Будущее без паролей: как пароли упростят вашу жизнь и защитят всех нас

Опубликовано: 2022-11-16

Ни для кого не секрет, что аутентификация без пароля берет верх. Мировые технологические лидеры, такие как Apple, Google и Microsoft, переходят на использование паролей. Используя преимущества криптографии с открытым ключом, ключи доступа приносят почти революционный опыт в области цифровой безопасности.

iThemes лидирует в том, чтобы сделать WordPress и, в конечном счете, весь Интернет более безопасным и удобным для всех. Будущее без паролей, и мы здесь, чтобы рассказать вам, почему.

В этом руководстве по аутентификации без пароля вы узнаете, как ключи доступа преодолевают уязвимости безопасности аутентификации на основе пароля и почему вы должны начать их использовать.

Путь к беспарольной аутентификации

Путь к беспарольной аутентификации уже начался. Все основные браузеры и технологические гиганты ввели полную поддержку паролей. 2022 год стал новой вехой в реализации более последовательного, безопасного и простого входа без пароля на нескольких устройствах и цифровых платформах.

Каждый год Всемирный день паролей, отмечаемый в первый четверг мая, отмечает новые достижения, достигнутые в результате совместных усилий, направленных на то, чтобы сделать Интернет более безопасным и удобным для всех. 05 мая 2022 года Apple, Google и Microsoft объявили о планах расширить поддержку стандарта входа без пароля, созданного Альянсом FIDO и Консорциумом World Wide Web.

В течение многих лет Альянс FIDO (Fast Identity Online) и Консорциум World Wide Web работали над набором стандартов, которые позволят реализовать аутентификацию без пароля в Интернете. FIDO 2 — это новейший набор спецификаций, который теперь поддерживается большинством браузеров и платформ.

Далее в руководстве мы более подробно рассмотрим, как работает аутентификация без пароля. Но перед этим давайте посмотрим, почему сейчас аутентификация по паролю постепенно уходит в прошлое.

Почему аутентификация на основе пароля осталась позади?

Аутентификация на основе пароля существует почти с тех пор, как существует Интернет, позволяя пользователям входить на веб-сайт или в веб-приложение, используя пару учетных данных — имя пользователя и пароль. Этот подход доказал свою надежность и универсальность и в течение многих лет является отраслевым стандартом.

Однако, несмотря на простоту реализации и использования, многочисленные недостатки и риски безопасности, связанные с аутентификацией на основе пароля, были быстро обнаружены как на стороне пользователя, так и на стороне сервера. Проще говоря, и у пользователей, и у серверов нет возможности обеспечить безопасность общего секрета.

Основные риски безопасности, связанные с аутентификацией на основе пароля, связаны с использованием пароля в качестве общего секрета. Это может стать доступным злоумышленнику на разных этапах процесса аутентификации. Пароли могут быть взломаны или просто угаданы из-за успешной атаки грубой силы.

3 распространенных способа раскрытия паролей

Исследования показали, что более 80% всех нарушений, связанных со взломом, связаны с компрометацией паролей. Это означает, что в какой-то момент хакеру удалось получить несанкционированный доступ к системе, выдав себя за законного владельца веб-сайта или веб-приложения. Но как именно взламывают веб-сайты?

Наиболее распространенные способы раскрытия паролей включают фишинг, атаки методом грубой силы и утечку данных. Пользователей можно обманом заставить выдать свою аутентификационную информацию. Или пароли могут быть угаданы или просочились в случае утечки данных на стороне поставщика услуг.

Брутфорс-атаки и утечка данных

Растет число атак методом грубой силы, на которые приходится примерно 80% всех сетевых атак. Поскольку подбор пароля автоматизирован, злоумышленнику не требуется много времени для взлома любой учетной записи.

Машина хакера (или даже сеть компьютеров, известная как ботнет) может генерировать тысячи комбинаций в секунду. Это позволяет злоумышленнику мгновенно получить несанкционированный доступ к веб-сайту или веб-приложению.

И если вам интересно, почему хакер атакует ваш сайт, объяснение простое. Хакеры могут делать тысячи веб-запросов в секунду. Они редко выбирают, какие сайты хотели бы взломать — они постараются взломать как можно больше.

Получение администраторского доступа к веб-сайту или даже целому серверу открывает для хакеров почти неограниченные возможности для использования системы. Одним из них является утечка информации о пользователях, включая имена пользователей и пароли, из базы данных приложения.

Почему использование надежных паролей не устраняет все риски безопасности

Использование надежных паролей абсолютно необходимо и обеспечит надежную защиту от атак грубой силы. Считается, что использование надежного пароля устраняет все риски безопасности. Однако это может лишь в определенной степени снизить вероятность того, что ваши учетные данные будут скомпрометированы.

Только около 30% пользователей настраивают двухфакторную аутентификацию. Без использования многофакторной аутентификации хакеры находятся всего в одном шаге от получения доступа к конфиденциальной информации.

Установка одноразовых паролей, проверка по SMS или любой другой тип 2FA — отличный вариант для преодоления большинства уязвимостей безопасности аутентификации по паролю. Тем не менее, пароли могут иметь большое значение в мире кибербезопасности.

пароли

Что такое пароли?

Ключи доступа — это цифровые учетные данные, основанные на асимметричной криптографии, которые могут полностью заменить аутентификацию на основе пароля. Являясь формой проверки подлинности без пароля, ключи доступа обеспечивают более быстрый и безопасный способ входа в службы и приложения на нескольких пользовательских устройствах.

Аутентификация без пароля позволяет вам не вводить имя пользователя и пароль для входа в систему. Вместо этого ваше устройство сгенерирует ключ доступа — пару криптографических ключей, которые будет идентифицировать определенный идентификатор учетных данных.

Как пароли обеспечивают безопасную аутентификацию

Каждый создаваемый пароль уникален и привязан к отдельному веб-сайту или веб-приложению. Поскольку нет общих секретов или паролей, которые пользователь должен помнить, ключи доступа обеспечивают полную защиту от фишинга и атак методом грубой силы.

После создания нового пароля сервер сохранит открытый ключ и идентификатор учетных данных. Закрытый ключ будет надежно храниться на устройстве пользователя или аппаратном ключе безопасности, таком как YubiKey, который можно носить с собой.

Для поддержки ключей доступа устройство пользователя должно иметь микросхему безопасности доверенного платформенного модуля (TPM) для выполнения криптографических операций, таких как создание ключей и проверка подлинности платформы. Аутентификатор платформы обычно поддерживает несколько типов проверки личности, включая биометрическую информацию и PIN-коды.

Ключи доступа также могут автоматически синхронизироваться между устройствами пользователя через облачный сервис. Поэтому вам не нужно создавать новую пару ключей на других устройствах. Синхронизация ключей доступа полностью зашифрована, и облачная служба надежно сохранит зашифрованную копию ключа доступа.

Даже в случае утечки открытого ключа он будет бесполезен для хакера без соответствующего закрытого ключа. Это исключает любую возможность несанкционированного доступа из-за утечки данных. Злоумышленник не может выдать себя за вас.

Как работают пароли?

Использование паролей стало возможным благодаря развитию асимметричной криптографии и нескольких стандартов и протоколов, созданных Альянсом FIDO и Консорциумом World Wide Web. Давайте более подробно рассмотрим, как работают пароли, узнав больше о криптографии с открытым ключом, WebAuthn и протоколе Client to Authenticator.

Криптография с открытым ключом

Открытый ключ или асимметричная криптография включает в себя пару ключей — закрытый и открытый — которые используются для шифрования и расшифровки данных, которыми обмениваются разные стороны. Закрытый ключ должен храниться в секрете, пока открытый ключ публикуется в Интернете (или передается на сервер при создании пароля).

Помимо аутентификации без пароля, асимметричная криптография помогает обеспечить сквозное шифрование для защиты трафика, проходящего по сети. Сертификат SSL/TLS имеет закрытый ключ, установленный на исходном сервере, а открытый ключ используется для проверки подлинности веб-сайта перед установлением соединения.

API веб-аутентификации (WebAuthn) и протокол клиент-аутентификатор

Наряду с протоколом Client to Authenticator, Web Authentication API является частью структуры FIDO2, набора технологий, позволяющих использовать беспарольную аутентификацию между серверами, браузерами и аутентификаторами.

WebAuthn, сокращенно от Web Authentication API, представляет собой новую спецификацию, разработанную консорциумом World Web Consortium и FIDO, которая позволяет серверам осуществлять аутентификацию без пароля. Начиная с 2019 года WebAuthn поддерживается всеми основными браузерами, включая Chrome, Firefox, Safari и Edge.

В качестве интерфейса прикладного программирования WebAuthn позволяет веб-сайтам и веб-приложениям регистрировать и аутентифицировать пользователей, используя пароли вместо паролей.

Веб-аутентификация работает вместе с другими стандартами FIDO, такими как управление учетными данными и протокол клиент-аутентификатор 2 (CTAP 2). CTAP 2 — это протокол прикладного уровня, который определяет связь между браузером, операционной системой и перемещаемым аутентификатором.

Регистрация пароля

Когда вы регистрируете новый ключ доступа для аутентификации, сервер, на котором размещено приложение, генерирует запрос. Затем ваше устройство создаст новую пару ключей, подпишет вызов и отправит открытый ключ на сервер вместе с идентификатором учетных данных.

Сервер сохранит открытый ключ и идентификатор учетных данных, чтобы аутентифицировать вас при следующем входе в систему. Вы можете создать несколько паролей для каждой учетной записи для обеспечения избыточности. Это также способствует более быстрому восстановлению учетной записи в случае утери основного ключа доступа.

Закрытый ключ будет сохранен на вашем устройстве и надежно сохранен там. Единственный способ получить доступ к закрытому ключу — подтвердить свою личность с помощью биометрического датчика. Это включает в себя ваши отпечатки пальцев или черты лица или PIN-код.

Процесс беспарольной аутентификации

После создания нового ключа доступа для вашей учетной записи вы можете использовать аутентификацию без пароля всякий раз, когда вам нужно войти на веб-сайт или в приложение. Вместо входа в систему с именем пользователя и паролем вы можете использовать пароль.

Сервер отправит идентификатор учетных данных (или несколько идентификаторов, если вы сгенерировали более одного ключа доступа для учетной записи) и вызов. Затем ваше устройство будет использовать идентификатор учетных данных, чтобы найти правильный ключ и запросить подтверждение вашей личности с помощью одного из поддерживаемых методов аутентификации.

Как только ключ будет разблокирован, ваше устройство подпишет вызов и отправит его на сервер для аутентификации. Сервер проверит подписанный вызов с помощью открытого ключа из пары и предоставит доступ к вашей учетной записи.

iThemes привносит беспарольную аутентификацию в WordPress

WordPress всегда был приоритетной целью для хакеров по всему миру.

Рост числа атак на веб-сайты WordPress и глобальные объемы вредоносных программ не остаются незамеченными. Поскольку вредоносные атаки нацелены на большее количество пользователей, безопасность веб-сайтов становится важнее, чем когда-либо.

В течение многих лет iThemes искала новые способы защиты веб-сайтов WordPress от постоянно растущих угроз безопасности. Еженедельные отчеты об уязвимостях WordPress помогли нам понять, как защитить одну из критических областей веб-сайта WordPress — панель администратора.

Ключи доступа, несомненно, являются одним из самых замечательных нововведений в мире кибербезопасности. Растущая адаптация паролей к различным платформам и операционным системам может навсегда изменить Интернет. Ключи доступа WordPress могут существенно повлиять на безопасность WordPress. И iThemes не стали ждать ни минуты, чтобы сделать аутентификацию без пароля доступной для сообщества WordPress.

В сентябре 2022 года iThemes Security Pro включила поддержку паролей WordPress для аутентификации без пароля. Привнеся последние разработки в области кибербезопасности на ваш веб-сайт WordPress, iThemes Security Pro сделала огромный шаг к более безопасной и последовательной аутентификации.

С iThemes Security Pro пароли для аутентификации WordPress доступны на всех типах устройств. Вы можете использовать аутентификатор платформы, такой как Apple Touch ID, Face ID и Windows Hello, а также любой перемещаемый аутентификатор.

Начните использовать пароли для WordPress

Чтобы начать использовать пароли для аутентификации администратора WordPress, обязательно обновите iThemes Security Pro до последней версии. Параметр включения аутентификации без пароля будет доступен на вкладке «Безопасность входа». После включения поддержки ключей доступа настройте ключи доступа для пользователей WordPress с панели администратора.

Если вы все еще не пользуетесь автоматическими обновлениями ядра, тем и плагинов WordPress, пора начинать. BackupBuddy, отмеченное наградами решение для резервного копирования для WordPress, поможет вам создать надежную стратегию резервного копирования, чтобы уверенно справляться со всеми обновлениями.

Запускаете более одного веб-сайта? iThemes Sync поможет вам управлять несколькими веб-сайтами WordPress с единой панели управления, экономя ваше время и деньги. Расширенный мониторинг, отслеживание показателей SEO и интеграция с BackupBuddy и iThemes Security Pro — все это доступно вам с вашим личным помощником по работе с сайтами WordPress.

Как технологические гиганты внедряют пароли

Три мировых технологических гиганта — Apple, Google и Microsoft — проложили путь к аутентификации без пароля во всех основных браузерах и операционных системах. Android, iOS и Windows теперь могут использовать мощные встроенные аутентификаторы платформы и синхронизировать ключи доступа на нескольких устройствах.

Яблоко

Apple представила ключи доступа с выпуском IOS 16 и macOS Ventura, сделав аутентификацию без пароля доступной для пользователей на всех устройствах Apple. Встроенные средства аутентификации Apple, такие как Touch ID и Face ID, разрешают использование паролей в Safari и других основных браузерах.

Ключи доступа синхронизируются на всех устройствах Apple пользователя с помощью цепочки ключей iCloud. Когда пользователь включает iCloud Keychain в первый раз, устройство Apple устанавливает круг доверия и создает новую уникальную пару ключей, хранящуюся в связке ключей устройства. Таким образом, iCloud Keychain обеспечивает сквозное шифрование с надежными криптографическими ключами.

Google

Еще в октябре Google объявил о поддержке ключей доступа в Google Chrome и Android. Это стало важной вехой в интеграции паролей в экосистему. В Chrome и Android пароли хранятся в Google Password Manager. Учетные данные синхронизируются между устройствами пользователя, на которых выполнен вход в одну и ту же учетную запись Google.

В будущем Google планирует расширить поддержку паролей для Android. Новый API позволит использовать пароли для приложений Android.

Майкрософт

Microsoft лидирует в реализации беспарольной аутентификации в Интернете. До 2022 года поддержка паролей уже была включена в Windows 365 и Виртуальный рабочий стол Azure.

Microsoft обеспечивает вход без пароля с помощью Windows Hello, надежного средства проверки подлинности платформы, которое теперь встроено в Windows 10 и 11. Реализация ключей доступа Microsoft аналогична реализации Apple. Он позволяет синхронизировать ваши пароли между устройствами, на которых выполнен вход в одну и ту же учетную запись Microsoft.

Другие компании, использующие пароли

Несколько компаний уже внедрили аутентификацию без пароля на основе стандартов, разработанных FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix и IBM входят в число новаторов, внедривших аутентификацию без пароля на свои платформы.

Подведение итогов

Основываясь на асимметричной криптографии и множестве мощных протоколов и спецификаций, разработанных FIDO Alliance и World Web Consortium, в ближайшем будущем ключи доступа могут полностью заменить аутентификацию на основе пароля. Крупнейшие технологические компании постепенно расширяют поддержку паролей. Вскоре мы сможем забыть об атаках методом грубой силы и несанкционированном доступе.

После многих лет поиска правильного решения для обеспечения более согласованной аутентификации ключи доступа упрощают нашу жизнь и защищают нас. Вы уже забыли, что такое пароли? Пока нет, но вам определенно нужно быть готовым к использованию паролей.

Будущее аутентификации — это пароли! Войдите на свой сайт WordPress с помощью биометрии, доступной только в iThemes Security Pro.

Проблемы с атаками методом грубой силы посредством заполнения учетных данных, фишинговых атак и повторного использования паролей сделали нашу цифровую жизнь менее безопасной. Мы все пытались поощрять двухфакторную аутентификацию в качестве защиты, но менее 30% пользователей фактически используют 2FA. Логин на основе пароля - проблема.

Будущее аутентификации — за ключами доступа, и iThemes Security Pro первой внедрила эту революционную технологию на сайты WordPress. Используя передовую технологию WebAuthn, основанную на общедоступной/частной криптографии, пароли делают пароли устаревшими. Теперь администраторы веб-сайтов и конечные пользователи могут безопасно входить в систему без неудобств, связанных с дополнительными двухфакторными приложениями, менеджерами паролей или сложными требованиями к паролям.

Узнайте больше о паролях