Все ругают пароли, но продолжают их вводить. Даже там, где уже есть токены, OAuth и биометрия, привычная строка «Введите пароль» никуда не делась. Кажется, мы привыкли к боли, но у этой устойчивости есть вполне рациональные причины…
Заходите, расскажу вам правдивую историю про эпоху мейнфреймов, технический долг Unix и иллюзию беспарольного доступа, а также разберу замены и поделюсь классными парольными утилитами.
Эпоха мейнфреймов и первый взлом
Свою историю я начну с того, как вообще появились компьютерные пароли. В начале шестидесятых вычислительные машины занимали целые этажи, машинное время стоило колоссальных денег, а работа с программой больше напоминала производственный цикл. Код пробивали на перфокартах, их относили операторам и потом часами ждали результата. Любая ошибка мгновенно возвращала программиста в исходную точку, где его уже поджидала новая пачка карт и новый заход.
Ситуация изменилась в 1961 году, когда Фернандо Корбато из MIT представил миру первую многопользовательскую операционку CTSS. Она впервые позволила нескольким инженерам одновременно работать с одним мейнфреймом через разные терминалы.
Однако разработчикам нужен был способ скрыть приватные данные друг от друга. Тогда Корбато и предложил простую связку из имени пользователя и секретного слова, ведь никто не думал ни о глобальной кибербезопасности, ни о фишинге, ни о социальной инженерии. Ожидаемо, первый компьютерный пароль почти сразу привёл и к первому взлому.
Докторант Алан Шир, которому хотелось проводить за общим компьютером больше времени, смог распечатать файл паролей системы и использовал «одолженные» учётные данные для входа под разными именами, чтобы продолжать работу над собственным проектом.
Позже, когда персональные компьютеры вышли из лабораторий в офисы, выяснилось, что слабое место системы находится не в архитектуре, а в человеке. Люди записывали пароли на бумажках, сообщали их коллегам и с поразительной лёгкостью сводили к нулю смысл всей этой защиты.
В 2014 году сам Корбато назовёт пароли «кошмаром». И трудно придумать более точный диагноз для технологии, которая с самого начала оказалась одновременно необходимой, уязвимой и подозрительно живучей.
Технический долг Unix и боль администраторов
Однако понять, почему пароли до сих пор не умерли, невозможно без короткого экскурса в анатомию Unix. Сисадмины и сегодня живут рядом с решениями, принятыми в семидесятых. Например, показательный артефакт эпохи — это /etc/passwd.
Изначально ядро системы требовало, чтобы он оставался доступным на чтение всем пользователям, потому что утилитам вроде ls и ps нужно было сопоставлять числовые UID с логинами. Если доступ к файлу закрывали, ОС начинала выводить цифры вместо имени владельца процесса.
Проблема была в том, что в ранних версиях Unix хеши паролей хранились прямо в этом файле. Инженеры тех лет считали, что шифрование — достаточная мера защиты, поскольку слабые процессоры не могли быстро перебирать нужные комбинации.
Когда вычислительные мощности многократно выросли, разработчикам пришлось экстренно создавать теневой файл /etc/shadow и прятать скомпилированные хеши туда. Старый файл passwd остался на месте ради обратной совместимости старого ПО.
Другая боль связана с PAM — системой аутентификации в Linux. Она задумывалась как гибкая настройка входа через разные модули, но в итоге стала клубком зависимостей из профилей, исключений и наследия старых решений.
Опытные админы знают, насколько тяжело раньше было поменять парольные политики через консольные утилиты вроде authconfig, ведь скрипты на Python охотно переписывали конфиги, а некоторые сочетания модулей система вовсе не терпела.
Сейчас похожая история есть с authselect. Даже на домашнем сервере отказ от пароля нередко требует ручной правки PAM-конфигурации.
При этом можно сколько угодно смеяться над комбинациями вроде Admin123, но даже такой «входной билет» проще, чем разбираться с биометрией, токенами и кривыми клиентами SSO. Особенно ночью, когда нужно срочно залогиниться.
Иллюзия беспарольного доступа
Сегодня БОЛЬШИЕ технологические компании с БОЛЬШИМ энтузиазмом предлагают миру токены, SSO и биометрию: «Наконец-то никакого 123456, никаких стикеров под клавиатурой, никакой человеческой слабости». Однако беспарольный доступ чаще всего означает появление ещё одного слоя над паролем. Почему?
Во-первых, в любой компании наравне работают облачные сервисы, внутренние панели, монолитные базы, древние системы и ещё несколько приложений, к которым уже никто не хочет прикасаться без уважительной причины. Убедить всё это хозяйство одинаково хорошо работать с аппаратными токенами и SSO почти невозможно.
Да, существуют платформы вроде HashiCorp Vault Enterprise, умеющие выдавать временные SSH-учётки, сертификаты SPIFFE и прочие признаки «инфраструктурной зрелости». Но вместе с ними приходят лицензии, сложное внедрение и обучение команды.
Во-вторых, есть и более ироничная проблема. Самая логическая уязвимость новомодных беспарольных концепций скрывается в механизмах резервного доступа. Аппаратные ключи банально ломаются, сканеры отпечатков пальцев загрязняются, рабочие смартфоны с приложениями для аутентификации теряются в метро. Абсолютно любая корпоративная инфраструктура обязана иметь надёжный канал для восстановления контроля — почти всегда им становится классический текстовый пароль.
В-третьих, отдельным культурным феноменом стала крайне быстрая адаптация хакеров к мультифакторной аутентификации. Злоумышленники массово и успешно применяют атаки типа MFA Bombing.
Настоящий беспарольный доступ строго требует физического удаления секретных строк кода из абсолютно всех баз данных, что для подавляющего большинства пока совершенно недостижимо.
Инструменты современной аутентификации
Если отойти от вечного разговора о том, что «пароли вот-вот умрут», выяснится, что никуда они пока не уходят. Современные методы аутентификации в основном решают не проблему секрета, а проблему его формы. Сам принцип при этом остаётся прежним — система должна понять, что перед ней именно тот человек, за кого он себя выдаёт.
FIDO2 и WebAuthn
Пожалуй, это самая зрелая альтернатива классическому паролю из тех, что реально дошли до эксплуатации. Устройство создаёт пару ключей — публичный и приватный. Приватный остаётся внутри токена или защищённого хранилища, а вход строится на подтверждении владения ключом. Сам секрет по сети не передаётся.
Однако для работы FIDO2 и WebAuthn нужна поддержка со стороны браузера, приложения или терминального агента. Если перед нами API без фронта или старая внутренняя система, такую аутентификацию можно только пристроить поверх существующей архитектуры. Насколько это надёжно — вопрос.
OAuth 2.0 и OpenID Connect
Эти протоколы не убирают пароли, а делегируют их. Пользователь логинится у своего поставщика идентичности, а сервис принимает токен — как пропуск. Хорошо для веба, плохо для CLI, ещё хуже для сетей без внешнего доступа.
SSH-ключи и брокеры аутентификации
Старое решение, которое живёт лучше всех. Публичная криптография, проверка подписи и простая интеграция. Однако есть проблема в управлении — кто выпустил ключ, кто его отозвал, кто ушёл из компании, а ключ остался, кто сгенерировал его на случайной машине, а потом сам забыл об этом.
Passkey-инициативы Google, Apple, Microsoft
Они обещают синхронизацию ключей между устройствами, избавляют от ручного ввода, но замыкают пользователя внутри экосистемы. Для личного пользования хорошо, но для корп. админов это неприемлемо, ведь нужна локальная автономия, а не зависимость от облака и его аптайма.
Криптография Ed25519 и PGP
В криптографии секрет не передаётся, а подтверждается через подпись. Решение работает, если все компоненты знают, как её проверить. Но в мире, где половина корпоративных демонов написана двадцать лет назад, внедрение этой схемы — ещё одна боль для админа.
Вместо заключения
Напрашивается инсайт (надеюсь, понятный для всех) — инструменты аутентификации стоит использовать не вместо паролей, а вместе с ними. Поэтому, как и обещал, делюсь списком годных парольных утилит для личного и корпоративного пользования.
Если хотите защитить себя, вам помогут:
KeePassXC — настольный офлайн‑менеджер паролей. Хранит базу локально, поддерживает плагины для браузера, аппаратные ключи, и удобен тем, кто предпочитает полный контроль над файлом с паролями.
Keepass2Android / KeePassDX — мобильные клиенты для KeePass‑совместимых баз. Позволяют носить зашифрованный парольный «контейнер» в телефоне и не зависеть от облака.
Proton Pass — менеджер паролей от команды Proton. Делает упор на приватность, шифрование «на стороне клиента» и простое использование.
1Password — платный, но очень удобный вариант, если хотите «поставил и забыл». Красивые клиенты, подсказки по слабым и утекшим паролям, удобная работа на телефоне и ноутбуке одновременно.
Если нужно для профдеятельности, обратите внимание на них:
Bitwarden — кроссплатформенный менеджер паролей с открытым исходником, есть и облако, и вариант самохостинга. Умеет генерацию, автозаполнение, расшаривание записей и работу на всех основных платформах.
HashiCorp Vault — один из главных инструментов для хранения и выдачи секретов. У него есть API, политики доступа и динамическая генерация временных учётных данных.
Утилита Pass (Standard Unix Password Manager) — утилита в духе старого Unix-подхода. Использует GPG и git, легко автоматизируется, хорошо живёт в скриптах и devops-сценариях.
gopass — расширенная «надстройка» над pass на Go. Добавляет удобные команды, структуру хранилища, поддержку командной работы и немного сглаживает углы классического pass.
FreeIPA — комплексное решение для Linux и Unix-аутентификации. Внутри LDAP, Kerberos, DNS, собственный центр сертификации и интеграция с Active Directory. Помимо паролей, поддерживает TOTP и FIDO2/passkey.
Passbolt — командный менеджер паролей с упором на браузер и совместную работу. Открытый код, сервер у себя, удобно раздавать доступы команде без копирования секретов в мессенджеры.
Итак, вывод. Пароли можно сколько угодно критиковать за фишинг, слабость и зависимость от человеческой памяти. Всё это справедливо, но полноценной замены у них пока нет. Именно поэтому мы до сих пор используем пароли, хотя все их ненавидят…
И мой любимый мем:
Делитесь, какие хранилища/сервисы/утилиты вы используете у себя. Как думаете, настанет ли время, когда пароли реально будут не нужны?
© 2026 ООО «МТ ФИНАНС»
