В связи с растущей численностью пользователей интернетом – 28 миллионов только в России (источник: Internet World Stats) – компьютерная безопасность и аутентификация пользователя никогда не были настолько важны. Непригодная безопасность стоит дорого и в той же степени она не эффективна. Согласно исследованиям Password research, две трети пользователей должны были менять свой пароль 3 и более раза за последние 2 года. В то время как каждая смена пароля оценивается в £35 (источник: Mandylion research labs). Не трудно заметить как дорого это может стоить.
Пароли
Пароли наиболее широко используемый способ аутентификации. С каждым днем мы должны запоминать все больше имен и паролей. Ни для кого не является секретом то, что бо?льшая часть из нас использует один и тот же пароль для всего. Хуже этого то, что 21% пользователей готовы обменять свой пароль на плитку шоколада (источник: Infosecurity Europe).
Пароли уже давно считаются недостаточной мерой в сфере безопасности. Билл Гейтс даже обозначил 2 года назад конец эры паролей (источник: CNET news). И хотя в действительности этот день еще где-то далеко впереди, давайте посмотрим, что мы может сделать уже сейчас.
Что же можно сделать?
Как владелец сайта, вы можете сделать жизнь посетителей на нем легче и безопаснее, придерживаясь следующих правил:
- Используйте адреса электронной почты в качестве имён пользователей
Не заставляйте пользователей создавать отдельные имена, т.к. это увеличивает количество данных, которые нужно запомнить. - Используйте специальные фразы вместо паролей
Фразы похожи на пароли, а разница заключается в длине и в том, что фразы являются словосочетаниями вместо отдельных слов. Обычно их длина составляет 20-40 символов. Примером такой фразы может быть «PASSphrase1234567890». Фразы предполагают контекст и их легче запомнить. К тому же фразы труднее взломать.
Помогайте пользователям запоминать их пароли
Что бы помочь пользователям подобрать пароли, которые легче запомнить, попробуйте предложить некоторые из следующих методов:
- Используйте фразы вместо паролей-слов, если это возможно.
- Если нет, возьмите фразу и используйте первую букву каждого слова чтобы получить пароль. Такой пароль легко запомнить и трудно узнать. Например из фразы «my favourite sweet in the world has to be chocolate» получиться «mfsitwhtbc».
- Затем замените некоторые символы заглавными буквами, добавъте числа и символы, чтобы сделать пароль надёжнее. Например используйте «1» или «!» вместо «i», «4» или «@» вместо «a» и т.д. Предыдущий пароль «mfsitwhtbc» после изменений станет таким «Mfs!twht6c».
Ваши пользователи используют один пароль для всего и хотят дальше двигаться в этом же направлении? Они могут сделать свою жизнь лучше. Для этого просто порекомендуйте им добавлять дополнительные слова или числа в конец пароля, чтобы сделать его более длинным и надёжным. Дополнение может быть связано с приложением или сайтом на котором находится пользователь. Такое дополнение легко запомнить и к тому же оно будет уникальным.
Допустим у нас есть пароль «password». Microsoft’s Password Checker сообщает нам то, что такой пароль не надёжен:
Для сайта цветов например можно использовать пароль «passwordflowers» и преобразовать его в «p@ssw0rdfl0wers», а для почты «passwordemail» в «p@ssw0rdem@1l». Оба преобразования надёжнее чем исходные варианты. Об этом также говорит Microsoft’s Password Checker:
Расскажите пользователям, что можно проверить надежность пароля на следующих сайтах: Security Stats, Password Meter и Microsoft’s Password Checker.
Заглянем в будущее
Система Passfaces
Чем же заменить пароли когда их не станет. Альтернативой является система называемая «Passfaces», которая основывается на нашей врожденной способности быстро и четко различать лица. Пользователь должен выбрать заранее определенные лица из небольшого набора.
Эта технология уже применяется на некоторых сайтах.
Генераторы случайных чисел
Многие банки и большие корпорации использую генераторы случайных чисел в качестве дополнения к паролям для повышения безопасности:
RSA является ведущим поставщиком устройств для многофакторной аутентификации.
Биометрические данные
Другой альтернативой являются биометрические данные, где для аутентификации используются отпечатки пальцев, сетчатка глаза или голос. Примерами внедрения могут служить ноутбуки со встроенными сканнерами отпечатков пальцев и новые типы паспортов со встроенными чипами.
Вывод
Традиционно безопасность ставилась выше чем удобство. Вопреки распространенному мнению, безопасность и удобство пользования могут и должны идти рука об руку. Будем надеяться, что чем бы пароли не были заменены, альтернатива будет разработана с учетом удобства.
Loading ...
Хорошая статья, но как бы там ни было, вззломы были, есть и будут, и от этого никуда не деться.
[...] Как эффективно работать дома? FeedBurner: проверьте свои фиды, чтобы не терять «вес». Юзабилити и безопасность. [...]
по идее более ценной является генерация «простых» случайных чисел, которые являются основой криптоалгоритмов
А ещё можно использовать OpenID
Просто на каждое правило найдётся своё исключение. Вывод – нужно делать аксиомы!
лица-пароли..интересно конечно придумали)но как придумали лица-пароли,так и придумают взлом лиц-паролей,я не сомневаюсь)
[...] «Юзабилити и безопасность» — так называется статья Alex-а, в которой он рассуждает о том, чем же можно заменить такие сложные пароли. [...]
[...] Юзабилити и безопасность В связи с растущей численностью пользователей интернетом – 28 миллионов только в России (источник: Internet World Stats) – компьютерная безопасность и аутентификация пользователя никогда не были настолько важны. Непригодная безопасность стоит дорого и в той же степени она не эффективна. Согласно исследованиям Password research, две трети пользователей должны были менять свой пароль 3 и более раза за последние 2 года. В то время как каждая смена пароля оценивается в ?35 (источник: Mandylion research labs). Не трудно заметить как дорого это может стоить… [...]