НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Пароли: за и против

Валерий Васильев
19.11.2015 01:23:47
Теги: U2F; NIST; FIDO

Специалисты National Institute of Standards and Technology (NIST), как сообщает технологический обозреватель информационного ресурса FedScoop Грег Отто (Greg Otto), считают, что парольная аутентификация плохо справляется с современными хакерскими атаками.

Так, Пол Грасси (Paul Grassi), старший консультант по технологиям и стандартам в программе National Strategy for Trusted Identities in Cyberspace (NSTIC) института NIST обращает наше внимание на то, что даже 16-символьные пароли могут противостоять современному перебору в лоб не долее десяти минут. По этой причине, заключает он, пароли годятся только для защиты малоценных данных, а то, что по-настоящему ценно, следует защищать двухфакторной аутентификацией.

С этими выводами согласен исполнительный директор некоммерческого альянса FIDO Бретт МакДовел (Brett McDowell), полагающий, что вместо усовершенствования парольной защиты нужно сосредоточить усилия на совершенно иных технологиях аутентификации. Так, FIDO в настоящее время работает над усовершенствованием новых стандартов и протоколов, получивших название Universal Two Factor (U2F). Они опираются на биометрию, и позволяют не использовать пароли. По словам Бретта МакДовела, эти новые технологии существенно проще в использовании, более того, они уже реализованы в смартфонах компании Samsung и адаптируются для своих нужд компаниями PayPal и Google.

Считается, что стандарты U2F очень удобны при использовании электронных госуслуг: вместо того, чтобы вводить длинные (а иначе ненадежные) пароли, гражданам достаточно предъявить отпечаток пальца, картинку радужки глаз или иной свой легко считываемый биопараметр.

Однако, у такого подхода к аутентификации есть и оппоненты. Так, Дарран Роллс (Darran Rolls), главный технолог софтверной компании SailPoint, считает, что пока развиваются новые подходы, не стоит пренебрегать возможностями управления паролями, а также контролю поведения пользователей. Как показали хакерские атаки этого года, поведенческая аутентификация тоже является мощным ИБ-инструментом. Так что, скорее всего, в тех или иных пропорциях использовать придется и поведенческую аутентификацию, и двухфакторную аутентификацию, и пароли.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.11.2015 11:21:21

Нельзя не согласиться с тем, что в системах с классической парольной аутентификацией значительно чаще происходит компрометация пользовательских аккаунтов, чем в тех, где реализованы иные методы верификации субъекта доступа. При этом слабым звеном парольной защиты, в основном, выступает человеческий фактор, а именно — желание использовать более простой для запоминания пароль, применять его многократно для множества различных систем и даже записывать этот пароль на бумажке и хранить ее на всеобщем обозрении и т.д. К сожалению, повлиять на культуру пользователей в области информационной безопасности практически невозможно. Выход состоит именно в применении методов аутентификации, усиливающих классический подход парольной защиты. Самый распространенный частный случай этого подхода – двухфакторная аутентификация.

Что касается иных технологий аутентификации, в частности, биометрической, то они действительно имеют преимущества по удобству для пользователя, поскольку не требуют запоминания им своих аутентификационных данных. В то же время, существующие методы имеют некоторые недостатки, влияющие на их надежность. Следствие этого — наличие на всех современных устройствах, их поддерживающих, альтернативного метода аутентификации – парольного. Вывод: развивая альтернативные методы аутентификации, не стоит пренебрегать вопросами безопасности парольной защиты.