Неудобная безопасность
Длина пароля на вход в менеджер паролей у меня 30 символов. И я помню его наизусть. Сын как-то увидел, как я ввожу этот пароль и назвал меня безумным параноиком. И я, если честно, сам задолбался вводить его уже. Потому что там и буквы в разных регистрах, и цифры, и знаки препинания. И словарных слов нет.
Но я понимаю, что моё неудобство при вводе этого пароля — мелочь. Ведь подобрать такой длинный пароль пока довольно проблематично. То есть неудобство компенсируется безопасностью. Или это мне хочется так думать. Почему?
Да потому что банальный клавиатурный шпион на компьютере с лёгкостью запишет мой длинный безопасный пароль и отправит злоумышленникам. Конечно, для этого ему сначала нужно проникнуть на мой компьютер и каким-то образом запуститься. Но суть в другом. Мне неудобно, но я терплю, рассчитывая, что защищаю себя. Но в реальности существует ненулевая вероятность, что я себя обманываю.
Несомненно, клавиатурный шпион и перебор паролей — это разные угрозы. Но от перебора я защищён благодаря длине. А вот со шпионскими программами всё сложнее. Как-нибудь расскажу об этом отдельно.
Возникает вопрос, стоит ли терпеть неудобства, если это не приносит практической пользы? Или всё-таки приносит?
Но оставим в стороне пароли, всё-таки сейчас существуют более продвинутые способы обеспечения безопасности аккаунта. Например, 2FA — двухфакторная аутентификация. Вряд ли вас обошли стороной все эти коды, которые приходят в виде СМС или писем на почту. Или, для особо продвинутых — коды, которые генерирует программа-аутентификатор типа Яндекс Ключа или Google Authenticator.
Удобно? Ну, так. Если разрядился или сломался телефон, то не очень. Если вы потеряли доступ к своему номеру или на смартфон попал вредонос — у вас проблема. Потому что просто установить приложение-аутентификатор на новом устройстве без резервной копии со старого устройства и продолжать получать доступ к своим аккаунтам неполучится. А у вас её, скорее всего нет. И вы вообще не в курсе, что нужно её делать.
Да, у Google Authenticator и Яндекс Ключа есть возможность облачной синхронизации и можно заранее настроить резервное копирование. Но это же нужно делать. Вот вы сделали это? А вы вообще используете 2FA?
Повышает ли 2FA безопасность? Несомненно. Исследование Google показало, что даже базовая 2FA блокирует 100% автоматизированных атак, ~99% массового фишинга и ~90% таргетированных. То есть если у вас украдут пароль, 2FA защитит. Главное — не попадитесь на какую-нибудь штуку типа Evilginx. Слышали про такое?
Evilginx позволяет создать фишинговый сайт, максимально имитирующий популярный сервис, например, Microsoft 365 или Google. Жертва видит настоящие формы входа и изображения с легитимного сайта. Каждое действие пользователя сначала попадает на сервер злоумышленника, где перехватываются логины, пароли, cookie и токены авторизации. Это позволяет обойти защиту, основанную на 2FA, включая push-уведомления и одноразовые коды.
В итоге получается, что для входа нужно ввести не только пароль, но и код. То есть удобство ухудшилось. А что с безопасностью? Повысилась? В целом, да, но не так, чтобы прямо непробиваемо.
WebAuthn, FIDO2 и беспарольная аутентификация: будущее уже здесь?
На горизонте маячит более современное решение — целый комплекс технологий, призванных избавить нас от паролей раз и навсегда. Давайте разберёмся, что к чему.
WebAuthn — это веб-стандарт, который позволяет сайтам использовать биометрию или аппаратные ключи вместо паролей. По сути, это API, через который браузер может общаться с различными устройствами аутентификации. Когда вы входите на сайт через отпечаток пальца в Chrome или разблокировку лицом в Safari — работает именно WebAuthn.
FIDO2 — более широкий стандарт, который включает WebAuthn плюс протокол CTAP (Client to Authenticator Protocol). Если WebAuthn отвечает за связь браузера с аутентификатором, то CTAP — за связь между устройствами. Именно благодаря FIDO2 можно использовать один USB-ключ или смартфон для входа с разных устройств.
Отдельная история — беспарольная аутентификация (passwordless). Это концепция, при которой пароли полностью исключаются из процесса входа. Вместо «что-то знаю + что-то имею» остаётся только «что-то имею» или «что-то есть» (биометрия).
Как это работает на практике?
Представьте: заходите на Gmail, нажимаете «Войти», появляется уведомление на телефоне «Подтвердить вход», прикладываете палец к сканеру — готово. Никаких паролей, никаких кодов из СМС. Телефон генерирует криптографическую подпись, которую невозможно подделать или перехватить.
Или другой вариант: подключаете USB-ключ типа YubiKey, заходите на сайт, нажимаете кнопку на ключе — вошли. Ключ содержит уникальные криптографические ключи для каждого сервиса, которые создаются при первой регистрации и никогда не покидают устройство.
Удобство: революция или иллюзия?
Плюсы очевидны: не нужно запоминать пароли, вводить коды, искать SMS. Потенциально это самый удобный способ аутентификации из всех существующих.
Но есть нюансы. Беспарольная аутентификация работает только при наличии зарегистрированного устройства. Сели за чужой компьютер, а телефона рядом нет — проблема. Разбился смартфон — тоже проблема. USB-ключ потерялся — аналогично.
Современные платформы пытаются решить эту проблему через passkeys — синхронизируемые между устройствами криптографические ключи. Apple, Google и Microsoft создают экосистемы, где ваши «цифровые ключи» автоматически синхронизируются через iCloud, Google Account или Microsoft Account. Зарегистрировались на iPhone — можете войти с iPad или Mac. Но что делать пользователям Android, если нужно войти с Windows? Пока не очень понятно.
Поддержка: лоскутное одеяло
WebAuthn поддерживают все современные браузеры и многие крупные сервисы. Google, Microsoft, Apple, GitHub, Twitter — список растёт.
FIDO2 поддерживается реже, в основном в корпоративном сегменте. Многие банки и госуслуги пока предпочитают SMS-коды, потому что проще обучить пользователей вводить цифры, чем объяснять, что такое аппаратный токен.
Беспарольная аутентификация — пока экзотика. Даже Google и Microsoft, активно продвигающие эту технологию, не отказались полностью от паролей. Они предлагают passwordless как дополнительную опцию, а не замену.
Безопасность: действительно ли лучше?
Здесь всё неоднозначно. С одной стороны, WebAuthn и FIDO2 действительно устойчивы к большинству современных атак:
- нет паролей — нечего красть из баз данных;
- каждый сервис получает уникальный ключ — компрометация одного аккаунта не влияет на другие;
- фишинг практически невозможен — ключ проверяет домен сайта;
- replay-атаки не работают — каждый раз генерируется новая подпись.
- SIM-swapping может скомпрометировать телефон с passkeys;
- вредонос на устройстве может злоупотреблять биометрией;
- физическая кража устройства с последующим принуждением к разблокировке (терморектальный криптоанализатор, например);
- атаки на облачную синхронизацию ключей.
Плюс остаётся проблема восстановления. Что делать, если потеряли все доверенные устройства? Большинство сервисов предлагают fallback на старые методы — пароли, recovery-коды, SMS. То есть безопасность системы в итоге определяется самым слабым звеном.
Корпоративные vs потребительские решения
В корпоративном сегменте FIDO2 показывает хорошие результаты. У компаний есть IT-отделы, которые могут настроить инфраструктуру, обучить сотрудников, решать проблемы с потерянными ключами. Google сообщает о снижении support-запросов по паролям на 50% после внедрения аппаратных ключей.
Но для обычных пользователей картина менее радужная. Вы готовы покупать и настраивать несколько USB-ключей? Разбираться в различиях между FIDO2 и passkeys? Большинство людей пока не готовы.
Переходный период
Сейчас мы находимся в переходном периоде, когда новые технологии существуют параллельно со старыми. У одного пользователя может быть:
- несколько аккаунтов с беспарольной аутентификацией;
- десяток сервисов с обычной 2FA;
- ещё пара десятков с простыми паролями.
Это создаёт дополнительную сложность вместо упрощения. Нужно помнить, где какой метод аутентификации используется, иметь несколько запасных вариантов входа, следить за обновлениями в разных экосистемах.
Возможно, через 5-10 лет беспарольная аутентификация действительно станет стандартом. Но пока это скорее технология для энтузиастов и IT-специалистов, чем массовое решение.
Дилемма безопасности
Получается интересная ситуация: каждый новый уровень защиты добавляет неудобства, но не гарантирует абсолютной безопасности. Всегда найдётся какой-то способ обойти защиту — будь то социальная инженерия, техническая уязвимость или банальная невнимательность пользователя.
Возникает философский вопрос: где проходит граница разумного? Сколько неудобств стоит терпеть ради гипотетической безопасности? И главное — как оценить реальный уровень угрозы для конкретного человека?
Для обычного пользователя вероятность стать жертвой таргетированной атаки с использованием Evilginx крайне мала. Гораздо выше риск пострадать от банального взлома базы данных какого-нибудь сервиса, где пароли хранятся в открытом виде. Или от вредоноса, который украдёт сохранённые в браузере пароли.
Принцип разумной достаточности
Возможно, стоит руководствоваться принципом разумной достаточности. Не стремиться к максимальной защите любой ценой, а найти баланс между безопасностью и удобством, учитывая реальные, а не теоретические угрозы.
Для большинства людей базовой защиты вполне достаточно: уникальные пароли для важных сервисов (с помощью менеджера паролей), двухфакторная аутентификация для критически важных аккаунтов вроде почты и банка, регулярные обновления системы и здравый смысл при переходе по ссылкам.
А вот 30-символьные пароли и FIDO2-ключи могут быть оправданы только для людей с повышенными рисками — журналистов, активистов, сотрудников IT-компаний или просто параноиков вроде меня.
Практические советы
1. Приоритизируйте защиту. Не пытайтесь защитить всё одинаково хорошо. Сосредоточьтесь на самых важных аккаунтах — почте, банках, работе. Именно для них включите 2FA и используйте сложные уникальные пароли.
2. Делайте резервные копии. Если используете аутентификатор, обязательно настройте резервное копирование или запишите recovery-коды. Лучше потратить час на настройку, чем потом неделю восстанавливать доступ к аккаунтам.
3. Изучите возможности своих устройств. Современные смартфоны и ноутбуки поддерживают биометрическую аутентификацию, которая может заменить пароли во многих ситуациях. Windows Hello, Touch ID, разблокировка по лицу — всё это удобнее и безопаснее традиционных паролей.
4. Не игнорируйте человеческий фактор. Самая частая причина взломов — не техническая, а социальная. Учитесь распознавать фишинг, не переходите по подозрительным ссылкам, не сообщайте пароли и коды никому, даже якобы сотрудникам службы поддержки.
5. Следите за уведомлениями о подозрительной активности. Если получили уведомление о входе с нового устройства или из другого города — проверьте. Возможно, это ложная тревога, но лучше перебдить.
Безопасность — это не состояние, а процесс. Невозможно защититься от всех угроз сразу, но можно значительно снизить риски без кардинального ухудшения качества жизни. Главное — понимать, что именно вы защищаете и от кого.
А как вы решаете дилемму безопасности и удобства? Готовы ли терпеть неудобства ради защиты или предпочитаете более простые решения?