Пользователи не справляются с запоминанием достаточно надежных паролей - считают исследователи Google. Поэтому столь часты взломы и скандалы с утечкой информации. Чтобы решить проблему, поисковый гигант предлагает заменить пароль специальным устройством.
Группа исследователей, работающих на крупнейший мировой поисковик, опубликовала работу, предлагающую решение назревшей проблемы с ненадежностью паролей. Вице-президент Google по безопасности Эрик Гроссе и инженер компании Маянк Апхедхай предлагают решение в виде внешнего безопасного хранилища, которое при подключении к компьютеру идентифицирует пользователя. Это может быть особой USB-флешкой или беспроводным устройством, но в любом случае прослеживается аналогия с автомобильным ключом. Правда, не очень понятно, как пользователей будут защищать от утери и кражи этого ключа, а также, удастся ли Google перевести на новые рельсы все остальные веб-сайты мира.
Пароли перестали быть надежной защитой: пользователи забывают их, пишут на бумажках, сообщают третьим лицам. Один и тот же пароль используют на разных сайтах, повышая риски взлома. Пароли можно подобрать, «подслушать» при наборе на клавиатуре или даже выкрасть прямо с веб-сервиса, поэтому серьезная защита от проникновения посторонних уже не может быть основана на одних паролях. В корпоративных сетях уже давно используются дополнительные защитные устройства, которые выдаются каждому сотруднику и помогают ему идентифицировать себя при входе в систему. Проблема в том, чтобы сделать подобную систему целиком стандартизованной для применения в открытом Интернете, обеспечить простоту и дешевизну для массового использования, а потом – уговорить мировое интернет-сообщество использовать этот инструмент и провести огромную разъяснительную работу среди пользователей.
Среди прочих игроков рынка у Google очень удачная позиция, компания действительно может стать инициатором подобной перемены. Имея целый букет самых важных и посещаемых сайтов мира – от Gmail до Youtube, производя весьма популярный браузер Chrome, Google обладает всем необходимым, чтобы стать первым «островом безопасности» в Интернете. Именно эти ресурсы использовали сотрудники Google в своем исследовании. Они применили USB-токен для безопасного хранения ключей и модифицированную версию Google Chrome, которая «умеет» общаться с веб-сайтом, передавая зашифрованную информацию о пользователе. Протокол для общения изначально сделан Google независимым, его может применить любой сайт. Предусмотрено даже средство анонимизации, которое помешает веб-сайтам отслеживать онлайновые перемещения пользователей при помощи USB-ключей. Несмотря на продуманность идеи, остается множество сложных моментов, которые могут препятствовать скорому переходу на новые рельсы. Защита остается несовершенной, поскольку от кражи и порчи физического устройства никто не застрахован. Потребуется дополнительный пароль для вторичной проверки пользователя при каждом входе в систему, а также «аварийный» пароль на случай кражи электронного ключа. Возможно, хакеры просто переключатся на подбор «аварийных» паролей. Кроме того, сегодня пользование веб-сервисами практически бесплатно, а появление «входного билета» в виде пусть даже дешевого электронного устройства отпугнет часть аудитории. К тому же переход на электронные ключи не может быть одномоментным, и значительное число пользователей предпочтут остаться на привичных, пусть и ненадежных, паролях так долго, как это возможно, их придется буквально переводить принудительно. В-третьих, стандартизация новой системы идентификации скорей всего займет годы, как и налаживание широкого производства криптографических устройств. Правда, эту роль можно возложить на мобильный телефон, который и так есть почти у каждого пользователя, но рост аудитории мобильного интернета порождает здесь новую проблему. Если ключи и браузер с запрашивающим их веб-сайтом находятся на одном устройстве, вредоносная программа может соединить одно с другим без участия пользователя.
Поэтому не стоит расслабляться – иницатива Google, если и станет успешной, будет реализована через годы. А пока, во избежание взлома, можно воспользоваться другим элегантным решением: генерировать надежные пароли для каждого сайта по отдельности, но не пытаться их запомнить, а хранить их в специальном приложении для управления паролями. Подобных программ много, можно упомянуть многоплатформеный «облачный» сервис LastPass https://lastpass.com/, бесплатную открытую разработку KeePass http://keepass.info/, а также специализированный продукт Kaspersky Password manager.