Аутентификация без пароля
Метод аутентификации личности
Пример беспарольной аутентификации с помощью ключа доступа ( Pixiv с Bitwarden )

Беспарольная аутентификация — это метод аутентификации , при котором пользователь может войти в компьютерную систему без ввода (и запоминания) пароля или любого другого секретного знания . В большинстве распространенных реализаций пользователям предлагается ввести свой публичный идентификатор (имя пользователя, номер телефона, адрес электронной почты и т. д.), а затем завершить процесс аутентификации, предоставив безопасное подтверждение личности с помощью зарегистрированного устройства или токена.

Методы аутентификации без пароля обычно основаны на инфраструктуре криптографии с открытым ключом , где открытый ключ предоставляется во время регистрации в службе аутентификации (удаленный сервер, приложение или веб-сайт), в то время как закрытый ключ хранится на устройстве пользователя ( ПК , смартфон или внешний токен безопасности ) и доступ к нему можно получить только путем предоставления биометрической подписи или другого фактора аутентификации, который не основан на знаниях.

Эти факторы классически делятся на две категории:

Некоторые проекты могут также принимать комбинацию других факторов, таких как географическое местоположение , сетевой адрес , поведенческие модели и жесты , при условии, что не используются запоминаемые пароли.

Беспарольную аутентификацию иногда путают с многофакторной аутентификацией (MFA), поскольку обе используют широкий спектр факторов аутентификации, но хотя MFA часто используется как дополнительный уровень безопасности поверх аутентификации на основе пароля, беспарольная аутентификация не требует запоминания секретного кода и обычно использует только один высокозащищенный фактор для аутентификации личности (например, внешний токен безопасности), что делает ее более быстрой и простой для пользователей.

Термин «MFA без пароля» используется, когда используются оба подхода, а процесс аутентификации не требует пароля и использует несколько факторов, обеспечивая наивысший уровень безопасности при правильной реализации.

История

Идея о том, что пароли должны устареть, циркулирует в компьютерной науке по крайней мере с 2004 года. Билл Гейтс , выступая на конференции RSA 2004 года , предсказал упадок паролей, заявив, что «они просто не отвечают требованиям безопасности для чего-либо, что вы действительно хотите защитить». [1] Мэтт Хонан, журналист Wired , который стал жертвой хакерского инцидента, в 2012 году написал: «Эпоха паролей подошла к концу». [2] Хизер Эдкинс, менеджер по информационной безопасности в Google , в 2013 году сказала, что «пароли создаются в Google». [3] Эрик Гросс, вице-президент по разработке безопасности в Google, утверждает, что «пароли и простые токены на предъявителя, такие как файлы cookie, больше недостаточны для обеспечения безопасности пользователей». [4] Кристофер Мимс , пишущий в The Wall Street Journal, сказал, что пароли «наконец-то умирают» и предсказал их замену на аутентификацию на основе устройств, однако намеренное раскрытие своего пароля Twitter привело к тому, что ему пришлось сменить номер мобильного телефона. [5] Авива Литан из Gartner сказала в 2014 году: «Пароли были мертвы несколько лет назад. Теперь они более чем мертвы». [6] Приводимые причины часто включают ссылку на удобство использования , а также проблемы безопасности паролей.

Бонно и др. систематически сравнивали веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. [7] [8] (Технический отчет представляет собой расширенную версию рецензируемой статьи с тем же названием.) Их анализ показывает, что большинство схем лучше паролей в плане безопасности, некоторые схемы лучше, а некоторые хуже в плане удобства использования, в то время как каждая схема хуже паролей в плане развертывания. Авторы делают вывод следующим наблюдением: «Предельные выгоды часто недостаточны для достижения энергии активации, необходимой для преодоления значительных затрат на переход, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим, как похоронная процессия паролей прибудет на кладбище».

Недавние технологические достижения (например, распространение биометрических устройств и смартфонов) и изменение деловой культуры (например, принятие биометрии и децентрализованной рабочей силы) постоянно способствуют принятию аутентификации без пароля. Ведущие технологические компании (Microsoft, [9] Google [10] ) и общеотраслевые инициативы разрабатывают лучшие архитектуры и практики для ее более широкого использования, при этом многие из них проявляют осторожность, оставляя пароли за кулисами в некоторых случаях использования. Разработка открытых стандартов, таких как FIDO2 и WebAuthn, еще больше способствовала принятию технологий без пароля, таких как Windows Hello . 24 июня 2020 года Apple Safari объявила, что Face ID или Touch ID будут доступны в качестве аутентификатора платформы WebAuthn для входа без пароля. [11]

Механизм

Пользователь должен сначала зарегистрироваться в системе, прежде чем его личность может быть проверена. Процесс регистрации без пароля может включать следующие шаги:

  • Запрос на регистрацию : когда пользователь пытается зарегистрироваться на веб-сайте, сервер отправляет запрос на регистрацию на устройство пользователя.
  • Выбор фактора аутентификации : Когда устройство пользователя получает запрос на регистрацию, оно устанавливает метод аутентификации пользователя. Например, устройство может использовать биометрические данные, такие как сканер отпечатков пальцев или распознавание лиц для идентификации пользователя. [12]
  • Генерация ключа : устройство пользователя генерирует пару открытого и закрытого ключей и отправляет открытый ключ на сервер для будущей проверки. [13]

После регистрации пользователь может войти в систему, выполнив следующий процесс:

  • Запрос аутентификации : сервер отправляет запрос аутентификации на устройство пользователя, когда пользователь пытается войти на сайт. [13]
  • Аутентификация пользователя : пользователь подтверждает свою личность на своем устройстве с помощью биометрического сканера, разблокируя свой закрытый ключ.
  • Вызов-ответ : Устройство пользователя подписывает ответ на вызов аутентификации с помощью закрытого ключа пользователя. [14]
  • Проверка ответа : сервер использует открытый ключ пользователя для проверки цифровой подписи и предоставляет доступ к учетной записи пользователя. [14]

Преимущества и недостатки

Сторонники отмечают несколько уникальных преимуществ по сравнению с другими методами аутентификации:

  • Повышенная безопасность — пароли, как известно, являются слабым местом в компьютерных системах (из-за повторного использования, совместного использования, взлома, распыления и т. д.) и считаются основным вектором атак, ответственным за огромный процент нарушений безопасности.
  • Улучшенный пользовательский интерфейс — пользователям не только не нужно запоминать сложные пароли и соблюдать различные политики безопасности, но и не нужно периодически обновлять пароли.
  • Сокращение расходов на ИТ — поскольку не требуется хранение и управление паролями, ИТ-отделам больше не приходится настраивать политики паролей, обнаруживать утечки, восстанавливать забытые пароли и соблюдать правила хранения паролей.
  • Лучшая прозрачность использования учетных данных — поскольку учетные данные привязаны к определенному устройству или внутреннему атрибуту пользователя, их невозможно использовать массово, а управление доступом становится более строгим.
  • Масштабируемость — управление несколькими входами без дополнительных паролей или сложной регистрации.

В то время как другие указывают на недостатки, связанные с эксплуатацией и затратами:

  • Стоимость внедрения – Хотя принято считать, что беспарольная аутентификация приводит к экономии в долгосрочной перспективе, стоимость развертывания в настоящее время является сдерживающим фактором для многих потенциальных пользователей. Стоимость связана с необходимостью развертывания механизма аутентификации в существующем каталоге пользователей, а иногда и с дополнительным оборудованием, развертываемым для пользователей (например, одноразовые пароли или ключи безопасности).
  • Необходимы обучение и экспертные знания — в то время как большинство систем управления паролями построены одинаково и используются в течение многих лет, аутентификация без пароля требует адаптации как со стороны ИТ-отделов, так и со стороны конечных пользователей.
  • Единая точка отказа – в частности, реализации с использованием одноразовых паролей или push-уведомлений для приложений мобильных устройств могут создать проблему для конечного пользователя, если устройство сломано, потеряно, украдено или просто обновлено. [15]

Смотрите также

Ссылки

  1. ^ Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля». ZDNet . Получено 8 мая 2019 г. .
  2. ^ Хонан, Мэт (2012-05-15). «Убейте пароль: почему строка символов больше не может нас защитить». Wired . Архивировано из оригинала 2015-03-16 . Получено 2015-03-14 .
  3. ^ "Google security exec: 'Пароли мертвы'". CNET . 2004-02-25. Архивировано из оригинала 2015-04-02 . Получено 2015-03-14 .
  4. ^ Grosse, Eric; Upadhyay, Mayank (январь 2013 г.). «Authentication at Scale» (Аутентификация в масштабе). IEEE Security & Privacy . 11 (1): 15– 22. doi :10.1109/MSP.2012.162. S2CID  57409. Архивировано из оригинала 23-04-2013 . Получено 2 июля 2022 г.
  5. ^
    • Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой». Wall Street Journal . Архивировано из оригинала 2015-01-09 . Получено 2015-03-14 .
    • Мимс, Кристофер (15 июля 2014 г.). «Комментарий: что я узнал и что вам следует знать после того, как я опубликовал свой пароль в Twitter». Wall Street Journal . Архивировано из оригинала 16 июля 2014 г. Получено 2 июля 2022 г.
  6. ^ Виджаян, Джайкумар (2014-08-14). «Кража российских учетных данных показывает, почему пароль мертв». Computer World . Архивировано из оригинала 2015-04-02 . Получено 2015-03-14 .
  7. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол С. ван; Стайано, Франк (2012). «В поисках замены паролей: структура для сравнительной оценки схем веб-аутентификации». Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. doi : 10.48456/tr-817. ISSN  1476-2986 . Получено 22 марта 2019 г. . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  8. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол С. ван; Стахано, Фрэнк (2012). Поиски замены паролей: структура для сравнительной оценки схем веб-аутентификации . Симпозиум IEEE по безопасности и конфиденциальности 2012 г. Сан-Франциско, Калифорния. С.  553–567 . doi :10.1109/SP.2012.44.
  9. ^ «Используйте аутентификацию без пароля для повышения безопасности». Microsoft.com. 2020-01-28 . Получено 2020-04-12 .
  10. ^ «Сделать аутентификацию еще проще». security.googleblog.com. 2019 . Получено 2020-04-12 .
  11. ^ "Документация для разработчиков Apple". developer.apple.com . Получено 2020-10-07 .
  12. ^ «Нет пароля для учетной записи Microsoft: что означает аутентификация без пароля?». Business Today . Получено 12 апреля 2022 г.
  13. ^ ab Deighton, Katie (22 марта 2022 г.). «Technology Alliance заявляет, что приближается к уничтожению паролей». Wall Street Journal . Получено 12 апреля 2022 г.
  14. ^ ab "Аутентификация без пароля" (PDF) . Всемирный экономический форум . Получено 12 апреля 2022 г. .
  15. ^ Смитсон, Найджел (9 июня 2020 г.). «Проблемы с многофакторной аутентификацией: социальная реклама для пользователей приложения MFA». sayers.com . Архивировано из оригинала 2020-08-10 . Получено 2 июля 2022 г. .
Взято с "https://en.wikipedia.org/w/index.php?title=Аутентификация_без_пароля&oldid=1266267384"