Аутентификация без пароля

Материал из wikixw
Перейти к навигации Перейти к поиску

Аутентификация без пароля-это метод аутентификации, при котором пользователь может войти в компьютерную систему без ввода (и запоминания) пароля или любого другого секрета, основанного на знаниях.

Аутентификация без пароля опирается на пару криптографических ключей – закрытый и открытый. Открытый ключ предоставляется при регистрации в службе аутентификации (удаленном сервере, приложении или веб-сайте), в то время как закрытый ключ хранится на устройстве пользователя и может быть доступен только при введении биометрической подписи, аппаратного токена или другого фактора без пароля. В большинстве распространенных реализаций пользователям предлагается ввести свой публичный идентификатор (имя пользователя, номер мобильного телефона, адрес электронной почты или любое другое зарегистрированное удостоверение личности), а затем завершите процесс аутентификации, предоставив надежное подтверждение личности в виде принятого фактора аутентификации. Эти факторы классически делятся на две категории:

  • Факторы владения (“Что-то , что есть у пользователя”), такие как сотовый телефон, OTP-токен, смарт-карта или аппаратный токен.
  • Факторы инерции (“То , чем является пользователь”), такие как отпечаткипальцев, сканирование сетчаткиглаза, распознавание лица или голоса и другие биометрические идентификаторы.

Некоторые проекты могут также принимать комбинацию других факторов , таких как географическое положение, сетевой адрес, поведенческие модели и жесты, до тех пор, пока не будут задействованы запомненные пароли.

Без пароля аутентификации иногда путают с многофакторная аутентификация (МФА), поскольку оба используют большое разнообразие факторов аутентификации, но при МИД используется как дополнительный уровень безопасности поверх аутентификация на основе паролей, аутентификация без пароля не требует запомнил секрет и обычно используется только одна хорошо защищенной фактора аутентификации, что делает его быстрее и проще для пользователей.

"Passwordless MFA" - это термин, используемый, когда используются оба подхода и поток аутентификации одновременно является passwordless и использует множество факторов, обеспечивая самый высокий уровень безопасности при правильной реализации.

История[править]

Понятие о том, что пароли должны устаревают уже кружат в области компьютерных наук, так, по крайней мере, 2004. Билл Гейтс, выступая в 2004 году на конференции RSA предсказал кончину пароли говоря: "они просто не справиться с задачей за что вы действительно хотите в безопасности". в 2011 году компания IBM предсказал, что в течение пяти лет", - вы никогда не нужен пароль еще раз". Мэт Хонан, журналист проводной, кто стал жертвой взлома инцидент, в 2012 году писал "век пароль придет конец." Хезер Адкинс, директор по информационной безопасности в компании Google в 2013 году заявил, что "пароли сделали в Google". Эрик Гросс, вице-президент по безопасности, инжинирингу Google, говорится, что "пароли и просто на предъявителя маркеры, такие, как печенье, не достаточно, чтобы держать пользователей в безопасности". Кристофер Мимс, который писал в "Уолл Стрит Джорнал" заявил пароль ", наконец, умирает" и предсказал их замены устройства-проверка подлинности на основе. Авива Литан из Gartner сказала в 2014 году: "Пароли были мертвы несколько лет назад. Теперь они более чем мертвы". Приведенные причины часто включают ссылки на удобство использования, а также проблемы безопасности паролей.

Bonneau et al. систематически сравнивали веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, возможности развертывания и безопасности. (Технический отчет представляет собой расширенную версию рецензируемой статьи с тем же названием.) Их анализ показывает, что большинство схем делают лучше, чем пароли по безопасности, некоторые схемы делают лучше, а некоторые хуже с точки зрения удобства использования, в то время как каждый схема работает хуже паролей по развертываемости. Авторы заключают следующим замечанием: “Предельных выгод часто недостаточно для достижения энергии активации, необходимой для преодоления значительных затрат на переход, что может служить лучшим объяснением того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим похоронную процессию паролей, прибывающих на кладбище.”

Последние технологические достижения (например, распространение биометрических устройств и смартфонов) и изменение деловой культуры (например, принятие биометрии и децентрализованной рабочей силы) постоянно способствуют внедрению аутентификации без пароля. Ведущие технологические компании (Microsoft,[11] Google[12]) и отраслевые инициативы разрабатывают лучшие архитектуры и практики для более широкого использования, при этом многие используют осторожный подход, сохраняя пароли за кулисами в некоторых случаях использования. Разработка открытых стандартов, таких как FIDO2 и WebAuthn в дальнейшем они породили внедрение технологий без паролей, таких как Windows Hello. 24 июня 2020 года Apple Safari объявила, что Face ID или Touch ID будут доступны в качестве средства аутентификации платформы WebAuthn для входа без пароля.

Преимущества и недостатки[править]

Сторонники указывают на несколько уникальных преимуществ по сравнению с другими методами аутентификации:

  • Большая безопасность – пароли, как известно, являются слабым местом в компьютерных системах (из-за повторного использования, совместного использования, взлома, распыления и т. Д.) и считаются главным вектором атаки, ответственным за огромный процент нарушений безопасности.
  • Лучший пользовательский опыт – пользователи не только не обязаны запоминать сложные пароли и соблюдать различные политики безопасности, но и периодически обновлять пароли.
  • Снижение ИТ – затрат-поскольку хранение и управление паролями не требуется, ИТ-команды больше не обременены установлением политики паролей, обнаружением утечек, сбросом забытых паролей и соблюдением правил хранения паролей.
  • Поскольку учетные данные привязаны к определенному устройству или неотъемлемому атрибуту пользователя, они не могут использоваться массово, и управление доступом становится более жестким.
  • Масштабируемость – управление несколькими логинами без дополнительной усталости от пароля или сложной регистрации.

В то время как другие указывают на эксплуатационные и стоимостные недостатки:

  • Затраты на внедрение – Хотя принято считать, что бескаспортная аутентификация приводит к экономии в долгосрочной перспективе, затраты на развертывание в настоящее время являются сдерживающим фактором для многих потенциальных пользователей. Стоимость связана с необходимостью развертывания механизма аутентификации в существующем пользовательском каталоге, а иногда и дополнительного оборудования, развернутого для пользователей (например, OTPS или ключи безопасности).
  • В то время как большинство систем управления паролями построены аналогичным образом и используются в течение многих лет, аутентификация без пароля требует адаптации как от ИТ – команд, так и от конечных пользователей.
  • Единая точка отказа – особенно реализации, использующие OTP или push-уведомления для приложений сотовых устройств, могут создать проблему для конечного пользователя, если устройство сломано, потеряно, украдено или просто обновлено.

См. Также[править]

Пруф[править]

Источник — https://wikixw.ru/index.php?title=Аутентификация_без_пароля&oldid=28492