Комментарии 21
Спасибо за статью! Мне кажется у старого доброго пароля есть одно очень важное преимущество при всех его недостатках - легкость замены в случае компрометации, это почти ничего не стоит и требует минимум времени.
А есть ещё и такой аспект - есть три фактора, позволяющих аутентифицировать пользователя:
то, что он (и только он) знает;
то, чем он (и только он) владеет;
то, кем он (и только он) является.
Второе - это как раз токены, телефоны-как-приёмники-SMS и т.п. Третье - это биометрия, в широком смысле. А вот первое - это как ни крути, какая-то разновидность пароля, PIN-кода и т.п. И если мы хотим задействовать больше одного фактора, что-то просить юзера именно запомнить придётся.
всё выше сказанное хорошо только сферически и в вакууме. на практике пароли забываются или компрометируются, токены теряются, sms вобще не является надёжным каналом связи, а отпечатка пальца и карты сетчатки глаза легко лишиться раз и навсегда (хотя например днк у человека не поменять, но днк как средство аутентификации пока существует только в мечтах и фантастических произведениях).
Да. Токен, мобильный телефон, брелок, карта идентификации, имеют в качестве недостатка сходный элемент - их физическое существование. И как следствие, проблема такого устройства будет всегда заключаться в порче, утере или возможном дублировании итема, вне зависимости от причин и намерений.
Надежность системы с парольной ключевой информацией уязвима, в первую же очередь, к человеческому фактору - от несоблюдения требований к ключ-фразе, до банальной цифровой негигиеничности. Учитывая некоторые текущие особенности и реалии, можно еще вспомнить об волшебном средстве "Утюг бытовой раскаленный", но это фу-фу-фу и мы осуждаем :)
Казалось бы, идеальным методом могли бы быть биометрические методы подтверждения личности, однако текущая картина в области законодательства в этой области (Да, мне прям очень хочется в используемые ПДн добавлять биометрию и тем самым навлекать на себя риски в этом вопросе, /s ), и их возможные граничные случаи (палец можно приложить с применением силы, сетчатка аналогично, FaceID-подобные технологии и их взаимодействие с близнецами и пр.) также могут быть истолкованы неоднозначно.
Особо следует отметить определенный прогресс в устойчивости к методам с силовым принуждением к подтверждению личности, доступный массовому пользователю, такие как песочницы, использование методов "двойного дна", гарантированно уничтожаемые накопители, и др.
Таким образом, перспективные способы аутентификации призваны обеспечить крайне сложную модель - (здесь концептуально и могу быть неточным) - это может быть устройство с высокой степенью надежности, с возможностью физической неотчуждаемости от конкретного пользователя, которое в сочетании с используемыми сервисами(например, банк) в состоянии предоставить по явному, (а возможно и не-явному) желанию пользователя более одного уровня представления информации. Скорее всего, в перспективе научного (а особенно био- и IT-прогресса) мы увидим нечто похожее, доступное массовому пользователю уже достаточно скоро, ну а пока - сочетание из нескольких методов - наше всё (и я не думаю, что такой гипотетический девайс изменит ситуацию достаточно сильно и достаточно быстро).
Мне непонятен пассаж про невозможность трекинга пользователей в этом режиме? Это как? У него всяко есть какой-то ID, который он подтвержает с помощью этой системы, ну а далее по списку, как и с емылами или номерами телефонов.
Имеется в виду что на разных сайтах нельзя будет определить, что один и тот же пользователь зарегистрировался с этим токеном, т.к. u2f токен не передаёт сайту свои id и ключи.
Ключи FIDO, на основе которого работает WebAuthn, для каждого сайта уникальны, поэтому использовать их для отслеживания на разных сайтах затруднительно.
По факту лучше стандартной пары логин:пароль с двухфакторной идентификацией по СМС ничего лучшего не придумали.
Потому что пользователь может всегда в любом месте ввести эти данные и войти. А что ему с этим токенном делать? Большинству пользователей эта технология непонятна.
Из личного опыта: Сегодня слетела авторизация в почте mail.ru пришла смс с кодом для двухфакторной идентификации но я ошибся в воде 1 цифры.... В результате следующее смс сообщение вы сможете получить через 600 минут!
Поэтому везде где можно включаю TOTP: это набор из секретного ключа, на основе которого генерятся одноразовые пароли, и список из десятка резервных одноразовых ключей, на случай если потеряешь секретный ключ.
При любых проблемах с авторизацией просто используешь резервный ключ.
И что замечательно: нет зависимости от смс и прочих внешних идентификаторов, которые легко потерять, но сложно сменить или восстановить. Телефонный номер в любой момент может стать недоступен или быть продан другому человеку, и никакие законы тут никак не спасут от злого умысла, технических ошибок или человеческого фактора.
А вот не надо примеры из головы брать - сейчас специально на mail.ru 3 (ТРИ) раза НЕПРАВИЛЬНО ввёл код из СМС двухфакторной авторизации - после третьего раза только каптча появилась. С четвёртого раза ввёл правильно и спокойно зашёл.
СМС ненадежный канал, легко можно перехватить. Уж лучше TOTP
Телефонный номер в любой момент может стать недоступен или быть продан другому человеку, и никакие законы тут никак не спасут от злого умысла, технических ошибок или человеческого фактора. Это плохой идентификатор.
Восстановить его потом бывает очень сложно, или даже нереально вообще.
Осталось только ответить на вопрос: а какая доля взломов происходит именно из-за паролей?
На mail.ru через этот webauth можно без пароля заходить. Так что не только как второй фактор можно использовать.
WebAuthn как альтернатива паролям