В ходе Всемирного экономического форума (ВЭФ) в Давосе в 2020 году одной из центральных тем стала кибербезопасность. Взлом паролей занимает центральное место во всей криминальной экосистеме онлайн-преступлений, отмечают управляющий директор и руководитель Центра кибербезопасности ВЭФ Алоис Цвингги и руководитель проекта Cyber Resilience в Центре кибербезопасности Адриен Ожи. Специалисты объясняют, почему пароли уходят в прошлое, и рассказывают, как компании предлагают защищать ваши данные.
Как защитить свои данные
- Биометрия
Согласно Международному глобальному исследованию мошенничества в банковском секторе KPMG, проведенному в 2019 году, 67% банков инвестировали в биометрию — отпечатки пальцев, голосовые данные и распознавание лиц. В 2019 году National Westminster Bank начал испытывать дебетовые карты со встроенным в них «сканером» отпечатков пальцев.
Впрочем, биометрическая информация также может быть украдена — хотя сделать это намного сложнее, чем подобрать пароль. К примеру, существует технология, которая позволяет «извлечь» отпечаток пальца человека из фотографии, сделанной на расстоянии 1,5 м.
- Многофакторная аутентификация
Метод идентификации с использованием нескольких факторов может включать не только PIN-коды, коды из СМС-сообщений, email, сканирование отпечатков пальцев, радужки глаз, но также проверку другой информации: местоположения пользователя, истории покупок. Даже если киберпреступник знает имя пользователя и пароль, многофакторная аутентификация станет серьезным препятствием для кражи данных.
Тем не менее есть риск того, что многофакторная аутентификация сделает процесс еще более непрозрачным. Если вы не знаете, что именно используется для вашей идентификации в Интернете, как вы можете защитить эту информацию?
- Ключ безопасности
Google сравнил методы защиты данных с помощью обычного пароля, ключа безопасности (security key), генератора одноразовых паролей и двухфакторной аутентификации по СМС-сообщениям. Эксперты корпорации обнаружили, что ключи безопасности обеспечивают самую сильную защиту данных. Они представляют из себя небольшие USB-, NFC- или Bluetooth-устройства, которые человек использует во время аутентификации.
- Аутентификация по QR-коду и биометрии
Как работает аутентификация такого типа? Чтобы залогиниться, пользователь сканирует QR-код онлайн с помощью устройства — так он «связывает» сеанс со своей личностью. Затем подлинность личности подтверждается сканированием черт лица или отпечатка пальца. Уникальный QR-код имеет короткий срок службы, поэтому пользователь может быть уверен, что его биометрические данные никуда не утекут.
- Поведенческий анализ
Распознавать людей можно не только по отпечаткам пальцев, сканированию черт лица и радужки глаз, но и по другим — поведенческим — характеристикам. Например, по движению губ при воспроизведении кодового слова, походке, жестам, осанке, динамике управления компьютерной мышью, скорости печати или силе нажатия на клавиатуру. Каждый из этих факторов по отдельности, конечно, не идентифицирует конкретного человека — нужно анализировать совокупность признаков. Для этого применяют искусственный интеллект и машинное обучение.
Ситуация в мире
В 2017 году у среднестатистического юзера было более 191 пользовательского имени и пароля. Невозможно управлять таким количеством паролей, поэтому люди в конечном счете используют один и тот же набор символов для аутентификации на разных ресурсах. Именно поэтому и предприятиям, и отдельным пользователям необходимо от них отказываться.
Впрочем, о том, что ситуация с паролями стала «кошмарной», еще в 2014 году говорил американский ученый Фернандо Корбато, который в 1960-х придумал первый компьютерный пароль. Изначально пароли не были предназначены для использования в интернете, но все их благополучно там применяли, не задумываясь о безопасности, пока не наступила эпоха киберпреступлений.
Кража личных данных находится на рекордно высоком уровне в Великобритании, пишет BBC. В 2018 году Британская служба предотвращения мошенничества CIFAS зарегистрировала 190 тыс. таких случаев. Наша все более «оцифрованная» жизнь помогает мошенникам получать доступ к личной информации. Цифровые платформы накапливают гигабайты информации, включая личные данные, которые пользователи вводят для получения доступа к услугам, поэтому затраты на кибератаки значительно снизились. Теперь учетные данные для входа в чей-то онлайн-банк можно купить в даркнете всего за $160.
В апреле 2019 года Facebook признал, что пароли миллионов пользователей Instagram хранятся в недостаточно защищенной базе данных. В июле 2019-го логины и пароли пользователей OZON утекли в Сеть, а в октябре того же года в интернет попали сведения о держателях кредитных карт Сбербанка. Неудивительно, что в Microsoft намерены отказаться паролей и начать использовать биометрические данные или специальный ключ безопасности. Gartner прогнозирует, что к 2022 году 60% крупного бизнеса и абсолютно весь средний бизнес вдвое сократят применение паролей в рабочих процессах.