Беспарольная аутентификация

Аутентификация без пароля — это метод аутентификации , при котором пользователь может войти в компьютерную систему без ввода (и запоминания) пароля или любого другого секрета , основанного на знаниях . В наиболее распространенных реализациях пользователям предлагается ввести свой общедоступный идентификатор (имя пользователя, номер телефона, адрес электронной почты и т. д.), а затем завершить процесс аутентификации, предоставив безопасное подтверждение личности через зарегистрированное устройство или токен.

Методы аутентификации без пароля обычно основаны на инфраструктуре шифрования с открытым ключом , где открытый ключ предоставляется во время регистрации в службе аутентификации (удаленный сервер, приложение или веб-сайт), а закрытый ключ хранится на устройстве пользователя ( ПК , смартфоне или внешнем токене безопасности). ) и доступ к ним возможен только путем предоставления биометрической подписи или другого фактора аутентификации, не основанного на знаниях.

Эти факторы классически делятся на две категории:

Факторы владения («Что-то, что есть у пользователя»), например сотовый телефон , OTP-токен , смарт-карта или аппаратный токен .
Факторы неотъемлемости («Что-то, чем является пользователь»), такие как отпечатки пальцев , сканирование сетчатки , лица или распознавание голоса и другие биометрические идентификаторы.

Некоторые проекты могут также принимать комбинацию других факторов, таких как географическое местоположение , сетевой адрес , модели поведения и жесты , при условии, что не используются запомненные пароли.

Беспарольную аутентификацию иногда путают с многофакторной аутентификацией (MFA), поскольку обе используют широкий спектр факторов аутентификации, но хотя MFA часто используется в качестве дополнительного уровня безопасности поверх аутентификации на основе пароля, аутентификация без пароля не требует запоминается секрет и обычно использует только один фактор высокой безопасности для аутентификации личности (т. е. внешний токен безопасности), что делает его быстрее и проще для пользователей.

«Беспарольный MFA» — это термин, используемый, когда используются оба подхода, а поток аутентификации не требует пароля и использует несколько факторов, обеспечивая самый высокий уровень безопасности при правильной реализации.

История

Идея о том, что пароли должны устареть, циркулирует в компьютерных науках, по крайней мере, с 2004 года. Билл Гейтс , выступая на конференции RSA 2004 года , предсказал упадок паролей, заявив, что «они просто не отвечают требованиям для всего, что вы действительно хотите защитить. " ^{[ 1 ]}^{[ 2 ]} В 2011 году IBM предсказала, что через пять лет «вам больше никогда не понадобится пароль». ^{[ 3 ]} Мэтт Хонан, журналист Wired , ставший жертвой хакерского инцидента, в 2012 году написал: «Эпоха паролей подошла к концу». ^{[ 4 ]} Хизер Адкинс, менеджер по информационной безопасности Google , в 2013 году заявила, что «пароли создаются в Google». ^{[ 5 ]} Эрик Гросс, вице-президент по разработке безопасности в Google, утверждает, что «пароли и простые токены на предъявителя, такие как файлы cookie, уже недостаточны для обеспечения безопасности пользователей». ^{[ 6 ]} Кристофер Мимс в статье для The Wall Street Journal сказал, что пароли «наконец-то умирают», и предсказал, что они будут заменены аутентификацией на основе устройства, однако намеренное раскрытие его пароля в Твиттере привело к тому, что ему пришлось сменить номер мобильного телефона. ^{[ 7 ]} Авива Литан из Gartner сказала в 2014 году: «Пароли были мертвы несколько лет назад. Теперь они более чем мертвы». ^{[ 8 ]} В качестве причин часто упоминаются проблемы удобства использования , а также проблемы безопасности паролей.

Бонно и др. систематически сравнивал веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. ^{[ 9 ]}^{[ 10 ]} (Технический отчет представляет собой расширенную версию одноименной рецензируемой статьи.) Их анализ показывает, что большинство схем лучше паролей с точки зрения безопасности, некоторые схемы лучше, а некоторые хуже с точки зрения удобства использования, в то время как каждая схема работает хуже. чем пароли на возможность развертывания. Авторы заключают следующее наблюдение: «Предельные выгоды часто недостаточны для достижения энергии активации, необходимой для преодоления значительных издержек перехода, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим прибытие похоронной процессии за паролями». на кладбище».

Последние технологические достижения (например, распространение биометрических устройств и смартфонов) и изменение деловой культуры (например, принятие биометрических данных и децентрализованная рабочая сила) постоянно способствуют внедрению аутентификации без пароля. Ведущие технологические компании (Microsoft, ^{[ 11 ]} Google ^{[ 12 ]}), а общеотраслевые инициативы разрабатывают более совершенную архитектуру и методы для более широкого использования, при этом многие придерживаются осторожного подхода, сохраняя пароли за кадром в некоторых случаях использования. Развитие открытых стандартов, таких как FIDO2 и WebAuthn, привело к дальнейшему внедрению беспарольных технологий, таких как Windows Hello . 24 июня 2020 года Apple Safari объявила, что Face ID или Touch ID будут доступны в качестве средства аутентификации платформы WebAuthn для входа в систему без пароля. ^{[ 13 ]}

Механизм

Пользователь должен сначала зарегистрироваться в системе, прежде чем его личность сможет быть проверена. Процесс регистрации без пароля может включать в себя следующие шаги: ^{[ 14 ]}

Запрос на регистрацию : когда пользователь пытается зарегистрироваться на веб-сайте, сервер отправляет запрос на регистрацию на устройство пользователя.
Выбор фактора аутентификации : когда устройство пользователя получает запрос на регистрацию, оно устанавливает метод аутентификации пользователя. Например, устройство может использовать биометрические данные, такие как сканер отпечатков пальцев или распознавание лиц, для идентификации пользователя. ^{[ 15 ]}
Генерация ключей : устройство пользователя генерирует пару открытого / закрытого ключей и отправляет открытый ключ на сервер для будущей проверки. ^{[ 16 ]}

После регистрации пользователь может войти в систему, выполнив следующий процесс:

Запрос аутентификации : сервер отправляет запрос аутентификации на устройство пользователя, когда пользователь пытается войти на сайт. ^{[ 16 ]}
Аутентификация пользователя : пользователь подтверждает свою личность на своем устройстве с помощью биометрического сканера, разблокируя свой закрытый ключ. ^{[ 17 ]}
Ответ на запрос : устройство пользователя подписывает ответ на запрос аутентификации в цифровой форме с помощью закрытого ключа пользователя. ^{[ 18 ]}
Проверка ответа : сервер использует открытый ключ пользователя для проверки цифровой подписи и предоставляет доступ к учетной записи пользователя. ^{[ 18 ]}

Преимущества и недостатки

Сторонники отмечают несколько уникальных преимуществ перед другими методами аутентификации:

Повышенная безопасность . Известно, что пароли являются слабым местом в компьютерных системах (из-за повторного использования, совместного использования, взлома, распыления и т. д.) и считаются основным вектором атаки, ответственным за огромный процент нарушений безопасности.
Лучшее взаимодействие с пользователем . Пользователям не только не нужно запоминать сложный пароль и соблюдать различные политики безопасности, но и периодически обновлять пароли.
Снижение затрат на ИТ – поскольку не требуется хранение паролей и управление ими, ИТ-команды больше не обременены установкой политик паролей, обнаружением утечек, сбросом забытых паролей и соблюдением правил хранения паролей.
Лучшая видимость использования учетных данных : поскольку учетные данные привязаны к конкретному устройству или свойственному атрибуту пользователя, их нельзя использовать массово, а управление доступом становится более жестким.
Масштабируемость – управление несколькими входами без необходимости использования дополнительных паролей или сложной регистрации.

В то время как другие указывают на эксплуатационные и связанные с затратами недостатки:

Затраты на внедрение . Хотя общепризнано, что аутентификация без пароля приводит к экономии в долгосрочной перспективе, затраты на внедрение в настоящее время являются сдерживающим фактором для многих потенциальных пользователей. Стоимость связана с необходимостью развертывания механизма аутентификации в существующем пользовательском каталоге, а иногда и с дополнительным оборудованием, развертываемым для пользователей (например, OTP или ключами безопасности).
Необходимо обучение и опыт : хотя большинство систем управления паролями устроены одинаково и используются уже много лет, аутентификация без пароля требует адаптации как со стороны ИТ-команд, так и со стороны конечных пользователей.
Единая точка отказа – особенно реализации, использующие OTP или push-уведомления для приложений сотового устройства, могут создать проблему для конечного пользователя, если устройство сломано, потеряно, украдено или просто обновлено. ^{[ 19 ]}

См. также

Ссылки

^ Мунир Котадиа (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . News.cnet.com . Проверено 12 апреля 2020 г.
^ Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . ЗДНет . Проверено 8 мая 2019 г.
^ «IBM представляет пять инноваций, которые изменят нашу жизнь в течение пяти лет» . ИБМ. 19 декабря 2011 г. Архивировано из оригинала 17 марта 2015 г. Проверено 14 марта 2015 г.
^ Хонан, Мэт (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить» . Проводной . Архивировано из оригинала 16 марта 2015 г. Проверено 14 марта 2015 г.
^ «Отдел безопасности Google: «Пароли мертвы» » . CNET . 25 февраля 2004 г. Архивировано из оригинала 02 апреля 2015 г. Проверено 14 марта 2015 г.
^ Гросс, Эрик; Упадхьяй, Маянк (январь 2013 г.). «Аутентификация в масштабе» . Безопасность и конфиденциальность IEEE . 11 (1): 15–22. дои : 10.1109/MSP.2012.162 . S2CID 57409 . Архивировано из оригинала 23 апреля 2013 г. Проверено 2 июля 2022 г.
^
- Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой» . Уолл Стрит Джорнал . Архивировано из оригинала 9 января 2015 г. Проверено 14 марта 2015 г.
- Мимс, Кристофер (15 июля 2014 г.). «Комментарий: что я узнал и что вам следует знать после того, как я опубликовал свой пароль в Твиттере» . Уолл Стрит Джорнал . Архивировано из оригинала 16 июля 2014 года . Проверено 2 июля 2022 г.
^ Виджаян, Джайкумар (14 августа 2014 г.). «Кража российских учетных данных показывает, почему пароль мертв» . Компьютерный мир . Архивировано из оригинала 02 апреля 2015 г. Проверено 14 марта 2015 г.
^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации» . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. дои : 10.48456/tr-817 . ISSN 1476-2986 . Проверено 22 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). В поисках замены паролей: основа для сравнительной оценки схем веб-аутентификации . Симпозиум IEEE 2012 по безопасности и конфиденциальности. Сан-Франциско, Калифорния. стр. 553–567. дои : 10.1109/СП.2012.44 .
^ «Используйте аутентификацию без пароля для повышения безопасности» . Microsoft.com. 28 января 2020 г. Проверено 12 апреля 2020 г.
^ «Сделать аутентификацию еще проще» . security.googleblog.com. 2019 . Проверено 12 апреля 2020 г.
^ «Документация разработчика Apple» . разработчик.apple.com . Проверено 7 октября 2020 г.
^ «Беспарольная аутентификация: Полное руководство [2022] — Безопасность передачи» . Безопасность передачи . 13 января 2022 г. Проверено 12 апреля 2022 г.
^ «Нет пароля для учетной записи Microsoft: что означает аутентификация без пароля?» . Бизнес сегодня . Проверено 12 апреля 2022 г.
^ Jump up to: ^а ^б Дейтон, Кэти (22 марта 2022 г.). «Технологический альянс заявляет, что он ближе к отмене паролей» . Уолл Стрит Джорнал . Проверено 12 апреля 2022 г.
^ «Ускорение перехода к беспарольной аутентификации» . ИБМ . Проверено 12 апреля 2022 г.
^ Jump up to: ^а ^б «Беспарольная аутентификация» (PDF) . Всемирный экономический форум . Проверено 12 апреля 2022 г.
^ Смитсон, Найджел (9 июня 2020 г.). «Проблемы с многофакторной аутентификацией: PSA для пользователей приложений MFA» . Sayers.com . Архивировано из оригинала 10 августа 2020 г. Проверено 2 июля 2022 г.

[1] Мунир Котадиа (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . News.cnet.com . Проверено 12 апреля 2020 г.

[2] Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . ЗДНет . Проверено 8 мая 2019 г.

[3] «IBM представляет пять инноваций, которые изменят нашу жизнь в течение пяти лет» . ИБМ. 19 декабря 2011 г. Архивировано из оригинала 17 марта 2015 г. Проверено 14 марта 2015 г.

[4] Хонан, Мэт (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить» . Проводной . Архивировано из оригинала 16 марта 2015 г. Проверено 14 марта 2015 г.

[5] «Отдел безопасности Google: «Пароли мертвы» » . CNET . 25 февраля 2004 г. Архивировано из оригинала 02 апреля 2015 г. Проверено 14 марта 2015 г.

[10.1109/MSP.2012.162-6] Гросс, Эрик; Упадхьяй, Маянк (январь 2013 г.). «Аутентификация в масштабе» . Безопасность и конфиденциальность IEEE . 11 (1): 15–22. дои : 10.1109/MSP.2012.162 . S2CID 57409 . Архивировано из оригинала 23 апреля 2013 г. Проверено 2 июля 2022 г.

[published-my-twitter-password-7] 
Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой» . Уолл Стрит Джорнал . Архивировано из оригинала 9 января 2015 г. Проверено 14 марта 2015 г.

Мимс, Кристофер (15 июля 2014 г.). «Комментарий: что я узнал и что вам следует знать после того, как я опубликовал свой пароль в Твиттере» . Уолл Стрит Джорнал . Архивировано из оригинала 16 июля 2014 года . Проверено 2 июля 2022 г.

[8] Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой» . Уолл Стрит Джорнал . Архивировано из оригинала 9 января 2015 г. Проверено 14 марта 2015 г.

[9] Мимс, Кристофер (15 июля 2014 г.). «Комментарий: что я узнал и что вам следует знать после того, как я опубликовал свой пароль в Твиттере» . Уолл Стрит Джорнал . Архивировано из оригинала 16 июля 2014 года . Проверено 2 июля 2022 г.

[8] Виджаян, Джайкумар (14 августа 2014 г.). «Кража российских учетных данных показывает, почему пароль мертв» . Компьютерный мир . Архивировано из оригинала 02 апреля 2015 г. Проверено 14 марта 2015 г.

[Bonneau_et_al._2012_tech_report-9] Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации» . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. дои : 10.48456/tr-817 . ISSN 1476-2986 . Проверено 22 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[Bonneau_et_al._2012_peer-reviewed_paper-10] Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). В поисках замены паролей: основа для сравнительной оценки схем веб-аутентификации . Симпозиум IEEE 2012 по безопасности и конфиденциальности. Сан-Франциско, Калифорния. стр. 553–567. дои : 10.1109/СП.2012.44 .

[11] «Используйте аутентификацию без пароля для повышения безопасности» . Microsoft.com. 28 января 2020 г. Проверено 12 апреля 2020 г.

[12] «Сделать аутентификацию еще проще» . security.googleblog.com. 2019 . Проверено 12 апреля 2020 г.

[13] «Документация разработчика Apple» . разработчик.apple.com . Проверено 7 октября 2020 г.

[14] «Беспарольная аутентификация: Полное руководство [2022] — Безопасность передачи» . Безопасность передачи . 13 января 2022 г. Проверено 12 апреля 2022 г.

[15] «Нет пароля для учетной записи Microsoft: что означает аутентификация без пароля?» . Бизнес сегодня . Проверено 12 апреля 2022 г.

[wsj22-16] Jump up to: ^а ^б Дейтон, Кэти (22 марта 2022 г.). «Технологический альянс заявляет, что он ближе к отмене паролей» . Уолл Стрит Джорнал . Проверено 12 апреля 2022 г.

[17] «Ускорение перехода к беспарольной аутентификации» . ИБМ . Проверено 12 апреля 2022 г.

[wef-18] Jump up to: ^а ^б «Беспарольная аутентификация» (PDF) . Всемирный экономический форум . Проверено 12 апреля 2022 г.

[19] Смитсон, Найджел (9 июня 2020 г.). «Проблемы с многофакторной аутентификацией: PSA для пользователей приложений MFA» . Sayers.com . Архивировано из оригинала 10 августа 2020 г. Проверено 2 июля 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]