Пользователи сбросили пароли
Насколько безопасна авторизация с помощью QR-кодов
Россияне отказываются от паролей и выбирают альтернативные способы авторизации. Как пишет Forbes, в компании VK популярность беспарольных методов выросла за год на 30%, в «Яндексе» — в полтора раза. Речь идет об авторизации с помощью QR-кодов, а также одноразовых кодов из СМС или специальных приложений.
Фото: Влад Некрасов, Коммерсантъ
Фото: Влад Некрасов, Коммерсантъ
Несмотря на очевидные преимущества, у таких способов есть несколько серьезных минусов, говорит начальник отдела информационной безопасности компании SearchInform Алексей Дрозд: «С точки зрения пользователя, самый главный плюс — это удобство. Традиционно считается плюсом и более качественная защита от фишинга, от угона паролей, потому что как таковых паролей уже как бы и нет. Главный фактор здесь — обладание устройством. Для компаний тоже положительный момент: вы лучше знаете своего пользователя. Ботов получится меньше. Что такое зарегистрироваться, используя какую-нибудь почту и пароль, или биометрию?
Какие минусы у такого способа? А что будет, если пользователь потеряет такой классный и универсальный ключик в виде своего смартфона, или этим смартфоном завладеет кто-то другой? Второй минус находит меньше откликов в сердцах — вход все сервисы по сути одним и тем же ключом. Что будет, если устройство-то я не потеряю, но, например, сервис вдруг решит забанить мою учетную запись? Потому что если мы почитаем пользовательское соглашение, эти "учетки" нам все-таки не принадлежат. А тут, получается, на них много завязано. И с точки зрения анонимности мы получаем ситуацию, когда, по идее, сервис знает, что вот этот конкретный реальный человек, он и там и сям, и, скорее всего, можно еще сопоставить с его действиями».
По данным исследования VK и Geek Brains, треть россиян использует для всех своих аккаунтов один пароль, который, как правило, состоит из памятных дат и имен. Полностью отказываться от паролей едва ли получится, говорит основатель компании «Интернет-Розыск» Игорь Бедеров. Причем, по его словам, наиболее популярные альтернативные способы авторизации сложно назвать безопасными: «Без пароля мы все равно никуда не денемся. Он остается в качестве основы безопасности. А вот как дополнительные меры могут выступать: двухфакторная аутентификация, в худшем варианте через отправку кода подтверждения на почту или на телефон, в лучшем — на приложение-аутентификатор. Но здесь нужно дать ремарку: мошенники сейчас активно используют OTP-боты для того, чтобы захватывать такого рода пароли. Это дополнительные облачные пароли, которые используются для недопущения получения именно содержимого вашего аккаунта при его попытке взлома.
Наконец то, что, наверное, было бы на сегодня самое безопасное — использование токенов, то есть флешка с вашими индивидуальными данными для авторизации. Одноразовые коды, которые генерируются в приложениях, перехватываются на ресурсе, который имитирует оригинальные, например, "Госуслуги" или какой-то интернет-магазин. На сайте злоумышленника вы нажимаете авторизацию, и робот уже лично от вас заходит на оригинальный сайт. Оригинальный сайт шлет вам этот OTP, вы вводите уже на сервисе злоумышленника, на котором вы находитесь, а робот с сайта мошенника вводит его в оригинальным сервисе, перехватывая доступ к вашему аккаунту».
В конце 2024 года компания NordPass выпустила традиционный список самых популярных паролей в мире. Первые три строчки заняли цифровые последовательности вроде 1,2,3,4,5,6. На четвертом месте английское слово «password», на пятом — «qwerty 123».
С нами все ясно — Telegram-канал "Ъ FM".