Так, Пол Грасси (Paul Grassi), старший консультант по технологиям и стандартам в программе National Strategy for Trusted Identities in Cyberspace (NSTIC) института NIST обращает наше внимание на то, что даже 16-символьные пароли могут противостоять современному перебору в лоб не долее десяти минут. По этой причине, заключает он, пароли годятся только для защиты малоценных данных, а то, что по-настоящему ценно, следует защищать двухфакторной аутентификацией.
С этими выводами согласен исполнительный директор некоммерческого альянса FIDO Бретт МакДовел (Brett McDowell), полагающий, что вместо усовершенствования парольной защиты нужно сосредоточить усилия на совершенно иных технологиях аутентификации. Так, FIDO в настоящее время работает над усовершенствованием новых стандартов и протоколов, получивших название Universal Two Factor (U2F). Они опираются на биометрию, и позволяют не использовать пароли. По словам Бретта МакДовела, эти новые технологии существенно проще в использовании, более того, они уже реализованы в смартфонах компании Samsung и адаптируются для своих нужд компаниями PayPal и Google.
Считается, что стандарты U2F очень удобны при использовании электронных госуслуг: вместо того, чтобы вводить длинные (а иначе ненадежные) пароли, гражданам достаточно предъявить отпечаток пальца, картинку радужки глаз или иной свой легко считываемый биопараметр.
Однако, у такого подхода к аутентификации есть и оппоненты. Так, Дарран Роллс (Darran Rolls), главный технолог софтверной компании SailPoint, считает, что пока развиваются новые подходы, не стоит пренебрегать возможностями управления паролями, а также контролю поведения пользователей. Как показали хакерские атаки этого года, поведенческая аутентификация тоже является мощным ИБ-инструментом. Так что, скорее всего, в тех или иных пропорциях использовать придется и поведенческую аутентификацию, и двухфакторную аутентификацию, и пароли.
Что касается иных технологий аутентификации, в частности, биометрической, то они действительно имеют преимущества по удобству для пользователя, поскольку не требуют запоминания им своих аутентификационных данных. В то же время, существующие методы имеют некоторые недостатки, влияющие на их надежность. Следствие этого — наличие на всех современных устройствах, их поддерживающих, альтернативного метода аутентификации – парольного. Вывод: развивая альтернативные методы аутентификации, не стоит пренебрегать вопросами безопасности парольной защиты.