Ланч-тайм 236: краткий перевод свежих статей о digital
В номере: почему пароли не работают и что опять не так с Internet Explorer.
Содержание
#798. Прекратите использовать пароли
Очень немногие вещи в интернете сохранились в своём первоначальном виде — пароли как раз одна из этих вещей. Их никто не любит, мы привыкли терпеть их как «неизбежное зло» цифрового века, а необходимость запоминать, вводить, забывать или делиться ими с людьми — это цена, которую нужно платить за безопасность в интернете. Серьёзно?!
После почти 30 лет процветания цифровой культуры данные исследований и человеческий опыт доказывают, насколько плохо пароли работают как дизайнерское решение. С чисто человеческой точки зрения и удобства пароли — разочаровывающий, неэффективный и бесхитростный метод доступа и защиты. Может быть, пора избавиться от них?!
Эффективная и выгодная реклама с сервисом от МегаФона
Широкий выбор рекламных каналов, более 100 параметров по интересам, подробная аналитика и другие возможности уже ждут в Личном кабинете. А еще кешбэк 100% за запуск рекламы в первый месяц и еще 10% — каждый месяц.
1. У нас слишком много паролей
Сегодня среднестатистический адрес электронной почты привязан минимум к 130 учётным записям, не говоря уже о физических объектах, для которых мы должны помнить пароли (от кредитных карт до цифровых дверных замков). Эти цифры растут с ростом актуальности интернета и технологий в нашей жизни.
Мы быстро достигли точки, когда невозможно управлять всем этим объемом информации без внешней помощи. Как следствие — браузеры, которые запоминают ваши пароли для вас, кнопки «Запомнить меня» и «Я забыл свой пароль» и сервисы вроде менеджеров паролей. Само существование последних — одновременно и симптом, и решение проблемы. Но идея хранить все яйца пароли в одной корзине, защищённой … паролем, да ещё и платить за это деньги — абсурд. Напрашивается резонный вопрос: нам действительно нужно так много паролей?!
Как мы обычно выходим из положения? Заводим один единственный пароль для сотни учётных записей (хотя это и противоречит рекомендациям по безопасности) — согласно опросам 59% людей делают именно так. Но не везде вы сможете ввести свой простенький пароль и вот так легко зарегистрироваться: некоторые сервисы вводят ограничения на надёжность пароля, заставляя людей придумывать новые пароли. Это подводит нас к следующей проблеме.
2. Люди не могут придумать хорошие пароли
Еще в 2007 году крупномасштабное исследование Microsoft выявило, что у людей слабые пароли, и они их забывают. И основная причина — когнитивные способности, а не технологии.
Аналитики Национального центра кибер-безопасности Великобритании (NCSC) выяснили, что у взломанных счетов чаще всего бывали пароли вроде «123456» и «123456789». В пятерку банальностей также вошли «QWERTY», «password» и «1111111». Угадать такой может даже школьник, и хакеры могут вальяжно попивать чай, пока взламывают большинство учетных записей. Проверьте, нет ли вашего пароля среди взломанных комбинаций — вот большущий список.
Создание надёжных паролей — непростая задача, учитывая, что пользователю приходится их генерировать в самых разных ситуациях, например — когда нужно зарегистрироваться для оплаты. Это объясняет, почему люди предпочитают использовать свои привычные, знакомые пароли вместо того, чтобы придумывать надёжные. Менеджеры паролей помогают создавать совершенно случайные и бессмысленные пароли и запоминают их. Цена такого решения (и то, на что делают расчёт подобные сервисы) — это зависимость пользователя от инструмента и потеря контроля над паролями.
Другие исследования безопасности в интернете показывают, что только 7% пользователей используют менеджеры паролей. И какими бы ни были ограничения для надёжности создаваемых паролей, современные методы взлома сильнее. Поэтому уже просто нет смысла навязывать эту практику людям.
3. Люди плохо управляют паролями
Ввод пароля — антитеза безопасности, но согласно исследованиям, 49% американских пользователей записывают свои пароли, чтобы не хранить их в голове. Ещё 24% хранят свои пароли в цифровых заметках или документах на одном из своих устройств. Это не человеческая небрежность, а скорее, признак того, что пароли (как решение проблемы безопасности) сами стали проблемой для пользователей.
4. Пароли — пережиток прошлого в мире современных цифровых привычек
С точки зрения сегодняшних моделей использования настольных и мобильных устройств, кажется, что аутентификация, защищённая паролем, застряла в 90-х годах:
-
Раньше пароли были необходимы и обоснованны, поскольку большинство людей выходили в интернет из общественных мест и / или с общих компьютеров дома. Сегодня большинство пользователей используют персональные устройства.
-
Мобильные устройства превалируют над десктопными с 2016 года. И если пользователь разблокировал свою мобилку, то ему незачем вводить пароли для доступа к приложениям и функциям (если только внутри приложения нет обратного сценария). Смартфоны всё чаще выступают в качестве менеджеров паролей.
-
Исследования говорят, что средний пользователь регулярно использует на смартфоне не более 5 приложений. На компьютере люди обычно хранят часто используемые сайты в закладках. Аутентификация нужна в редких случаях — скажем, когда используется другое устройство или меняется браузер.
-
Большинство онлайн-сервисов используются нечасто, а учетные записи неактивны. Обычно вас просят ввести пароль для этих служб, но так как вы используете их редко, вы склонны его забывать.
Всё это означает, что мы всё реже вводим наши пароли, а потому у нас всё меньше причин их помнить.
Альтернативные решения
Избавиться от паролей полностью вряд ли получится из-за масштабов их использования и технический усилий. Но если бы нам предложили лучшее решение — кто знает.
1. Email-логин
Вход в систему по электронной почте — вероятно, самая простая и эффективная альтернатива паролям. Он заменяет пароли с помощью ограниченного по времени токена, отправляемого пользователю по электронной почте. Е-почта есть у каждого, и мы редко меняем или удаляем её. Она уже используется для подтверждения регистрации, восстановления забытых паролей и для дополнительных мер безопасности. Почему бы просто не сделать её методом входа по умолчанию?
Логин электронной почты универсален и не требует специальных технологий, но он особенно подходит для сервисов, которые используются нечасто (и которых большинство). На практике это делегирует безопасность почтовой службе пользователя.
Medium был одним из первых сайтов, на которых стала использоваться такая система. Amazon использует одноразовые коды входа, отправляемые пользователям, когда они испытывают трудности с доступом к своей учётной записи.
2. Единый вход (SSO)
Единый вход — это ещё один способ избавиться от множества паролей в разрозненной экосистеме. В сочетании с регистрацией по электронной почте это может решить проблему наличия нескольких учётных записей и паролей одновременно.
Система единого входа широко применяется в компаниях, но её применение может быть и не совсем профессиональным: правительство Франции внедрило технологию France Connect, которая позволяет французским жителям получать доступ практически ко всем государственным службам с помощью номера социального страхования и единственного пароля. Чуть-чуть бы ещё подумали, и заменили б пароль на электронку :–)
Вход в систему через другие сервисы — нормальная практика, но не подойдёт тем, кто беспокоится о безопасности (вспоминаем историю с Фейсбуком). Выбор подходящих сервисов для такой аутентификации также ограничен. Другая проблема этого метода в том, что пользователь становится зависимым от сторонней учётной записи: если он захочет удалить её, он может потерять доступ и данные, связанные с другими службами.
3. Биометрия: отпечаток пальца, распознавание лица, голос
В последние несколько лет биометрия всё популярнее на мобильных устройствах, но её применение в веб-интерфейсах и программном обеспечении отстаёт. Apple впервые выпустила Touch ID на iPhone 5s в 2013 году — с тех пор многие технические гиганты последовали их примеру.
Распознавание лиц популяризируется за счёт распространения камер в цифровых устройствах и культуре селфи. Apple смело заменила Touch ID на Face ID в iPhone X. В 2017 году Mastercard анонсировали «селфи платежи» в Европе — функцию, которая идентифицирует пользователя по лицу для авторизации платежей. Другие компании экспериментируют с голосом. В 2016 году несколько банков, таких как HSBC и Barclay, внедрили технологию распознавания голоса для идентификации своих клиентов.
Биометрия опирается на аппаратные возможности и хорошо подходит для систем с доступом через определённые устройства, но всегда должен быть план В, если у пользователя нет возможности использовать нужное оборудование.
Существенный недостаток такого способа — если вас поймали преступники или взяли под стражу правоохранительные органы, они смогут разблокировать ваш телефон, просто поднеся его к вашему лицу. И непонятно, можно ли как-то разграничить реальную попытку разблокировки и принудительную. Apple распознала этот недостаток и разрешила пользователям отключать Face ID и Touch ID.
4. Физические ключи
Для операций с высокой степенью риска, сред с высоким уровнем безопасности или ответственных пользователей (например, системных администраторов) можно использовать физические ключи безопасности — например, Google Titan или Yubiko’s YubiKeys. В основном, такие ключи используются для двухфакторной аутентификации в сочетании с паролями, но технически они могут заменить их.
В мире всё ещё есть места, где люди пользуются интернетом через публичные интернет-кафе, школы, университеты и библиотеки. Не у каждого есть личный ноутбук, и некоторые семьи могут использовать один компьютер. Большинство людей в мире не могут позволить себе дорогие смартфоны со сканерами отпечатков пальцев последнего поколения. Учитывая эти ситуации, кажется, что логин по электронной почте — лучшая альтернатива паролям для ежедневного некритического использования.
Вывод: пароли как были неизбежным злом, так им пока и остаются — хотя аутентификация с помощью электронной почты подаёт надежды.
Вы сэкономили 8 минут.
#799. В топку Internet Explorer, немедленно!
Stop using Internet Explorer immediately
Как-то неудобно об этом говорить, но тем не менее. На этой неделе Microsoft официально признал свой некогда любимый Internet Explorer живым трупом и предупредил пользователей о критической уязвимости браузера, которая открывает двери злоумышленникам и позволяет взламывать компьютер.
«Уязвимость в памяти настолько серьёзна, что хакер может выполнить произвольный код в контексте текущего пользователя, — частично говорится в предупреждении. — Если текущий пользователь вошёл в систему с правами администратора, злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить контроль над всей системой».
И это не первый случай, когда кто-то из Microsoft убеждает пользователей отказаться от их браузера. В феврале этого года исследователь в области безопасности Microsoft призвал людей прекратили использовать IE в качестве браузера по умолчанию. А уже в апреле было известно, что даже просто наличие Internet Explorer на вашем компьютере (без его использования) представляет угрозу безопасности.
Теперь же достаточно посетить специально созданный вредоносный сайт — и привет семье: злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные или создавать новые учётные записи с полными правами пользователя.
Вывод: если в вас пропал археолог, можете продолжать пользоваться доисторическим Internet Explorer. Но, как известно, археологи иногда умирают от неизвестных болезней при вскрытии гробниц, а от использования IE может умереть ваш компьютер.
Вы сэкономили 2 минуты.
Ценные указания получены: пароли заменить, Internet Explorer — на свалку истории, а выходные — провести весело :–)
Читать по теме: Ланч-тайм: краткий перевод свежих статей о Digital (все выпуски)