В будущем аутентификация не будет проводиться через одно мощное приложение, но ее точно ждет целый ряд мощных применений.

Одноразовые пароли (one-time passwords, OTP), SMS-сообщения, удаленные уведомления и многозначные коды канут в небытие, так что готовьтесь к безопасным альтернативам и их сочетаниям в виде криптографических аппаратных ключей безопасности, средств аутентификации на базе устройства и биометрических проверок.

Закрытым системам не выжить, поэтому можете рассчитывать на гибкость открытых стандартов.

Сегодняшнюю аутентификацию, т. е. процесс входа в онлайн-ресурс или ресурс локальной сети, нельзя назвать идеальной, так что можно ожидать появления безопасных, федеративных (federated) процедур входа и уменьшения количества провайдеров услуг идентификации потребителей вкупе с распространением сервисов аутентификации, работающих на базе облачных платформ и предоставляющих компаниям частные изолированные среды для запуска и поддержки собственных сервисов идентификации (наподобие модели Amazon Web Services).

Аутентификацию ждет блестящее и безопасное будущее, обусловленное настройками и их комбинациями.

На данный момент одноразовые пароли, SMS-сообщения и схемы на основе отправки удаленных уведомлений демонстрируют уязвимости и дискредитируются атаками посредников-злоумышленников и фишинг-атаками, для проведения которых необязательно быть изощренным хакером. Собственно, Национальный институт стандартов и технологий США рекомендует прекратить использование SMS-сообщений для внешней аутентификации и намерен исключить их из очередной редакции своего нормативного документа по цифровой аутентификации.

Взамен, в качестве панацеи от всех бед предлагается биометрия, однако такое недальновидное стремление избавиться от паролей упускает из виду множество нюансов.

Проблему аутентификации будут решать разными способами, в зависимости от типа ресурсов, к которым осуществляется доступ, степени использования мобильных и прочих устройств и доступных сетевых соединений. И все равно в процессе может понадобиться пароль.

Биометрическая идентификация получает все большее признание, однако даже она имеет недостатки, в частности, ложноположительные срабатывания и проблемы при внедрении на предприятиях. Здесь еще много работы, однако синхронизация с другими видами технологий может подстегнуть инновации в области биометрической идентификации.

Поведенческая биометрическая идентификация вроде оценки скорости нажатия клавиши, способа, которым пользователь держит телефон, или показателей использования мышки усиливает интерес к биометрии. А добавление таких параметров, как географическое местоположение, еще больше помогает усовершенствовать биометрическую идентификацию пользователя с удаленных устройств.

Такие комбинации соответствуют будущему сценарию, при котором решение о том, как и кому давать доступ к ресурсу, будет приниматься на основе набора вводимых значений, переменных и параметров.

Открытые стандарты также сыграют ключевую роль. Ассоциация FIDO Alliance, консорциум World Wide Web, организация OpenID Foundation (OIDF), а также многочисленные страны и отдельные организации, включая Евросоюз, Великобританию и США, подстегивают коренные перемены в аутентификации.

Конкретные меры по стандартизации дополняют остальную работу по созданию стандартов в области аутентификации. Из них наибольшего внимания заслуживают протоколы, построенные на стандарте OAuth сообщества Internet Engineering Task Force (IETF), и их производные вроде OpenID Connect для федеративного объединения средств идентификации.

OIDF прокладывает «мост» к стандартам аутентификации второго уровня (в качестве наглядного примера можно привести FIDO Alliance). Аутентификационная платформа Hello компании Microsoft, релиз которой (в составе новой версии Windows 10) намечен на следующую неделю, как раз близко подошла к реализации стандартной среды аутентификации на базе FIDO. Такие виды интеграции упорядочивают процесс аутентификации в более масштабные системы управления идентификационными данными и доступом, к тому же они расширяют спектр возможностей для корпоративных пользователей и провайдеров сервисов идентификации потребителей.

Наконец, в будущем количество провайдеров сервиса онлайн-идентификации сократится до считанных единиц, вероятно связанных между собой компанией Google и ее новыми IDaaS-средствами (identity as a service, идентификация как сервис), анонсированными в начале июня; а также компанией Microsoft и ее решением Azure AD B2C, представляющим собой IDaaS-модель ориентированных на потребителя сервисов идентификации. И Google, и Microsoft включили в свои решения такие стандарты, как FIDO и OpenID Connect. Среди других ID-провайдеров, созревших для конкуренции, можно назвать Facebook и Amazon.

В этой модели веб-сайты больше не требуют от посетителей создавать собственное имя пользователя и пароль (или хранить личную информацию в качестве приманки для хакеров): взамен они поручают операцию верификации данных и аутентификации пользователя провайдеру идентификации.

В то время как существующие механизмы аутентификации решают реальные, ощутимые проблемы, перспективы усовершенствований и принципиально новых решений выглядят многообещающе и могут предоставить практически все инструменты, необходимые для ужесточения мер безопасности в Интернете.

Версия для печати