону. Несмотря на преимущества паролей, полагание только на них для аутентификации представляет существенные уязвимости. Они могут быть сложными для конечных пользователей в управлении, и если владельцы сайтов не соблюдают надлежащие меры безопасности, пароли становятся легкими для компрометации. Опасные практики безопасности включают, но не ограничиваются:
- Разрешение слабых или утекших паролей.
- Несоблюдение HTTPS для соединений.
- Использование небезопасных хеширующих алгоритмов.
- Несоблюдение строго проверенных стандартов, таких как OAuth или OpenID Connect (OIDC).
- Обнажение базы данных для общественного использования.
Заключение
Я не намереваюсь принижать какой-либо из упомянутых выше методов аутентификации. Наоборот, работая над созданием Logto, я искусство уважения к этим замечательным методам аутентификации и людям, стоящим за ними.
Тем не менее, достижение 100% безопасности является недостижимой целью. Мы можем стремиться к снижению возможности атак. Одним из эффективных методов является комбинация аутентификации на основе пароля с одноразовыми паролями, основанными на текущем устройстве или окружении, что добавляет дополнительный слой проверки и было широко принято. Используя преимущества различных техник аутентификации, мы можем создать слоевой подход, обеспечивающий более сильную защиту.
Наконец, вместо того чтобы концентрироваться на таких шумных словах, как "убийца паролей", когда пароли на самом деле не устраняются, было бы ценнее сосредоточиться на достижении баланса межд�у безопасностью и пользовательским опытом. Это подразумевает понимание сильных и слабых сторон различных методов аутентификации и их реализацию таким образом, чтобы обеспечить как безопасность пользовательских данных, так и бесшовный пользовательский опыт.