Основные индикаторы
Данные с задержкой 15 мин.
USD/RUB
–0,09
71,55
EUR/RUB
–0,20
77,88
РТС
+1,52%
1206,56
ММВБ
+1,08%
2738,69
Brent
+1,27%
35,08
Золото
–0,17%
1732,20
S&P500
+0,16%
2579,37
NASDAQ
–0,17%
6716,53
FTSE 100
–0,07%
7487,96
NIKKEI
+1,86%
22420,08
Срочно

О том, что пароли не смогут защитить пользователей в интернете

Майкл Чертофф
бывший министр внутренней безопасности США
Фото: EPA

Появившаяся в прошлом месяце новость о масштабном взломе Yahoo ошеломила даже самых опытных экспертов в сфере безопасности, поскольку взлом коснулся более 500 млн человек.

На фоне новостей об этом и других взломах, в том числе взломах сетей управления по кадрам правительства США, корпорации Anthem и Национального комитета Демократической партии США, несколько потерялся тот факт, что последствия каждого из этих взломов нельзя рассматривать отдельно. Каждый из них — скорее, этап в гораздо большем проекте.

Более внимательное изучение самых крупных взломов показывает общую тенденцию: в каждом из взломов, попавших на «первую полосу», был использован один и тот же вектор атаки — общий пароль. Причина проста: пароль на сегодняшний день является самым слабым звеном кибербезопасности.

На самом деле пароли сами по себе часто являются самым ценным трофеем для хакеров, учитывая то, как много людей использует одни и те же пароли для разных учетных записей. В прошлом месяце это лишний раз доказала статья в Ars Technica о том, как подрядчик Белого дома недавно сам поспособствовал взлому своей сети, поскольку использовал тот же пароль, который был украден при взломе Adobe в 2013 году, для своего аккаунта Gmail.

На этом фоне становится все более очевидным, что советы, которые мы даем людям по изменению паролей после каждого взлома, фактически никак не помогают в борьбе с хакерами.

Напротив, мы должны признать провал паролей как средства защиты и сделать государственным приоритетом изобретение более эффективных средств с использованием нового поколения технологий аутентификации для установления личности, таких средств, которые были бы надежнее паролей и проще в использовании.

Важно добиться того, чтобы любая альтернатива упрощала проверку личности. Компании и агентства не ожидают от своих сотрудников умения настраивать брандмауэры или активного управления шифрованием на своих ноутбуках. За последние несколько лет автоматизация контроля безопасности достигла нового уровня. Однако среди этих улучшений есть один элемент, который по-прежнему сваливается на клиентов и конечных пользователей — бремя создания и управления десятками различных паролей для доступа ко всем их учетным записям.

Многочисленные исследования показали, что большинству американцев это не доставляет особого удовольствия, кроме того, у них это не очень получается. Такие пароли, как «123456» и «Password1», широко используются на разных сайтах. Одно из исследований показало, что большинство американцев предпочли бы выполнение скучных домашних обязанностей мучению с придумыванием и запоминанием сложных паролей. И даже тогда, когда требуются так называемые «сильные» пароли, они по-прежнему оказываются уязвимы для фишинг-атак, кейлогеров и прочих средств взлома.

Хорошая новость заключается в том, что промышленность находится на пике волны инноваций. Десятки предпринимателей предлагают все более новые и надежные средства для строгой аутентификации. Эти инновации подстегиваются распространением мобильных устройств, оборудованных биометрическими датчиками и встроенным аппаратным обеспечением безопасности, которые помогают создать новые виды аутентификации – самые разнообразные, учитывая то, что модели мобильных устройств теперь являются более надежными и простыми для конечного пользователя, по сравнению с технологиями аутентификации первого поколения.

Однако новые технологии не могут решить проблему взлома сами по себе. Технологии должны поддерживаться стандартами, которые могут обеспечить функциональную совместимость решений и снизят стоимость их внедрения. А при использовании таких технологий, как биометрия, необходимо обеспечить защиту конфиденциальной информации и безопасность.

Правительство не может придумать решение, но оно играет важную роль в стимулировании его поисков и его принятии. Правительство может усилить свою роль в выдаче руководящих указаний, а иногда и в регулировании, ключевой инфраструктуры, сделав больший акцент на использовании строгой аутентификации. Оно также может обеспечить ее повсеместное применение внутри госорганов. Отчасти такая политика должна быть сосредоточена на усилении безопасности сайтов и приложений, напрямую предназначенных для использования простыми гражданами и содержащих их личные данные. Эти сайты и приложения должны поддерживать строгую аутентификацию. Мне также очень нравится новая кампания Белого дома «Блокируй свой логин», запущенная в этом месяце в партнерстве с Национальным альянсом компьютерной безопасности и направленная на предупреждение всех американцев о необходимости использования строгой аутентификации и предоставление им инструментов для более надежной защиты самых уязвимых учетных записей.

Пароли являются проблемой, но, сделав поиск альтернатив их использованию государственным приоритетом, правительство может помочь объединить усилия промышленности и госорганов в поиске решений, благодаря которым взломы сетей при помощи паролей останутся в прошлом.

(Цит. по CNBC)