Пароли, пароли...

Сегодня опять про пароли, но на этот раз про человеческую сторону вопроса. Пару лет назад мне на глаза попала интересная статья в Newsweek про то, как исследователи пытаются облегчить процесс создания и запоминания паролей для пользователей. Этот пост во многом основан на той статье с небольшими дополнениями, которые произошли с тех пор.

Как я уже писал, сеть и пароли плотно вошли в нашу жизнь. Тоже самое происходит с компаниями, где доступ к важным (и не очень) данным закрыты паролями, которые придумали мы, люди. Да, мы - самое слабое звено в этой цепочке, мы выбираем пароли, которые удобно запомнить (и просто взломать), мы пишем их на бумажки и приклеиваем на монитор, храним в секретном, но незащищеном .doc файле или в адресной книге на телефоне. Есть ли способы спасти нас от самих себя?

Самое первое направление - это биометрические решения, которые мы чаще видим в фантастических/шпионских фильмах, но достаточно редко в реальной жизни. Согласен, на некотрых ноутбуках есть и сканеры отпечатков, программы распознавание лица, но это лишь на некоторых моделях, да и на них люди часто отключают эти установки. Биометрические решения - это всегда дополнительные действия, да и они далеки от повсеместного распостранения. Возможно, это изменится в будущем.

Близкое к нему решение - это использование смарт-карт. Сам видел, что метод применяется на практике в американских больницах для доступа персонала к личным даннам пациента. Что-то подобное предлагал своим клиентам Bank of America для доступа к банковским операциям онлайн. Здесь все опять же упирается в стоимость терминалов, самих карт и отстутсвие единого стандарта (здесь я могу ошибаться). Хотя последнее может измениться, если правительство получит одобрение на введение единого интернет паспорта (Internet ID), предложенное администрацией Обамы в январе этого года. Что-то мне подсказывает, что номер не пройдет, учитавая нынешний политический климат и любовь среднего американца к любому централизованному контролю (одна ситуация с номерными знаками и правами чего стоит!).

Другая идея заключается в использовании паролей на основе изображений. Для успешной авторизации надо нажать на определенные элементы изображения, но, как утверждают эксперты, эту систему легко обойти - фишинговому сайту достаточно показать изображение, что сервер недоступен и попросить ввести личные данные для авторизации. От себя хочу добавить, что алгоритмы распознавания изображений  разработаны достаточно давно (Гугл использовал их уже в середине 2000х). При больших ставках, использование злоумышленниками сходных технологий не исключено

.

Что если отказаться от паролей, какими мы их знаем сегодня вообще? В статье предлагается использование одноразовых паролей, то есть ты просто вводишь логин и на телефон проходит пароль, который действителен только в течение одной сессии. В конце прошлого года Facebook  заявил о намерении ввести возможность использования одноразовых паролей на своем сайте. Для этого надо будет просто отправить и смс с текстом "OTP" на 32665, и тебе пришлют пароль, который действителен в течение 20 минут. Предполагается, что услугой будут пользоваться параноики люди, которые заботятся о безопасности, в отелях, интернет-кафе и прочих общественных местах.

Возможно, спасение уже близко. В университете Карнеги -Мелон ведутся работы над, так называемой, системой удобной безопасности (usable security), которая представляет собой смесь информатики и психологии.  Их первый совет: не используйте пароли, основанные на фразе. Например,"жить, как говориться, хорошо! А хорошо жить еще лучше" трасформируем в "zh,kg,h!ahzhel". Выглядит суперсильным паролем, вся проблема в том, что фантазия (или набор  фраз) ограничен, и эксперимент показал, что кличество вариантов измеряется сотнями тысяч, что мало по современным стандартам. Второй совет: не пользуйтесь короткими, пусть и "навороченными" паролями типа J6<k43? вероятность, что вы его забудете велика, но взломать их не так уж сложно. Вместо этого предлагают использовать длинные фразы типа da-ba-dee-da-bu-dah (недавно после долгого перерыва услышал Eiffel65)). В этом случае количество комбинаций будет сотни миллиардов.

Поживем - увидим, может из лабораторий Карнеги -Мелон,  а также Майкрософт и других компаний, выйдет еще что-нибудь, что избавит нас от необходимости придумывать и хранить в памяти десятки мудреных паролей

UPDATE: Только стоило написать про смарт-карты как замену паролям, как опубликовали сообщение о взломе подобной системы SecureID не у кого-то там, а у одного из крупнейших поставщиков Пентагона - Lockheed Martin. Вот и доверяй  ценную информацию всяким брелкам с чипами.