От «12345» до Face ID: История цифровой беззаботности

Сегодня, во Всемирный день пароля, журнал IT Speaker и руководитель BI.ZONE EDR Петр Куценко решили проследить эволюцию защиты данных: от простых комбинаций до современных биометрических технологий.

2000-2010: Password и другие хиты эпохи

В начале 2000-х годов система аутентификации пользователей в интернете преимущественно основывалась на паролях. Комбинации букв и цифр стали основным методом защиты аккаунтов, но пользователи не всегда осознавали риски, связанные с выбором слабых кодов.

Некоторые из самых распространенных паролей того времени: 123456, qwerty, iloveyou. Они пользовались популярностью, потому что их было легко запомнить. Взломать тоже. И эти комбинации используются до сих пор, по словам Петра Куценко, все по той же причине – можно быстро вспомнить. Он отметил, что многие юзеры выбирают простые комбинации с распространенными сочетаниями символов, которые могут включать очевидные наборы цифр, даты рождения, имена.

«Однако такой подход – прямой путь к тому, чтобы стать жертвой киберпреступников. А если ненадежный пароль используется для доступа к корпоративным ресурсам, это создает прямую угрозу уже не только самому пользователю, но и компании. По нашим данным, 35% высококритичных киберинцидентов, произошедших в российских организациях в 2024 году, были связаны именно с небезопасной парольной политикой, при этом на 50 корпоративных паролей приходится один слабый», – заявил Куценко.

2010-2015: как 2FA изменила правила игры

В безопасности пользовательских аккаунтов этот период стал важным этапом, когда началось внедрение двухфакторной аутентификации (2FA) для защиты учетных записей.

Двухфакторная аутентификация основана на двух элементах:

1. Знание – информация, известная пользователю, например, пароль.

2. Владение – объект, принадлежащий пользователю, в частности телефон или токен.

То есть система требует ввод пароля и подтверждение личности с помощью другого метода, обычно СМС-кода. Помимо этого, появились устройства и приложения, генерирующие уникальные комбинации, например, аппаратные токены и Google Authenticator.

Данный подход значительно укрепил защиту аккаунтов, ведь, кроме пароля, злоумышленнику нужен физический доступ к мобильному телефону или токену. Пользу оценили многие российские сервисы, которые начали внедрять «двухфакторку».

• в 2015 году «Яндекс» запустил бета-версию двухфакторной аутентификации с приложением «Яндекс.Ключ»;

• с 2014 года «ВКонтакте» требует ввод кода, отправленного на телефон, при входе с нового устройства;

• в 2015 году «Сбербанк» начал отправлять коды для подтверждения операций;

• в 2014 году Mail.ru запустил двухфакторную аутентификацию с использованием СМС-кодов и приложений.

2015-2020: от 2FA к MFA – когда одного кода недостаточно

В течение пяти лет методы аутентификации стали последовательно усложняться и трансформироваться в многофакторную аутентификацию (MFA). В отличие от 2FA, которая использует два метода, MFA объединяет более двух способов, значительно усиливая безопасность доступа к аккаунтам.

Многофакторная аутентификация включает три метода:

1. Знание: стандартный пароль или PIN-код, при этом сервисы требуют сложные пароли.

2. Владение: устройства, такие как мобильные телефоны, генераторы токенов или USB-ключи. Используются одноразовые коды, отправляемые по СМС, или приложения для их генерации.

3. Идентичность: биометрические методы, например, отпечатки пальцев или распознавание лиц.

MFA использует несколько подходов для усиления защиты, например, требования пароля, кодов и биометрии в банках, что почти исключает несанкционированный доступ. С ростом кибератак MFA стала популярной благодаря приложениям для аутентификации:

1. Google Authenticator – генерирует одноразовые коды, обновляемые каждые 30 секунд. Он был запущен в 2010 году, но особенную популярность получил с 2015 по 2020 год.

2. Microsoft Authenticator – поддерживает генерацию кодов и биометрическую проверку, популярен среди пользователей Windows и Office 365.

3. Менеджеры паролей, которые внедрили MFA для защиты доступа.

Руководитель BI.ZONE EDR отмечает, что традиционные методы аутентификации, такие как пароли и PIN-коды, имеют значительные недостатки из-за роста кибератак и усложнения методов злоумышленников. Простой защиты уже недостаточно для защиты учетных записей и чувствительных данных.

«Во-первых, большинство пользователей продолжают использовать простые словарные пароли, чтобы их легче было запомнить. Например, это могут быть номера машин, дни рождения, клички домашних животных и прочая информация, которую пользователи зачастую еще и размещают в открытом доступе – например, в социальных сетях. Такие пароли злоумышленники легко подбирают с помощью брутфорса, или простого перебора. Чем короче и проще пароль, тем меньше времени займет взлом», – говорит Куценко.

Кроме того, добавляет Куценко, один и тот же пароль пользователи нередко используют для разных учетных записей на различных ресурсах, как личных (социальные сети и другие), так и рабочих. Это очень опасно, потому что, подобрав пароль к одной учетной записи, злоумышленник обязательно попробует с его помощью получить доступ к остальным.

«Более современные методы аутентификации, например, использование второго фактора (multi-factor authentication, MFA), существенно затрудняют киберпреступникам доступ к ресурсам», – заключил эксперт.

2020 – настоящее время: лицо вместо пароля

С 2020 года биометрические методы аутентификации стали основой систем безопасности и активно развиваются, их внедряют в устройства и сервисы для удобной проверки личности.

Основные технологии:

• отпечатки: устройства сканируют уникальный рисунок пальца и сравнивают с базой данных (используются в смартфонах, ноутбуках, банках);

• распознавание лиц: системы анализируют черты лица и могут распознавать их в движении и при плохом освещении, как в iPhone с Face ID и системах безопасности аэропортов;

• распознавание радужной оболочки: анализирует узоры глаза, которые неизменны на протяжении жизни, применяется в государственных и военных учреждениях.

Смартфоны Apple внедряют Face ID и Touch ID для безопасной разблокировки и покупок. Ноутбуки Dell и HP также используют биометрические системы аутентификации для быстрого входа и управления доступом. В банковском секторе крупные организации применяют биометрию в мобильных приложениях, что повышает безопасность и упрощает доступ к финансовым услугам.

Кроме того, технологии распознавания лиц внедряются в системы видеонаблюдения для мониторинга поведения в общественных местах, таких как метро и аэропорты, что способствует повышению безопасности.

В корпоративной среде компании используют биометрию для управления доступом в офисах, позволяя сотрудникам проходить через турникеты с помощью отпечатков пальцев или радужной оболочки, что исключает необходимость в пропусках и снижает риск потери идентификационных средств.

Будущее защиты данных и аутентификации

Будущее защиты данных и аутентификации становится критически важным в условиях роста технологий и киберугроз. Необходимо исследовать новые технологии, прогнозировать будущее аутентификации и повышать осведомленность пользователей.

Блокчейн обеспечивает целостность данных и управление ими. Искусственный интеллект и машинное обучение помогают анализировать данные, выявлять аномалии и прогнозировать атаки в реальном времени. Квантовая криптография предлагает высокий уровень защиты с использованием квантовых битов, которые нельзя копировать без изменения состояния. Учитывая рост количества умных устройств и IoT, разработка безопасных решений для аутентификации становится важной. Новые стандарты, такие как Secure Element и Trusted Execution Environment, помогут повысить уровень защиты