Насколько безопасен беспарольный вход в интернете

Ранее возможность беспарольного входа в личные аккаунты, приложения и устройства уже внедрили крупные российские банки и международные компании, такие как Apple, Google и Microsoft. Рассказываем, насколько безопасна беспарольная идентификация на основе биометрии и могут ли утечки биометрических данных скомпрометировать аккаунты пользователей, использующих беспарольный вход.

Представленная VK новая функция называется OnePass и предназначена для беспарольной авторизации в социальной сети ВКонтакте, сервисах VK и партнеров компании.

"Половина пользователей VK ID использует беспарольные способы авторизации, которые обеспечивают оптимальное сочетание удобства и безопасности. Мы запускаем OnePass, чтобы расширить список доступных пользователям способов авторизации. В перспективе пользователи смогут входить по Face ID, Touch ID и другим подобным способам авторизации также на более чем 66 тысяч сервисов наших партнеров", - заявил директор департамента экосистемных сервисов VK Иван Смирнов.

OnePass работает на основе электронных ключей passkeys, которые используют стандарт WebAuthn.

WebAuthn - международный сетевой стандарт, который обеспечивает быструю и беспарольную аутентификацию пользователя. Он основан на технологии FIDO (Fast Identity Online). Изначально WebAuthn разрабатывался с прицелом на абсолютное исключение паролей из системы аутентификации. Однако на практике до определенного времени речь шла об его использовании только в качестве второго компонента двухэтапной (двухфакторной) аутентификации, то есть в дополнение к паролю.

Летом 2022 года, на конференции для разработчиков WWDC 2022, компания Apple объявила, что добавляет поддержку WebAuthn в iOS 16 и Mac OS Ventura. Этот анонс со стороны крупнейшей компании мира также свидетельствует о надежности этого стандарта.

Насколько вообще безопасна беспарольная авторизация на основе биометрии?

В целом эксперты единодушны в том, что это большой шаг вперед по сравнению с обычной авторизацией по паролю, особенно с учетом "человеческого фактора". Боязнь забыть пароль, и недооценка потенциальных угроз провоцирует интернет-пользователей и владельцев смартфонов упрощать пароли и устанавливать один пароль для различных интернет-сервисов и приложений.

Российский сервис разведки утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) проанализировал за период с 2017 по 2023 год 36,4 миллиардов утекших учетных записей и составил "хит-парад" самых популярных паролей.

Так выглядят 10 самых популярных паролей за все время наблюдений:

• 123456
• 123456789
• qwerty123
• 12345
• qwerty
• qwerty1
• password
• 12345678
• 111111
• 1q2w3e

Современные инструменты, которые используют хакеры, позволяют массово вскрывать такие пароли в автоматическом режиме.

Эксперты отмечают, что для того, чтобы обеспечить действительно высокую безопасность биометрической авторизации, нужно, чтобы сервис на основе биометрии отвечал определенным параметрам.

Это особенно важно в контексте возросшего количества утечек пользовательских данных. Так, согласно Kaspersky Digital Footprint Intelligence, на специализированных форумах за пять месяцев 2023 года было обнаружено 197 миллионов строк пользовательских данных. Стоит отметить, что из них 81 миллионов строк содержали номера телефонов, а 23 млн - пароли.

"Необходимо, чтобы любые биометрические данные хранились не как изображение, а в виде числового кода, который получается в результате анализа этих данных по определенным алгоритмам. Даже если в результате утечки эти коды попадут к злоумышленникам, они не смогут проводить с ними какие-либо операции", - отмечает главный эксперт "Лаборатории Касперского" Сергей Голованов. - В этом случае даже кража смартфона не позволит злоумышленникам воспользоваться данными биометрической авторизации для того, чтобы получить контроль над аккаунтами пользователя, так как на нем хранится только хэш пароля". Хэш - это математический алгоритм, преобразовывающий произвольный массив данных, в данном случае биометрическое изображение, в состоящую из букв и цифр строку фиксированной длины.

При этом эксперт "Лаборатории Касперского" отмечает, что в целом биометрия не гарантирует 100% безопасность и что подобные системы не защищены от ошибок практической реализации, поэтому пока они могут применяться только в качестве одного из факторов двухфакторной авторизации. "Если у злоумышленников будет доступ к нескольким факторам, то они потенциально могут воспользоваться похищенными пользовательскими данными", - говорит Голованов.

Практически все эксперты, отмечая более высокий уровень биометрической авторизации по сравнению с классической, отмечают, что развитие современных технологий позволяет взломать и ее. Создание дубликата отпечатка пальца снятого с экрана смартфона уже стало элементом шпионских фильмов, а нейросети нового поколения по набору фотографий из соцсетей позволяют создавать убедительные дипфейки для обхода Face ID.

Специалисты компании Avast Software, так же, как и эксперты "Лаборатории Касперского" отмечают, что максимально защищенной и безопасной биометрия становится именно как часть двухфакторной авторизации.