Будете ли вы входить в свой банк, страховую компанию или даже в электронную почту, большинство сервисов сегодня не полагаются только на пароли. Многофакторная аутентификация (MFA), ставшая обыденностью, требует от пользователей вводить второй или третий подтверждающий личность признак. Однако не все формы MFA одинаково хороши, и одноразовые пароли (OTP), которые организации присылают на телефон, имеют настолько большие дыры, что через них можно пропустить грузовик.
Например, компания Abornormal AI, занимающаяся безопасностью электронной почты, задокументировала недавние случаи в учебных заведениях, когда злоумышленники смогли выманить у жертв не только имена пользователей и пароли, но и одноразовый пароль (OTP), полученный от серверов учебных заведений.
Использование легитимных учетных данных учетной записи является гораздо более эффективным путем для киберпреступников, чем поиск уязвимости для эксплуатации. Последний отчет Microsoft о цифровой защите показывает, что идентификация является основным вектором атак.
Использование MFA в любой форме — это основной способ предотвратить атаки на идентификацию, но вам действительно нужен метод, который может противостоять фишингу.
“Phishing-resistant MFA — это золотой стандарт безопасности”, — заявляет команда аналитиков по угрозам Microsoft. «Независимо от того, насколько сильно меняется ландшафт киберугроз, многофакторная аутентификация по-прежнему блокирует более 99 процентов попыток несанкционированного доступа, что делает ее самой важной мерой безопасности, которую может реализовать организация».
Подъем passkeys
Методы MFA обычно подразделяются на три категории: то, что вы знаете (пароль, код или вопрос безопасности), что у вас есть (например, токен или смартфон) или кто вы (например, отпечатки пальцев или сканирование лица). Они включают аппаратные токены, приложения-аутентификаторы, одноразовые пароли (OTP), отправляемые по SMS или электронной почте, push-уведомления для одобрения входа в систему на подключенном устройстве, а также биометрию с использованием физических признаков для проверки личности.
Исторически, аутентификация использовала модель «что вы знаете», когда две стороны — пользователь и сервер или два устройства — подтверждают свою личность, зная общий секрет, например, пароль или код. Проблема здесь в том, что кто-то может угадать ваши секреты или, может быть, вы запишете их на стикер или в текстовом файле на рабочем столе.
Злоумышленники также могут выманить эти секреты через поддельные веб-сайты, которые запрашивают пользователей ввести свое имя пользователя и пароль, и перехватывать одноразовые пароли (OTP), отправляемые по SMS или электронной почте, перенаправляя сообщения до того, как они дойдут до предполагаемого получателя.
“Поэтому мы видим целое движение от паролей к passkeys — аутентификации на основе сертификатов в оболочке для удобства использования”, — заявил Андрас Чер, вице-президент и аналитик Forrester, The Register.
Passkeys обычно подразумеваются, когда говорят о «phishing-resistant MFA». Они заменяют пароли и вместо этого используют криптографические пары ключей, с открытым ключом, хранящимся на сервере, и закрытым ключом — например, лицо, отпечатки пальцев или PIN-код пользователя — хранящимся на устройстве пользователя.
Десятки крупных веб-сайтов, включая Amazon, Google, Microsoft, Apple iCloud, PayPal и WhatsApp, уже внедрили passkeys в качестве полноценной альтернативы паролям.
Токены безопасности (часто под торговой маркой Yubikey), физические аппаратные устройства, которые хранят сертификаты X.509, также относятся к этой категории phishing-resistant MFA, поскольку они требуют физического присутствия пользователя для аутентификации учетной записи и сервиса.
“В настоящее время наиболее безопасные типы аутентификации относятся к категории phishing-resistant MFA, к которой относятся привязанные к устройству passkeys или, реже, токены X.509”, — заявил аналитик Gartner Джеймс Хувер The Register. «Для привязанных к устройству ключей FIDO2 в настоящее время нет проверенного метода «украсть» их, поскольку сам закрытый ключ не покидает устройство».
“С passkeys мы берем эту модель общего секрета и просто взрываем всю модель, поэтому ничего нельзя передать”, — заявил Эндрю Шикиар, генеральный директор и исполнительный директор FIDO Alliance, The Register.
С passkeys мы берем эту модель общего секрета и просто взрываем всю модель, поэтому ничего нельзя передать
Затем есть passkeys для нескольких устройств — синхронизированные учетные данные, которые позволяют пользователям входить в приложения на любом из своих устройств и хранятся в диспетчере учетных данных, таком как Google Password Manager, iCloud Keychain или открытый Bitwarden. Но они уязвимы для атак социальной инженерии.
“Это решает неудобство необходимости повторной регистрации каждого устройства, но потенциально открывает вас для определенного уровня социальной инженерии, потому что я могу получить доступ к этому ключу, убедив вас разрешить моему устройству подключиться к вашей учетной записи», — сказал Хувер.
Он говорит о атаках социальной инженерии в стиле Scattered-Spider — не фишинге — когда злоумышленники обычно собирают информацию о сотруднике из социальных сетей и других общедоступных источников, а затем выдают себя за него во время звонка в службу поддержки компании, в конечном итоге убеждая службу поддержки сбросить учетные данные или устройства MFA.
“Но они все равно представляют собой значительный шаг вперед по сравнению с более распространенными методами, использующими пароль и SMS или OTP по электронной почте», — добавил Хувер.
Принятие passkeys набирает обороты
Альянс FIDO (Fast Identity Online) был сформирован в 2012 году для решения проблемы отсутствия совместимости между технологиями надежной аутентификации и решения проблемы для пользователей, связанной с запоминанием слишком большого количества имен пользователей и паролей на веб-сайтах и сервисах. Ранние члены альянса FIDO, включая Apple, Google и Microsoft начали разрабатывать стандарты FIDO2 и WebAuthn для аутентификации без пароля в 2019 году, и общественность впервые увидела passkeys в сентябре 2022 года, когда Apple начала поддерживать их в своих операционных системах iPhone, iPad и Mac.
Через три года «мы оцениваем, что используется более 2 миллиардов passkeys», — сказал Шикиар.
“Это здорово — это значительное число — и нам хотелось бы, чтобы оно выросло до 5–10 миллиардов, что действительно перешагнет порог необратимости”, — добавил он. «Но 2 миллиарда, для технологии, которая широко доступна около трех лет, мы чувствуем себя довольно хорошо в отношении этого прогресса».
Liminal, консалтинговая фирма, специализирующаяся на цифровой идентификации, провела опрос 200 ИТ-специалистов, которые либо уже внедрили passkeys, либо пообещали сделать это. Опрос показал, что 63 процента респондентов назвали passkeys своим главным приоритетом инвестиций в аутентификацию на 2026 год. Среди тех, кто уже внедрил passkeys, 85 процентов сообщили о высокой степени удовлетворенности своим решением и полученными бизнес-результатами.
Чтобы углубиться в бизнес-преимущества passkeys, обе фирмы провели конфиденциальный опрос [PDF] девяти организаций-членов — Amazon, Google, LY Corporation, Mercari, Microsoft, NTT DOCOMO, PayPal, Target и TikTok — которые внедрили их в течение одного-трех лет.
Эти компании сообщили о на 30 процентов более высоком проценте успешного входа по сравнению с другими методами MFA, и заявили, что passkeys сокращают время входа на 73 процента, занимая в среднем 8,5 секунды на вход.
Другие методы аутентификации, включая проверку по электронной почте, коды SMS и варианты входа через социальные сети (вход с помощью Apple, Google и т. д.), занимали в среднем 31,2 секунды.
“Если вы занимаетесь продажей товаров или контента, более легкий и быстрый доступ приведет к увеличению доходов”, — отметил Шикиар, отметив, что простота использования passkeys помогает бизнесу, ориентированному на потребителя, устранить отказ от корзины покупок из-за того, что люди раздражаются из-за времени, необходимого для оформления заказа.
«Но также, ранняя адаптация указывает на снижение затрат», — добавил он.
Passkeys снижают количество обращений в службу поддержки, согласно ранним пользователям, которые сообщили о сокращении количества инцидентов, связанных с входом в систему, на 81 процент. Хотя они не назвали конкретную сумму в долларах США, компании, использующие passkeys, также ожидают снижения затрат, связанных с OTP, сбросами и взаимодействием со службой поддержки, по мере внедрения этой формы аутентификации.
Кроме того, passkeys устраняют затраты, связанные с мошенничеством посредством SMS и OTP, по словам Шикиара. «Как только учетные записи не могут быть захвачены удаленными атаками, ваши атаки снижаются, и ваши затраты на мошенничество снижаются».
Проблемы с удобством использования остаются
Итак, почему passkeys не использует каждый? Остаются некоторые проблемы с удобством использования, особенно с passkeys, привязанными к операционной системе одного устройства (например, iOS, Android или Windows), которые обычно требуют сторонних инструментов для переноса в другую экосистему ОС.
“А затем всегда есть компромисс между безопасностью и простотой внедрения”, — сказал Avinash Rajeev из PwC, который возглавляет бизнес фирмы по оценке и управлению кибер-, данными и технологическими рисками в США.
“Для внутренних сценариев использования, таких как сотрудники и подрядчики, безопасность обычно является самым важным, и вы можете обойтись без лучшего пользовательского опыта для вашей внутренней группы”, — сказал он. «Но когда вы смотрите на внешнюю сторону для клиентов, вам приходится расставлять приоритеты в пользовательском опыте, а иногда это происходит за счет безопасности. Это всегда сводится к поиску правильного баланса».
Хотя SMS или OTP по электронной почте не так безопасны, как passkeys, многие веб-сайты, ориентированные на конечных пользователей, по-прежнему используют их, потому что они проще в реализации и понимании. Клиент уже имеет адрес электронной почты, и если ему не помешает подождать несколько дополнительных секунд, чтобы получить токен безопасности, это простой процесс. Кроме того, это все равно безопаснее, чем просто использовать пароль.
“Это всегда сочетание обоих факторов”, — сказал Раджив. «Вы всегда должны смотреть на то, что вы пытаетесь защитить, и на то, что вы готовы принять с точки зрения уровня безопасности, одновременно обеспечивая достаточный уровень удобства использования для вашей пользовательской базы».
“Это всегда сочетание обоих факторов”, — сказал Раджив. «Вы всегда должны смотреть на то, что вы пытаетесь защитить, и на то, что вы готовы принять с точки зрения уровня безопасности, одновременно обеспечивая достаточный уровень удобства использования для вашей пользовательской базы.”
®
Автор – Jessica Lyons
