Усталость от пароля

Усталость от пароля — это чувство, которое испытывают многие люди, которым приходится запоминать чрезмерное количество паролей в повседневной жизни, например, для входа в компьютер на работе, открытия замка велосипеда или совершения банковских операций с помощью банкомата . Эта концепция также известна как хаос паролей или, в более широком смысле, как хаос идентификационных данных . ^[1]

Причины

Растущая роль информационных технологий и Интернета в сфере занятости, финансов , отдыха и других аспектах жизни людей, а также последующее внедрение технологии безопасных транзакций привели к тому, что люди стали накапливать большое количество учетных записей и паролей.

Согласно опросу, проведенному в феврале 2020 года менеджером паролей Nordpass, у типичного пользователя есть 100 паролей. ^[2]

Некоторые факторы, вызывающие усталость паролей:

неожиданное требование, чтобы пользователь создал новый пароль
неожиданное требование, чтобы пользователь создал новый пароль, в котором используется определенный набор букв, цифр и специальных символов.
потребовать, чтобы пользователь дважды ввёл новый пароль
частые и неожиданные требования к пользователю повторно ввести свой пароль в течение дня, когда он посещает разные части интрасети
слепой ввод как при ответе на запрос пароля, так и при установке нового пароля.

Ответы

Некоторые компании хорошо организованы в этом отношении и внедрили альтернативные методы аутентификации. ^[3] или внедрили технологии, позволяющие автоматически вводить учетные данные пользователя. Однако другие могут не сосредоточиться на простоте использования или даже ухудшить ситуацию, постоянно внедряя новые приложения с собственной системой аутентификации.

единого входа Программное обеспечение (SSO) может помочь смягчить эту проблему, требуя от пользователей запомнить только один пароль к приложению, которое, в свою очередь, автоматически предоставляет доступ к нескольким другим учетным записям, независимо от того, требуется ли наличие агентского программного обеспечения на компьютере пользователя или нет. Потенциальным недостатком является то, что потеря одного пароля предотвратит доступ ко всем службам, использующим систему SSO, и, кроме того, кража или неправильное использование такого пароля представляет для преступника или злоумышленника множество целей.
Интегрированное программное обеспечение для управления паролями . Многие операционные системы предоставляют механизм хранения и извлечения паролей с использованием пароля для входа в систему пользователя для разблокировки зашифрованной базы данных паролей. Microsoft Windows предоставляет диспетчер учетных данных для хранения имен пользователей и паролей, используемых для входа на веб-сайты или другие компьютеры в сети; iOS , iPadOS и macOS имеют общую функцию «Связка ключей» , которая обеспечивает эту функцию; аналогичная функциональность присутствует в рабочих столах с открытым исходным кодом GNOME и KDE . Кроме того, разработчики веб-браузеров добавили аналогичные функции во все основные браузеры. Однако, если система пользователя повреждена, украдена или скомпрометирована, он также может потерять доступ к сайтам, где он использует хранилище паролей или функции восстановления для запоминания своих данных для входа.
Стороннее (дополнительное) программное обеспечение для управления паролями, такое как KeePass и Password Safe, может помочь смягчить проблему усталости паролей, сохраняя пароли в базе данных, зашифрованной одним паролем. Однако это создает проблемы, аналогичные проблемам единого входа в систему, поскольку потеря единого пароля предотвращает доступ ко всем другим паролям, в то время как кто-то другой, получивший его, будет иметь к ним доступ.
Восстановление пароля . Большинство веб-сервисов, защищенных паролем, предоставляют функцию восстановления пароля , которая позволяет пользователям восстанавливать свои пароли через адрес электронной почты (или другую информацию), привязанную к этой учетной записи. Однако эта система сама стала объектом социальной инженерии атак преступников с помощью . Эти преступники получают достаточно информации о цели, чтобы выдать себя за них, и запросить электронное письмо для сброса, которое затем перенаправляется другими способами на учетную запись, находящуюся под контролем злоумышленника, что позволяет злоумышленнику захватить учетную запись.
Аутентификация без пароля . Одним из решений по устранению усталости паролей является полное избавление от паролей. Службы беспарольной аутентификации, такие как Okta , Transmit Security и Secret Double Octopus, заменяют пароли альтернативными методами проверки, такими как биометрическая аутентификация или токены безопасности . ^[4] В отличие от единого входа или программного обеспечения для управления паролями, аутентификация без пароля не требует от пользователя создания или запоминания пароля в любой момент. ^[5]

Инновационные подходы

Поскольку усталость от паролей продолжает бросать вызов пользователям, появились заметные достижения в методах управления паролями, позволяющие облегчить это бремя. Эти инновационные подходы представляют собой альтернативу традиционным системам аутентификации на основе паролей. Вот некоторые примечательные стратегии:

Биометрическая аутентификация

Методы биометрической аутентификации предлагают надежную и безопасную альтернативу традиционным паролям, включая распознавание отпечатков пальцев, распознавание лиц и сканирование радужной оболочки глаза. Пользователи могут аутентифицировать свою личность, не запоминая сложные пароли, используя уникальные биологические характеристики. Такие компании, как Okta и Transmit Security, разработали надежные решения для биометрической аутентификации, снижающие зависимость от традиционных паролей. ^[6]

Токены безопасности

Токены безопасности, также называемые аппаратными токенами или токенами аутентификации, добавляют дополнительный уровень безопасности помимо паролей. Эти физические устройства генерируют одноразовый пароль или криптографический ключ, который пользователи вводят вместе со своими паролями для аутентификации. Этот метод двухфакторной аутентификации (2FA) повышает безопасность, одновременно снижая когнитивную нагрузку, связанную с управлением несколькими паролями. Secret Double Octopus — известный поставщик решений для токенов безопасности. ^[6]

Беспарольная аутентификация

Службы беспарольной аутентификации представляют собой значительный сдвиг в методах аутентификации, полностью устраняя необходимость в паролях. Вместо этого эти службы используют альтернативные методы проверки, такие как биометрическая аутентификация, ключи безопасности или волшебные ссылки электронной почты. Удалив пароли из уравнения, аутентификация без пароля значительно упрощает работу пользователя и снижает риск нарушений безопасности, связанных с паролями. Okta, Transmit Security и Secret Double Octopus — новаторские поставщики решений для аутентификации без пароля. ^[6]

Поведенческая биометрия

Новые технологии поведенческой биометрии анализируют уникальные поведенческие модели, такие как скорость набора текста, движения мыши и взаимодействие с сенсорным экраном, для аутентификации пользователей. Постоянно отслеживая эти поведенческие сигналы, система может точно проверять личность пользователя, не требуя явного действия по аутентификации. Поведенческая биометрия обеспечивает удобство аутентификации, сводя к минимуму когнитивную нагрузку, связанную с традиционными системами на основе паролей. ^[6]

Эти инновационные подходы предлагают многообещающую альтернативу традиционным методам управления паролями, обеспечивая повышение безопасности, удобства использования и удобства пользователя. По мере развития технологий дальнейший прогресс в методах аутентификации позволит эффективно решить постоянную проблему усталости паролей. ^[6]

См. также

Примечания

^ «Хаос паролей» в TheFreeDictionary
^ Уильямс, Шеннон. «У среднестатистического человека 100 паролей — учитесь» . Securitybrief.co.nz . Проверено 26 апреля 2021 г.
^ Например, цифровые сертификаты , токены OTP , аутентификация по отпечатку пальца или подсказки по паролю.
^ Мерфи, Ханна (3 сентября 2021 г.). «Стартапы пытаются взломать пароль» . Файнэншл Таймс . Проверено 2 ноября 2021 г.
^ «Что такое усталость паролей и как ее преодолеть» . Безопасность передачи . 13 октября 2021 г. Проверено 4 ноября 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и Аль-Слайс, Якуб; Эль-Медани, Ваэль (1 января 2022 г.). «Адаптивные политики паролей, ориентированные на пользователя, для борьбы с утомлением паролей». Международный арабский журнал информационных технологий .

Внешние ссылки

Ногучи, Юки. Доступ запрещен , Washington Post, 23 сентября 2006 г.
Катон, Джош. Плохой тон: 61% используют один и тот же пароль для всего , 17 января 2008 г.

[1] «Хаос паролей» в TheFreeDictionary

[2] Уильямс, Шеннон. «У среднестатистического человека 100 паролей — учитесь» . Securitybrief.co.nz . Проверено 26 апреля 2021 г.

[3] Например, цифровые сертификаты , токены OTP , аутентификация по отпечатку пальца или подсказки по паролю.

[4] Мерфи, Ханна (3 сентября 2021 г.). «Стартапы пытаются взломать пароль» . Файнэншл Таймс . Проверено 2 ноября 2021 г.

[5] «Что такое усталость паролей и как ее преодолеть» . Безопасность передачи . 13 октября 2021 г. Проверено 4 ноября 2021 г.

[yas-6] Jump up to: ^а ^б ^с ^д ^и Аль-Слайс, Якуб; Эль-Медани, Ваэль (1 января 2022 г.). «Адаптивные политики паролей, ориентированные на пользователя, для борьбы с утомлением паролей». Международный арабский журнал информационных технологий .

[1]

[2]

[3]

[4]

[5]

[6]