На сегодня существует два подхода к защите учетных записей в Интернете: применить двухфакторную проверку подлинности и постоянно испытывать неудобства, или не делать этого — и остаться уязвимым. Но даже если удастся устранить недостатки двухфакторной проверки подлинности, что вряд ли возможно, итог будет один и тот же. Близится переломный момент в эволюции безопасности, за которым неизбежно последует полный отказ от паролей.
В прошлом, когда большинство компьютеров работали вне сети, все было просто. Рядовые пользователи обычно вообще не защищали свои компьютеры, хотя грамотные люди назначали пароли с разумным уровнем сложности локальным учетным записям. Пользователям управляемых компьютеров, конечно, требовались пароли для доступа как к своему компьютеру, так и к корпоративным ресурсам компании, а компании с разумными политиками требовали сложных паролей и их смены через определенные интервалы времени.
Затем появились Интернет и всеохватывающая связь. Мы создаем все больше учетных записей на торговых сайтах, в социальных сетях, других сайтах и службах, и размножение паролей вызывает массу хлопот. Всем понятна опасность использования одного пароля для нескольких сайтов, и то, что abc123 и password — далеко не идеальные пароли. Всем также известно, что необходимо назначать разные пароли каждой учетной записи, но лучше, чтобы эти пароли были сложными.
Беда в том, что практически никто этого не делает.
Технически грамотное меньшинство использует диспетчеры паролей, такие как LastPass. Они прекрасно подходят для Интернета, если вы готовы хранить все свои пароли в едином хранилище, защищенном одним, предположительно сложным, главным паролем.
Компания Microsoft преобразовала свою службу учетных записей Passport в Microsoft ID и обеспечила вход через нее во все свои продукты, в том числе Windows 8 и RT, и Windows Phone. На первый взгляд такая интеграция — превосходное решение и, безусловно, открывает доступ к очень полезной функциональности. Но у нее тот же недостаток, что и у диспетчера паролей. Существует единственная точка входа, проникнув через которую, взломщики получают доступ ко всей вашей личной информации.
Или вот возьмем побочное явление: сотрудник, использовавший корпоративный адрес электронной почты в качестве учетной записи Microsoft, по какой-то причине теряет работу, а далее следует веселое упражнение в самобичевании. Однако не будем отвлекаться.
Казалось бы, удачное решение — двухфакторная проверка подлинности. Многие поставщики публичного «облака» начинают использовать эту функцию. Ее внедрили Google, Twitter и даже Microsoft (в отдельных случаях).
Сегодня Microsoft предоставляет двойную проверку подлинности через ориентированную на потребителей учетную запись Microsoft (которая охватывает, в частности, Outlook.com и SkyDrive в Интернете), но, как ни странно, не через Office 365. Пользователи Office 365 время от времени получают в Интернете или в Office нелепые сообщения с просьбой повторно ввести единственный пароль и извинениями за «излишнюю осторожность». Очевидно, компания старается хоть как-то повысить уровень защищенности, пока не будет реализована истинно двухфакторная проверка подлинности.
В Microsoft эту процедуру называют двухэтапной проверкой подлинности, так как второе средство проверки применяется после регистрации пользователя. Для индивидуальных пользователей это обычно код, пересылаемый на сотовый телефон или смартфон, который вы вводите после привычной процедуры входа. Однако как Microsoft, так и Google выпускают программы проверки подлинности для мобильных устройств, которые генерируют такие коды. Для корпораций уже много лет существуют смарт-карты и другие методы.
Однако такая функциональность — обоюдоострое оружие: она резко усложняет процедуру регистрации. А если вы используете двухфакторную проверку подлинности в нескольких учетных записях, как это приходится делать мне, то возникает ощущение, что весь день посвящен вводу кодов. Это очень неудобно. Однако выбора нет, потому что пароли откровенно ненадежны.
Я так устал от паролей
Несколько лет назад мне довелось воспользоваться первым сканером отпечатков пальцев для ноутбука, и я решил, что буквенно-цифровые пароли останутся в прошлом. Компания Lenovo, первой приступившая к массовому внедрению технологии, также начала встраивать функции распознавания лица в ноутбуки, предназначенные для потребительского рынка. Я не опробовал такие методы (которые почему-то часто показывают в фильмах), но нет сомнений, что за ними будущее.
Тем не менее, несмотря на неуклонное развитие биометрических и сопряженных методов защиты, мы по-прежнему вводим пароли с клавиатуры. Попытки сделать шаг вперед не прекращаются: в Windows 8.1 появилась поддержка устройства считывания отпечатков пальцев нового типа, и на тестах процедура выполняется очень быстро и точно. Однако, доверяя своему многолетнему опыту, я не надеюсь, что такой подход в обозримом будущем заработает. Мы в переломной точке: пароли уже не действуют, а мы продолжаем использовать их.
Нереально требовать от человека запоминать много уникальных и сложных паролей. Тщетно просить настраивать, а затем использовать любую систему двухфакторной проверки подлинности — причем отдельно для каждой службы с подобной функциональностью. Поэтому почти никто не использует эту технологию. И поэтому постоянно теряются ценные данные и происходят кражи конфиденциальных данных. Слишком трудно построить надежную защиту.
Кроме того, существует страх аварии. Недавно в отпуске я попал в неприятную ситуацию, когда Microsoft блокировала доступ к хранилищу SkyDrive, связанному с моей основной учетной записью Microsoft. Эта учетная запись Hotmail была создана в 2001 году, поэтому я смог оформить подписку на службу Xbox Live на первой модели Xbox. С тех пор я пользовался ею регулярно. Но однажды я попытался выполнить регистрацию, и обнаружил, что услуга недоступна.
Я прошел обычную процедуру технической поддержки Microsoft, но при этом обратился к знакомому сотруднику компании, чтобы ускорить ее. Неполадку устранили, но так и не объяснили. Мне принесли извинения, так как блокировка стала результатом ошибки (я не допускал никаких оплошностей, вопреки первоначально появившемуся сообщению), но этот случай напомнил мне, как опасно складывать все яйца в одну корзину.
Думаю, можно было бы подписаться на службу Dropbox или какую-то иную. Но в результате появился бы лишний пароль. Интересно, существует ли двухфакторная проверка подлинности в Dropbox? Мне так надоели пароли.