От колец с NFC до электронных татуировок — чего только не пытаются изобрести, чтобы избавить мир от всем опостылевшей необходимости то и дело вводить пароли.

О недостатках паролей сказано уже очень многое: они одновременно и неудобны, и не особенно надежны. Даже если придумать один сложный пароль и запомнить его, это не спасет от случаев вроде недавней грандиозной утечки Adobe. На то, чтобы использовать везде сложные и уникальные пароли, способны немногие, да и удовольствие это сомнительное.

Для важных применений вроде денежных переводов существуют разнообразные способы двухфакторной авторизации. Для консюмерских продуктов этот подход сейчас стал своеобразной панацеей. Но это еще больше усложняет процесс. Надежность надежностью, но возиться с кодами, приходящими по SMS, или запасаться электронными токенами SecurID никому (кроме отдельных фанатиков) не хочется.

В качестве промежуточного решения, учитывающего распространенность паролей и компенсирующего некоторые их недостатки, выступают программы вроде 1Password. Они дают возможность генерировать длинные и стойкие к подбору пароли и заодно отвечают за их хранение. Большой популярностью пользуются и браузерные запоминалки паролей. Главный их недостаток —если ты отрезан от своей программы, то оказываешься беспомощным. Зато злоумышленник, получивший доступ к базе и раздобывший пароль от нее, срывает большой куш. В декабрьском номере мы провели простейший тест из трех этапов. Полностью выстоял только опенсорсный KeePass. Roboform и 1Password выдержали большую часть «атак», а, скажем, продукт от «Лаборатории Касперского» и Sticky Password с треском завалил наши испытания.

Определенные удобства есть у авторизации через онлайновые сервисы — в первую очередь серверы OpenID, Facebook, Google и Twitter. Но это хорошо лишь для самых казуальных случаев — например, регистрации в системе комментариев на каком-нибудь сайте. Связывать кошелек с аккаунтом Facebook было бы безумием.

Отсюда — множество разработок, ставящих целью одновременно избавить пользователей от лишней мороки, защитить от глупостей вроде наклеивания на монитор бумажек с паролями и сделать авторизацию более надежной. В конечном итоге все сводится к двум направлениям: удобным универсальным токенам, которые можно носить с собой, и биометрии. А вот тонкости реализации могут различаться очень сильно.

Кольцо Google

В январе 2013 года технические издания облетела новость: Google начинает войну с паролями. Впрочем, война — слово слишком громкое, и на самом деле в Google всего лишь экспериментируют с новаторскими способами аутентификации. Но и это уже звучит интересно!

Основная идея экспериментов — привязать авторизацию к устройству. Этим устройством может быть телефон, компьютер или отдельный аксессуар. В качестве примера в Google приводят Yubico: этот стартап занимается выпуском крохотных карточек, которые вставляются в USB и предоставляют программам возможность убедиться, что перед ними нужный пользователь.

Стоит человеку прикоснуться к сенсору на внешней стороне карты, как та генерирует и передает компьютеру (вернее, установленному на него драйверу) одноразовый пароль, созданный с учетом хранящегося в карте уникального тайного ключа. Программа выполняет обратный алгоритм и убеждается, что полученная последовательность действительно соответствует карте и ассоциированному с ней пользователю. В целом это аналог токенов SecurID, но более удобный и к тому же дешевый — карта вместе с доставкой по Америке стоит всего пять долларов (за международную пересылку придется доплатить).

Эксперимент Google заключался в том, чтобы реализовать сквозную поддержку Youbico: браузер Chrome автоматически переговаривается с драйвером устройства и передает веб-сервисам Google сигнал об авторизации. В итоге, чтобы заглянуть в свой ящик Gmail, нужно лишь набрать адрес и дотронуться до вставленной в USB карты Youbico. Неплохое сочетание удобства и надежности.

Карточка YubiKey Nano настолько миниатюрна, что полностью умещается в порт USB

Но у Youbico все же есть недостатки: во-первых, он занимает USB (есть «сквозная» версия, с наружным портом, но она не такая миниатюрная), во-вторых, это решение не универсальное — подойдет для компьютера, но не годится для мобильных устройств из-за отсутствия полноразмерного USB.

К марту 2013 года появились подробности о проекте некоего кольца, кующегося в жерле вулкана Google (простите, метафора сама напросилась). Кольцо, судя по довольно смутному описанию, просочившемуся в прессу, должно работать так же, как и карточки Youbico, только не через USB, а по NFC. Достоинства очевидны: мало того, что кольцо наверняка будет совместимо с новыми телефонами на Android, так оно еще и намного надежнее и удобнее. Забирать с собой карточку, каждый раз отходя от рабочего места, не станешь, а вот кольцо всегда на пальце и всегда готово к использованию.

Так может выглядеть кольцо Google

Объединить их всех

Украшение на пальце, которое дает доступ к телефону или компьютеру с совместимой операционной системой, — это неплохо, но как-то однобоко. Нельзя ли сделать так, чтобы совместимость простиралась дальше и надежная бесконтактная авторизация была бы доступной на любых компьютеризированных устройствах? Да и кольцо хотят носить далеко не все: многие наверняка предпочтут иметь электронный ключ в каком-то другом виде. И тут все зависит от того, смогут ли гиганты индустрии договориться между собой и сделать единые протоколы. Надежда на это, как всегда, слаба, но она есть.

Объединенными усилиями PayPal и Lenovo был создан альянс FIDO. Со знаменитой компьютерной сетью эта аббревиатура не связана: в данном случае FIDO расшифровывается как Fast Identity Online — быстрая онлайновая идентификация.

Вот как звучит устав этой организации: «Открытые спецификации FIDO будут поддерживать полный спектр технологий аутентификации, включая биометрические вроде дактилоскопии, сканирования сетчатки, распознавания голоса и лиц, а также существующие решения и коммуникационные стандарты, такие как Trusted Platform Modules (TPM), токены USB, embedded Secure Elements (eSE), смарткарты и NFC. Открытые спецификации будут создаваться с учетом расширяемости и будущих инноваций. Разработки FIDO будут направлены на интеграцию технологий в единую инфраструктуру, позволяющую приспособить системы безопасности к разнообразным нуждам пользователей и организаций».

FIDO был создан лишь в этом году, и на данный момент работы находятся только на подготовительных этапах. Тем не менее чувствуется востребованность этой инициативы, и новые участники не заставляют себя ждать. К примеру, в октябре к альянсу примкнула фирма MasterCard.

Прототипы InTouch пока что смотрятся не очень привлекательно, но в будущем могут превратиться в незаметную накладку на ноготь

Подробнее: xakep.ru

*

*Facebook организация, деятельность которой запрещена на территории России.