Большинство взломов компьютерных сетей происходит из-за слабых или украденных паролей. Поэтому индустрия высоких технологий активно ищет способ избавить пользователей от них.
Фото: Kacper Pempel/Illustration, Reuters
Предупрежден не значит защищен
На этой неделе представлено сразу два сервиса, которые с помощью искусственного интеллекта (AI) дают пользователям возможность безопасно проверить на прочность и при необходимости усовершенствовать свои пароли.
Первый — это бесплатный «паролеметр» от Университета Чикаго и Университета Карнеги — Меллон (Питсбург). Пользователю предлагается сервис проверки пароля по списку наиболее распространенных, а потому небезопасных «секретных» слов, а также рекомендации по его изменению.
Схожую технологию анонсировала Лаборатория по технологическим исследованиям и борьбе с электронной преступностью Университета Флориды. «Наша новая технология оценивает пароль, пытаясь взломать его. После этого система дает несколько вариантов того, как предложенный пароль может быть усилен»,— заявил руководитель проекта Судхир Аггарвал.
По данным вышедшего в конце апреля отчета Data Breach Incident Report 2017 от американской телекоммуникационной компании Verizon, в подавляющем большинстве (81%) взломов и хищений данных были использованы уязвимости, связанные со слабыми или украденными паролями. Уязвимость обычных паролей не первый год волнует не только компании, но и ученых.
Убить пароль
Ведущие IT-компании уже давно ищут альтернативу обычным паролям. В текущем году Google начинает выводить на рынок новую беспарольную систему защиты и авторизации для приложений на Android. Система будет работать на базе проекта Abacus, о котором компания впервые сообщила на прошлогодней конференции I/O.
Идея проекта — заменить пароли или пин-коды, которые можно похитить или вскрыть, комбинацией уникальных характеристик каждого пользователя. Новая система беспарольной идентификации будет использовать комбинацию признаков — как биометрических (распознавание лица, мимики пользователя, тембра голоса), так и других (геопозиция, способ ввода данных, сила нажатия на экран и т. п.).
«У нас есть телефон, а у телефона есть сенсорный экран. Почему же он не может распознать, кто я такой, без всяких паролей и просто позволить мне работать?» — считает глава исследовательского подразделения Google Дэниел Кауфман.
Yahoo уже два года работает над системой, которая избавила бы пользователей ее почтового сервиса от необходимости набирать обычный пароль для авторизации. Одним из вариантов авторизации является подтверждение входа через sms на мобильный телефон при помощи разового пароля.
«Мы хотим полностью убить пароли,— заявил в интервью Bloomberg вице-президент по развитию продуктов Yahoo Дилан Кейси.— В будущем нам будет смешно, когда мы вспомним, как нужно было создавать 10-значный пароль со строчными и прописными буквами, цифрой и специальным значком, просто чтобы войти в свой почтовый ящик. Примерно так сейчас смеется молодежь над тем, что для прослушивания музыки надо было покупать пластинку, кассету или компакт-диск».
В свою очередь, Microsoft в середине апреля объявила о начале работы системы авторизации при помощи специального приложения на смартфоне, привязанного к учетным записям владельца. Для авторизации пользователю необходимо отсканировать свой отпечаток пальца на смартфоне или получить на него одноразовый пароль от системы.
Усы, лапы и хвост — вот мои документы
Впрочем, эксперты предупреждают, что технология авторизации при помощи дактилоскопии не дает 100-процентной защиты от мошенничества. Они рекомендуют комбинировать различные виды защиты.
Ученые из Нью-Йоркского университета и Университета штата Мичиган подготовили исследование, посвященное возможным уязвимостям систем, сканирующих папиллярные линии. По их оценке, смартфон легко можно «обмануть», использовав рисунок, созданный компьютером на основе анализа общих элементов пальцев всех людей.
Исследователи смогли создать набор искусственных универсальных отпечатков — MasterPrints. Подделать полный рисунок кончика пальца человека трудно, но сканеры на смартфонах не обладают большим размером и могут считать лишь часть отпечатка. Кроме того, телефон обычно запрашивает восемь-десять отпечатков для сравнения, причем пользователи нередко оставляют «снимки» нескольких пальцев. Таким образом, аппарат может быть разблокирован даже при очень частичном совпадении.
В марте журнал MIT Technology Review, издаваемый Массачусетским технологическим институтом, включил распознавание лиц для авторизации в ежегодный список десяти революционных технологий ближайших лет. Автоматическая идентификация по лицу активнее всего сейчас развивается в Китае и используется как в сфере безопасности, так и для обслуживания потребителей.
Одна из компаний, которая занимается этими технологиями,— пекинская Face++. Программы и приложения, разработанные Face++, сканируют лицо человека по 83 точкам одновременно. Это обеспечивает высокую точность распознавания. Технология уже используется для перевода денег через мобильное приложение Alipay, которым пользуются более 120 млн человек в Китае. При этом лицо пользователя является единственным подтверждением операции перевода средств.
Сервис такси Didi использует эту технологию, чтобы убедиться, что за рулем находится уполномоченный водитель. Местные власти в Китае используют технологию для поиска подозреваемых при просмотре видеоизображений с камер слежения.
Еще в прошлом году несколько крупных международных компаний, а также госучреждений в США объявили о начале использования селфи в качестве альтернативы паролю при проверке личности клиентов и граждан. О применении новой технологии в последние месяцы уже объявили британский банк HSBC Holdings, корпорация MasterCard, онлайн-сервис такси Uber, а также несколько госучреждений в США, в том числе налоговые управления штатов Алабама и Джорджия.