Google убивает ваши пароли, и эксперты по безопасности (в основном) довольны

Дядя Влад

Подсказка к учетной записи Google с объяснением ключей доступа.

Google приближается к тому, чтобы сделать пароли устаревшими. Решение называется «Ключи доступа» — это уникальная форма пароля, которая хранится локально на вашем телефоне или компьютере точно так же, как работает физический ключ безопасности. Ключи доступа защищены уровнем аутентификации, которым может быть ваш отпечаток пальца или сканирование лица, а также просто графический ключ или PIN-код на экране.

Ключи доступа работают быстрее, связаны между платформами и избавляют вас от необходимости запоминать пароли для веб-сайтов или служб, на которые вы подписались. Здесь меньше возможностей для человеческих ошибок, а также снижаются риски перехвата кода двухфакторной аутентификации.

Разработанный в сотрудничестве с Microsoft и Apple, Google в настоящее время предпринимает следующие шаги по распространению ключей доступа, сделав их вариантом входа в систему по умолчанию . Вам не придется отказываться от обычных методов входа в систему, но если вы еще не включили ключи доступа , вам будет предложено это сделать в следующий раз, когда ваша учетная запись Google будет использоваться для запроса на вход.

Почему ключи доступа лучше паролей

Запрос на создание пароля для учетной записи Google.

Ключи доступа используют то, что вы бы назвали цифровым рукопожатием, которое включает в себя создание пары паролей с использованием криптографических методов. Один хранится в приложении или веб-сервисе, а другой остается у пользователя и защищен паролем на устройстве или биометрической аутентификацией. Двухфакторный код не требуется, и все, что вам нужно сделать, это нажать на приглашение на вашем устройстве, чтобы разрешить проверку личности.

Тревор Хиллигосс, который ранее работал экспертом по безопасности в ФБР, а в настоящее время занимается исследованиями безопасности в SpyCloud, рассказал Digital Trends, что ключи доступа «сильны по своей природе, и именно поэтому многие службы безопасности предпочитают этот способ защиты». Самым большим преимуществом здесь является то, что они не сбрасываются, как обычный буквенно-цифровой пароль, при утечке данных. Это проблема по нескольким причинам, поскольку тревожно большое количество цифровых граждан повторно используют один и тот же пароль или его предсказуемо измененную форму в разных сервисах.

Ключи доступа быстрее (по данным Google), безопаснее и удобнее. Но Хиллигосс предупреждает, что они не являются панацеей цифровой безопасности. «Киберпреступники быстро адаптируются к этой технологии, переключая свое внимание с кражи учетных данных на методы восстановления учетных записей, разрабатывая тактику кражи паролей и запуская атаки, такие как перехват сеанса».

Ключи доступа хороши, но они не идеальны

Эксперт по безопасности Тревор Хиллигосс.
Эксперт по безопасности Тревор Хиллигосс SpyCloud

Хиллигосс указывает на технику, называемую перехватом сеанса, также известную как перехват файлов cookie, при которой хакер пытается взять под контроль ваш сеанс онлайн-просмотра, чтобы украсть конфиденциальные данные. По сути, злоумышленники обманывают веб-сайт, заставляя его думать, что это законный пользователь. Когда человек посещает веб-сайт, создается идентификатор сеанса, который часто остается активным в течение нескольких дней.

Эти данные сеанса сохраняются в виде цифр и букв во временных файлах cookie сеанса и остаются в браузере до тех пор, пока пользователь не выйдет из системы. Хакеры могут украсть идентификаторы сеансов, внедряя сценарии в веб-страницы, перехватывая сетевой трафик, обманным путем устанавливая вредоносное ПО на устройство жертвы или просто используя прогнозирование шаблонов.

«После того как злоумышленник захватил веб-сеанс, он может делать все, что может первоначальный пользователь, включая покупку товаров, кражу конфиденциальной личной информации или доступ к банковским счетам», — добавляет Хиллигосс. В таких атаках не имеет значения, разрешен ли вход с использованием традиционного пароля или ключей доступа.

Что все это значит для тебя

Вход в учетную запись Google с помощью ключей доступа на iPhone.

Ключи доступа привязаны к Диспетчеру паролей Google, а Apple использует связку ключей iCloud, что означает, что ключи доступа также синхронизируются между устройствами. По умолчанию Google также автоматически создает ключ доступа для только что активированных устройств Android. Однако, поскольку мы оставляем после себя пароли, хакеры также используют более сложные методы.

Ключи доступа также не будут блокировать другие формы кибератак, такие как развертывание вредоносного ПО в различных формах, мошенник, выдающий себя за банковского служащего во время телефонного звонка (привет, ад генеративного искусственного интеллекта), атаки социальной инженерии и многое другое. Ключи доступа решают только одну сторону проблемы безопасности, но они не являются панацеей.

Цифровая грамотность по-прежнему будет иметь первостепенное значение в ближайшие годы, поскольку сторонние сервисы постепенно внедряют ключ доступа. Хиллигосс предлагает предпочесть двухфакторную аутентификацию на основе приложений, регулярно менять пароли, дважды проверять получаемые URL-адреса и ссылки и проявлять бдительность в отношении телефонных звонков с неизвестных номеров.

«Надлежащая кибергигиена и обеспечение прозрачности ваших онлайн-аккаунтов будут иметь большое значение для того, чтобы оставаться впереди киберпреступников», — заключает он.