Студия Турум-бурум

У нас проблема с паролем, или Что происходит сейчас в области аутентификации

У нас проблема с паролем, или Что происходит сейчас в области аутентификации
1717

Нам постоянно приходится запоминать множество паролей и со временем, это становится проблемой. Аутентификация, очевидно, важна, но есть множество других путей надежной идентификации пользователей. 


Пароли постепенно уходят в прошлое как неудобные и неизбежные. Но если еще несколько лет назад их неизбежность была очевидна, то сегодня все кардинально меняется. Благодаря сочетанию датчиков, шифрования и других современных технологий, аутентификация принимает новые и весьма занимательные формы.



Фото: genymotion.com


Большинство сценариев взаимодействия с компьютерными системами были, со временем, обновлены, но никто по прежнему не хочет возиться с проверкой пароля. Это слишком серьезно. Или связано с большой ответственностью. Если не очистить поле ввода пароля — после того, как кто-то ввел его неправильно, данные кредитной карты могут оказаться под угрозой.


Хочу вам сказать, что пересмотр общепринятых правил в отношении паролей совершенно естественен. И здесь необходимо обратиться к здравому смыслу, проявив должное усердие для создания полезной, безопасной и безошибочной системы аутентификации — будь это пароль или нечто другое.


Истоки проблемы

Мы все не очень любим аутентификацию через пароль. Чем больше сервисов мы используем, тем больше паролей приходится запоминать.


Приложения SaaS (облачные системы), социальные сети и другие службы требуют соблюдения строгих правил введения паролей, которые затрудняют честным гражданам вход в систему. Неужели аутентификацию (имя пользователя / пароль) настолько незаменима, что мы готовы смириться с этим препятствием, используя какой-либо сервис или продукт?


Тут дело не в самих паролях: проблема заключается в масштабе, ведь людям приходится пользоваться множеством имен, паролей и все это необходимо запомнить. Дискомфорт появляется именно здесь.


А мы ведь не хотим, чтобы наши продукты стали менее безопасными, понижая стандарты защиты в угоду комфорта пользователя. Каковы же реальные варианты безопасной и надежной идентификации и защиты конфиденциальной информации?


На сегодняшний день уже есть несколько методов и постоянно появляются новые. Есть способы сделать традиционную аутентификацию при помощи пароля комфортной и удобной.


Вот актуальные возможности: 

  • Традиционное имя пользователя / пароль
  • Кодовая фраза
  • Двухфакторная идентификация
  • Социальный вход
  • Беспарольная аутентификация
  • Биометрическая идентификация
  • Подключенное устройство


Я буду оценивать каждый метод, исходя из нескольких факторов: 


  • Частота использования: легкость настройки и обслуживания
  • Безопасность: сложность идентификации для постороннего человека
  • Комфорт: простота идентификации для пользователя аккаунта.


Я буду оценивать их в духе переосмысления старомодных шаблонов паролей, с точки зрения критериев надежности пароля (констатируя факты, без лишних рассуждений).


Традиционное: Имя пользователя / Пароль



Я буду честен. У меня возникают проблемы с традиционной моделью. В идеальном мире я бы устранил пароли вообще. Тем не менее, в реальном мире, я пользуюсь этим методом в 99% своих проектов.


Почему? Важно помнить, что проверка подлинности таким образом является наиболее понятым способом аутентификации и люди будут считать его наиболее надежным. Есть многое, что можно улучшить с точки зрения удобства и простоты использования. Мы можем упростить процесс создания и восстановления паролей, а вход в систему — ускорить и сделать менее запутанным.


Необходимость вспоминать пароль — главная причина, по которой я оценил безопасность и удобство использования как слабые. Сначала трудно создать безопасный пароль, а потом запомнить и использовать эти пароли после того, как они уже созданы. Потому люди создают пароли, которые слишком легко разгадать, а это уже угроза безопасности.


Ирония здесь в том, что чем более высокий уровень безопасности мы вводим, тем менее безопасной становится идентификация с помощью пароля.


В нашей индустрии необходимо усовершенствовать сам алгоритм проверки подлинности пароля. Главным образом, реалистично оценивая безопасность и выбирая наиболее эффективные решения.


Сейчас можно воспользоваться технологиями, которых не существовало в то время, когда были сформированы структуры паролей. И мы обязаны делать это, чтоб облегчить жизнь пользователям. Отбрасывая утверждения об абсолютной безопасности паролей и создавая новые идеи, основанные на современных запросах пользователей, мы можем внести множество очевидных улучшений в традиционные системы паролей. Поговорим о некоторых из них.


Ограничивайте или исключайте правила для паролей

Заглавные и строчные буквы, символы и цифры — все эти ограничения заставляют пользователей создавать все более сложные пароли.



В США и Великобритании, 73% взрослых людей использует один и тот же пароль на всех своих аккаунтах. Если введенные вами правила не дают ему использовать свой стандартный пароль — он создает уникальный, который, как правило, очень быстро забывается. Исключив правила для паролей, вы даете пользователю возможность помнить пароль, чем повышаете юзабилити своего сервиса.


Зачем нам навязывают этот комплекс правил? Существуют исследования, которые говорят о том, что длинные пароли более эффективны, чем пароли с различными символами, но об этом я расскажу позже.


Напоминайте пользователю о ваших правилах

Если вы все же решили использовать правила для паролей, напоминайте пользователю о них, когда он их игнорирует, вводя пароль. Если вы требуете, чтобы пользователи обязательно вводили специальные символы или заглавные буквы, то помогите им вспомнить об этом, когда он пытается аутентифицироваться. Это невероятно облегчит участь пользователя, которому необходимо запомнить миллион паролей, но это же, мягко говоря, небезопасно, ведь хакер, взламывающий чужой аккаунт тоже будет знать о существовании этих правил.




Именно эта модель безопасности медленно убивает меня долгие годы, несмотря на то, что я гораздо более тщательно слежу за своими паролями - я все равно их забываю. Добавление такой формы напоминания в окно аутентификации значительно увеличит юзабилити сайта и количество успешных аутентификаций.


Показывайте напечатанные символы скрытого пароля, с возможностью их убрать

Это довольно распространенная опция, в особенности для мобильных устройств. Но стоит применять ее повсеместно (включая рабочие компьютеры).


Если кто-то использует функцию общего доступа к экрану или проводит презентацию, можно спрятать символы при вводе пароля. Но таких пользователей единицы.


Всем остальным удобнее, если они видят, какой пароль они набирают. Такой метод успешно применяют Yahoo и Sprint, и служат убедительным доказательством того, что нам больше не нужно маскировать пароли.




Люк Вроблевски написал отличный обзор идей, как можно «открыть» пароль. И описал, как лучше интегрировать их. Он утверждает, что маскирование паролей — это устаревшая практика.


Конкретизируйте сообщение об ошибках ввода

Всегда сообщайте пользователю, если он ввел неправильное имя или неверный пароль. Ведь здесь появляются угрозы конфиденциальности. Такие ошибки могут совершать посторонние пользователи, например, при попытке взломать аккаунт. По крайней мере, сообщайте тем, кто вошел через имя пользователя, что вы ожидаете от них дополнительного подтверждения.


У людей, как правило, есть несколько адресов электронной почты, имен пользователей и паролей. Избавьте пользователей от необходимости помнить их все.


Если ваша система безопасности организована так, что вы не можете использовать электронную почту для оповещения о попытках ввести неправильный пароль или адрес электронной почты, то вам стоит задуматься о двухфакторной идентификации.


Кодовая фраза



Для того, чтобы продвинуть традиционную проверку подлинности имени пользователя / пароля на шаг дальше, без введения новых моделей или изменения устоявшихся традиций, подумайте о переходе к фразовым паролям вместо паролей словесных.

Секретные фразы безопаснее паролей, их легче запомнить. Об этом пишут уже больше десяти лет от «Пароли-слова против паролей-фраз» в 2005-м, до «Почему секретные фразы удобнее для пользователей, чем пароли» в 2015-м. 


Ключевые фразы лучше — как для безопасности, так и для удобства использования. Ведь вспомнить фразу, содержащую нормальные, читаемые слова намного проще, чем шифрованный пароль. Поэтому нам не нужно записывать свои пароли и не приходится пользоваться одним и тем же паролем во всех случаях, пытаясь не забыть его.




Широко распространилось убеждение, что заглавные буквы, цифры и специальные символы усложняют автоматизированный подбор пароля. Но оказывается, что это на самом деле компьютеру сложнее угадать ряд произвольных (или, казалось бы, случайных) слов, связанных в длинную фразу.

Хотите доказательств? Zxcvbn — это проект Dropbox, определяющий надежность пароля. Другие сайты могут использовать zxcvbn как определитель надежности пароля с открытым исходным кодом, эта статья Dropbox содержит отличную статистику и сведения об истинной надежности различных паролей. Прочтите статью, и вы поймете, что пароль «Tr0ub4dour & 3» гораздо уязвимей, чем «правильнаялошадьштапельнойбатареи». Это легко проверить через тесты.

Чтобы ввести в обиход пароли-фразы, нужно только предложить пользователю идею такой фразы и ликвидировать правила использования пароля. Люди, которые хотят использовать традиционные пароли, могут делать это, если им нравится, но большинство людей попытается соорудить нечитаемый пароль. В любом случае, эта идея хороша из соображений удобства пользования. 

Simple, компания интернет-банкинга, которая приветствует эксперименты и новые технологии, была первым моим опытом работы с паролями-фразами, и они показали себя прекрасно. Мою фразу-пароль просто запомнить и легко набрать, особенно на мобильном телефоне. 


Двухфакторная аутентификация




Двухфакторная идентификации (2FA) — это еще одно расширение традиционной идентификации при помощи пароля. Здесь, после проверки комбинации имени пользователя / пароля, уникальный код или URL пересылается по электронной почте либо отправляется смс-сообщением владельцу аккаунта, который пытается войти в систему.

Пользователь проходит идентификацию, подтвердив, что получил уникальный код. Так подтверждается доступ через несколько этапов, или владелец аккаунта получает предупреждение в случае враждебных попыток получить доступ к его учетной записи.






Google предоставляет возможность двухфакторной идентификации во всех (или почти во всех) своих сервисах. В случае Gmail или Gmail Входящие, используется уникальный код. Другие службы с этой же целью отправляют этот код или ссылку на адрес электронной почты пользователя.

Используйте двухфакторную аутентификацию только там, где это имеет смысл. Ведь бывает так, что 2FA может сильно раздражать человека, если его телефон в данный момент недоступен или отсутствует возможность войти в электронную почту. Если злоупотреблять ею, 2FA вполне может побудить пользователя отказаться от ваших услуг.

Google хорошо справляется с идентификацией. Они используют фишку «Доверять этому устройству 30 дней». Кроме того, предлагают опцию 2FA как один из вариантов и упорно поощряют его применение, при этом ни к чему не принуждая пользователей.

Еще одним преимуществом двухфакторной идентификации является то, что нам не нужны правила паролей, потому что мы не полагаемся на пароль как на единственную стратегию безопасности. Опять-таки, модификации паролей зачастую оказываются удобнее, чем то, к чему мы привыкли.

Социальный вход




Социальный вход или вход через авторитетный, проверенный сайт — популярный и удобный способ идентификации. Он предназначен не только для входа в систему. У American Express есть Amex Express Checkout, откуда вы входите на свой Amex-аккаунт, чтобы безопасно оплачивать товары на сторонних сайтах. Вы идентифицированы, и уже не нужно отправлять данные вашей кредитной карты продавцу.




Однако чаще всего социальный вход означает возможность войти в сторонний сервис или в приложение с помощью Facebook, LinkedIn или Twitter.

Для многих сервисов это отличный способ идентификации. Это удобно для входящего только в том случае, если у него есть аккаунт в этом стороннем сервисе. Потому социальный вход всегда подразумевает запасной вариант.

Социальный вход также запрашивает разрешения третьей стороны, что может отпугивать и останавливать пользователей и не работает с брандмауэрами (защитой), блокирующими оригинальный сайт (например, корпоративные офисы).

Тем не менее, статья MailСhimp от 2012 года понятно объясняет, почему он был и, судя по всему, до сих пор против социального входа. Аргумент сервиса состоит в том, что социальный вход создает слишком много неудобств для пользователя уже при переходе к этому способу. Даже при однократной регистрации в варианте социального входа и при традиционном запасном варианте входа, пользователь должен запомнить, как именно он регистрировался в самом начале.

Я в некоторой степени согласен с MailСhimp, но сегодня социальный вход для многих гораздо понятнее и удобнее. Подтверждение тому — широта его применения. Он часто является отличным способом упрощения идентификации. Я по-прежнему предлагал бы только один вариант, а именно — социальный вход, но если такие компании, как Medium, предлагают несколько, это точно имеет право на жизнь.

Беспарольная аутентификация




Беспарольная аутентификация — это двухфакторная идентификация без первого шага. Пользователям нужно просто помнить свое имя пользователя, адрес электронной почты или свой номер телефона, после чего они получают уникальный код для завершения входа. Они не создают пароль и не вводят его.

Мы можем продвинуть беспарольную идентификацию еще на шаг вперед, пропуская ручной набор кода. Использование глубоких ссылок или уникального символа в URL, ссылки в сообщении электронной почты или текста может напрямую открыть сервис и помочь войти в него.

В целях безопасности, коды или ссылки прекращают свое действие вскоре после отправки пользователю или их использования. Этим аутентифкация без пароля лучше, чем с паролем. Доступ предоставляется именно тогда, когда кто-то нуждается в нем, и ограничен в любое другое время, но нет никакого пароля, чтобы запрашивать этот доступ.



У Slack есть очень хороший пример беспарольной идентификации. На разных этапах входа в систему и процессов сброса пароля, он использует то, что они называют «волшебной ссылкой» (magic link) для идентификации пользователей. Уникальный URL отправляется на электронный адрес пользователя, и этот URL открывает приложение и позволяет им войти. Сама презентация Slack этой модели взаимодействия тоже примечательна, поскольку она представляет контакт пользователя с системой как «магию», упрощая его и успокаивая пользователя. Вероятно, придумавший «двухфакторную идентификацию» неправильно понял ее брендинг.


Биометрическая идентификация



Биометрическая идентификация — отпечатки пальцев, сканы сетчатки глаза, распознавание лица, распознавание голоса и многое другое — все это биометрическая аутентификация.


Наиболее распространенный пример Touch ID компании Apple. Такие вещи действительно восхищают. Биология — вот наша истинная идентичность, она всегда с нами. Мы знакомы с идеей разблокирования телефонов или планшетов при помощи отпечатка пальца. Тем не менее, биометрическая идентификации используется и в других местах (и с другими параметрами).




Windows Hello — это перспективная система идентификации для Windows 10, соединяющая камеры с датчиками (на компьютерах и устройствах) для распознавания лица, радужки глаза или отпечатков пальцев. Идея заключается в том, что нужно просто открыть свой компьютер и заниматься своим делом, не жертвуя при этом безопасностью. Этот тип идентификации был до недавнего времени невозможен, особенно в масштабе Windows 10.


Биометрические системы требуют для работы наличия аппаратных средств и датчиков, но, к счастью, в наших мобильных телефонах есть датчики для самых разных вещей. Hello использует инфракрасный датчик камеры для определения лица и глаз (при любом освещении), а в мобильных телефонах или планшетах есть устройство для сканирования отпечатков пальцев. Если бы производители настольных компьютеров и ноутбуков уделили чуть больше внимания безопасности и биометрическим датчикам, мы ушли бы от паролей уже очень давно. Mobile с самого начала определил приоритетом безопасность, и теперь остальное программное обеспечение подгоняется под эти требования.


Биометрическая идентификация находится в самом начале своего развития, но некоторые интерфейсы API и библиотеки позволяют нам пользоваться биометрической идентификацией уже сегодня. К ним относятся BioID Web Service, KeyLemon, Authentify и Windows Biometric Framework API (на котором, как мне кажется, построен Hell).


Аутентификация с помощью подключенного устройства



 Аутентификация с помощью подключенного устройства — это идентификация через Bluetooth (или нечто подобное), присоединение одного устройства к другому, уже идентифицировавшему пользователя. Например, есть приложение для Mac OS X под названием KeyTouch, позволяющее вам войти в свой компьютер со сканом отпечатков пальцев с вашего iPhone. Есть еще и Knock, когда можно кликнуть по своему телефону, чтобы разблокировать компьютер. Можно представить возможности накопления все большего количества подключенных устройств, особенно в пространстве интернета вещей (Internet of Things, IoT) — концепция вычислительной сети физических объектов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой), где персональные и, возможно, подключенные устройства будут работать постоянно. Идентификация с помощью Подключенного устройства может стать очень полезной.





Я использую приложение Mac OS X + ОС IOS под названием Tether в моем домашнем офисе. После однократной синхронизации компьютера и телефона, компьютер блокируется и разблокируется, в зависимости от близости телефона к компьютеру. Tether буквально сэкономил мне массу времени. Набор моего компьютерного пароля — с заглавными буквами, цифрами и символами — может занять всего три или четыре секунды, но многократные повторения этого каждый день, неделю, месяц и так далее — это уже слишком. А благодаря идентификации подключенного устройства к тому времени, когда я сажусь в кресло, мой компьютер разблокирован и открыт.


Другой пример? Ключи от машины с Bluetooth.



Что же теперь делать?

Мы провели опрос в Twitter, и оказалось, что среди упомянутых выше вариантов старая добрая аутентификация (логин/пароль) по-прежнему используется чаще всего (49%), далее следует социальный вход (28%). И все изменения должны быть удобны для наших пользователей. Мы можем работать над упрощением коммуникаций путем уменьшения количества паролей, которые требуют наши сервисы и приложения. И если требуется внедрить новые способы идентификации для большего комфорта пользователей,то нужно всегда рассматривать такую возможность.

Будь у меня свой способ, мы бы навсегда покончили с паролями. Мне кажется, что они некоторым образом тянут нас назад, хоть и остаются необходимыми по сей день. Так что нас ждет революция в области паролей.

Тем не менее, мы должны помнить, что люди хотят чувствовать себя в безопасности во время входа в систему, и они должны знать, что их информация недоступна посторонним. Если мы будем пренебрегать идентификацией, наши пользователи не будут доверять нам. Поэтому мы вовсе не собираемся устранять все пароли уже завтра, хотя, возможно, сократим масштаб их применения.

Лучшая идентификация, как и лучший интерфейс, абсолютно невидима. Поэтому бескомпромиссная цель должна состоять в том, чтобы сделать идентификацию незаметной. А это значит: традиционная идентификация пароля — независимо от того, насколько серьезна ее функциональность — это вчерашний день.


Можно сделать лучше

Надеюсь, мы застанем время, когда аутентификация перестанет быть препятствием, но, при этом, вся информация будет оставаться в безопасности. Если вы уже думаете об этом, знайте: скоро так и случится. Я думаю, это будут решения из области биометрии. Многие со мной согласны. В любом случае, продолжая работать над созданием сервисов и вкладывая силы в удобство функций и безопасный вход, мы сделаем будущее идентификации более комфортным.



Источник: smashingmagazine.com

Коротко

 

Статья очень длинная и полная полезных деталей. Для удобства мы собрали подзаголовки:

  • Истоки проблемы
  • Традиционное: Имя пользователя / Пароль 
  • Ограничивайте или исключайте правила для паролей
  • Напоминайте пользователю о ваших правилах
  • Показывайте напечатанные символы скрытого пароля, с возможностью их убрать
  • Конкретизируйте сообщение об ошибках ввода
  • Кодовая фраза
  • Двухфакторная аутентификация
  • Социальный вход
  • Беспарольная аутентификация
  • Биометрическая идентификация
  • Аутентификация с помощью подключенного устройства
  • Что же теперь делать?
  • Можно сделать лучше

Об авторе

Дрю Томас — технический директор и соучредитель Brolik. Руководит технологическими проектами Brolik, включая Leverage, создатель технологической платформы Brolik. Много свободного времени посвящает дополнительным проектам, удачно разделяя работу и личную жизнь. Живет в Остине, штат Техас



Оставьте номер и мы перезвоним
Спасибо!
Мы скоро свяжемся с Вами.
Contact us
Please choose a topic below in which you need help with:
    Спасибо!
    Мы скоро свяжемся с Вами.