Цена вопроса
Руководитель лаборатории стратегического развития продуктов «Газинформсервиса» Дмитрий Овчинников о решениях по единому входу в сервисы
Рядовой пользователь выбирает для доступа ко многим ресурсам одну и ту же пару из логина и пароля. Это связано и с ростом количества интернет-сервисов, и с популярностью интернета в целом — он уже не состоит, как раньше, исключительно из продвинутых пользователей, соблюдающих принципы цифровой гигиены. В итоге это приводит к тому, что при утечке клиентских данных, используемых для входа в один из сервисов, становится легко взломать его учетные записи и в других.
Дмитрий Овчинников
Фото: пресс служба «Газинформсервис»
Поставщики решений по единому входу в сервисы — это, как правило, крупные компании, риск утечки данных из которых значительно меньше, чем у обычных онлайн-магазинов. Использование SSO малым бизнесом снижает нагрузку, связанную с обеспечением информационной безопасности. При этом оно не исключает использование других схем, которые также могут привести к тому, что данные пользователя будут скомпрометированы.
Небольшие онлайн-магазины не имеют ни больших бюджетов на обеспечение кибербезопасности, ни штата программистов, хорошо разбирающихся в этом вопросе. При этом они хранят у себя на сервере значительный объем защищаемых законом персональных данных. В таких условиях внедрение SSO, разработанного доверенной компанией,— это надежная и популярная схема среди относительно небольших интернет-магазинов. Токен сложнее взломать при перехвате, чем пару из логина и пароля: у него есть ограниченное время жизни, и сервис SSO каждый раз передает новый. А взломать алгоритм генерирования токенов практически невозможно.
Люди склонны отдавать приоритет «невидимым» процессам: чем меньше действий им приходится совершать, тем лучше. По этой же причине они готовы жертвовать информационной безопасностью, если находят методы, которыми она обеспечивается, неудобными.
При использовании SSO усиление безопасности происходит одновременно с повышением удобства: у пользователя остается лишь одна точка входа, где ему надо использовать сложный пароль. И даже если человек и без этого соблюдает базовые правила кибербезопасности, системы единого входа облегчают подтверждение его личности в разного рода государственных информационных системах.
Но SSO не исключает риска при атаках «человек посередине» (MitM), то есть когда злоумышленник встраивается в канал связи между человеком и интернет-сервисом. С началом повсеместного использования защищенного протокола HTTPS и сертификатов безопасности такие атаки стало проводить сложнее, но они не исчезли совсем: так злоумышленники все еще могут организовывать подставные беспроводные сети для перехвата пользовательских данных. Программы-шпионы и кейлоггеры (программы или устройства, записывающие весь ввод с клавиатуры) полностью подрывают безопасное использование устройства — тут уже никакие SSO не могут помочь.
И как бы быстро ни развивались средства защиты, методы социальной инженерии все еще позволяют получать неправомерный доступ к данным. Например, злоумышленники, общающиеся напрямую с жертвой, часто используют легенду о необходимости «подтвердить данные», чтобы получить доступ к сервису госуслуг. И им удается даже обойти необходимость двухфакторной аутентификации — метода, который, как и SSO в общем, призван защитить от последствий хищения логина и пароля.
Кнопка правильного гражданства
Как развиваются российские системы авторизации пользователей интернет-сервисов