Що таке логін без пароля? Чи вони справді безпечні?

Паролі мають життєво важливе значення для вашої інтернет-безпеки. Але з такою кількістю сервісів, як онлайн, так і офлайн, відстежувати ваші паролі складно. Системи входу без пароля починають злітати, усуваючи необхідність вводити пароль щоразу, коли ви входите в сервіс.

Але якщо ви не використовуєте пароль, як ви захищаєте свій обліковий запис? Що таке логін без пароля і вони безпечні?

Що таке логін без пароля?

Без пароля паролі є системами автентифікації, які використовують альтернативи паролю, що дозволяють отримати доступ до вашого облікового запису. Наприклад, замість пароля ви отримуєте повідомлення електронною поштою, яке діє як маркер входу в систему. Крім того, на вашому смартфоні може з'явитися спливаюче вікно, що дозволяє вам контролювати доступ до облікового запису.

При цьому для входу без пароля часто використовується вже існуюча форма автентифікації, щоб гарантувати вашу особу.

Можливо, ви вже стикалися з входом без пароля з використанням облікового запису Gmail. Замість того, щоб вводити пароль кожен раз, коли ви входите в систему, Google може відправити запит прямо на ваш телефон. У запрошенні зазначається час і місце спроби входу в систему з можливістю підтвердження або відхилення входу.

Як працює логін без пароля?

Коли ви заходите на сайт, ви повинні вказати пароль, щоб розблокувати свій обліковий запис. Пароль відомий тільки вам і сайту, забезпечуючи безпеку вашого облікового запису. Ви впевнені, що сайт збереже ваш пароль у безпеці, збереже його надійно і що сам сайт не вразливий.

Крім того, ви безумовно вже використовуєте надійні унікальні паролі для кожного сайту і служби, тому що це найбільш безпечна практика.

Однак саме останнє стало важким. При створенні надійного одноразового пароля для кожного сайту користувачі створювали легко запам'ятовуються, але жахливі паролі. І навіть якщо ви створите надійний пароль, аналіз кількості порушень даних щомісяця може підірвати ваші зусилля.

Під час автентифікації без пароля вам не потрібно довіряти веб-сайту пароль. Замість введення пароля кожного разу під час входу без пароля використовуються декілька різних методів автентифікації.

Розпізнавання електронної пошти без пароля

Найбільш поширена система входу без пароля в даний час по електронній пошті. Багато користувачів знайдуть заснований на електронній пошті пароль без входу в систему найбільш знайомою системою, що працює аналогічно скиданню пароля.

Коли ви намагаєтеся увійти, ви надаєте адресу електронної пошти. Служба надсилає безпечний електронний лист на адресу, пов'язану з обліковим записом, і електронна пошта містить безпечне одноразове чарівне посилання для входу в обліковий запис служби. Чарівне посилання включає унікальний токен входу, який перевіряється службою, і замінює його на довгостроковий токен перевірки.

Є й інші варіанти в поштовій системі. Наприклад, у разі існуючого облікового запису служба може надіслати користувачеві одноразовий код ключа DKIM, пов'язаний з його обліковим записом. Користувач отримує код DKIM і вводить його на сайт. Сайт перевіряє код на відповідність існуючим даним користувача і завершує процес входу в систему.

Вхід до системи без пароля

У цьому випадку користувач вводить правильний номер телефону. Сервіс відправляє одноразовий код на номер телефону. Потім користувач може увійти в сервіс. Як альтернативу, деякі служби пропонують «робо-виклик» користувачеві, де служба перетворення тексту на мовлення буде безпосередньо читати код.

Однак безпека SMS знаходиться під пильною увагою. Переважній більшості з нас нема про що турбуватися. Але кілька високопоставлених осіб (особливо ті, у яких були великі обсяги криптовалют) зазнали атак за допомогою SMS-хакерських атак. Дізнайтеся, що таке атака за допомогою підкачки симів і як ви захищаєтеся від неї

Біометричний пароль без логіну

Деякі методи входу без пароля використовують служби біометричного сканування для перевірки вашої особи. Послуги біометричної автентифікації надаються на більшій кількості пристроїв, ніж будь-коли. (Чи варто переходити на біометричний сервіс для вашого смартфона?)

Ідея полягає в тому, що коли ви хочете отримати доступ до сайту, на вашому смартфоні з'являється підказка. Ви розблокуєте смартфон, використовуючи бажану вами біометричну систему, і розблокування служить підтвердженням вашої особи.

Однак, крім Apple Face ID (для пристроїв, що включають і виготовлених після iPhone X, iPad Pro третього покоління і iPod Touch сьомого покоління), біометричне сканування мобільних пристроїв не є повністю безпечним.

Інші виробники обладнання для сканування обличчя не так просунуті і обманюються за допомогою фотографії, в той час як для того, щоб обдурити Apple Face ID, потрібно повністю надрукована і пофарбована 3D-голова. В інших випадках сканери відбитків пальців дозволяють часткове розпізнавання. щоб розблокувати пристрій.

Зараз біометрична система входу без пароля, ймовірно, не найкращий варіант. Однак у майбутньому це може стати найкращим варіантом.

Фізичний ключ Логін без пароля

Ключі фізичного захисту пропонують ще один варіант аутентифікації при вході без пароля. Фізичний ключ безпеки - це спеціальний ключ безпеки USB. Якщо ви хочете отримати доступ до свого облікового запису, ви вставляєте ключ безпеки в свій комп'ютер. Онлайн-сервіс перевіряє ваш обліковий запис за допомогою ключа безпеки, усуваючи необхідність в паролі.

Яскравими прикладами фізичного ключа безпеки є серія Google Titan і серія Yubico Yubikey.

Чи є парольні логіни двофакторною автентифікацією?

Та й ні.

Так, логін без пароля аналогічний двофакторній автентифікації (2FA) в тому, що ви входите в свій обліковий запис, використовуючи альтернативний метод автентифікації. 2FA працює, захищаючи ваш обліковий запис, використовуючи два окремих фактори, зазвичай це пароль і окремий пристрій.

Ні, це не те саме, тому що, хоча ви використовуєте окремий пристрій для автентифікації свого облікового запису, це все ще тільки один фактор.

Чи пароль без пароля безпечніший?

Все, що заважає користувачам створювати жахливі паролі, добре, вірно? Без пароля паролі видаляють ще одну точку відмови від кінцевого користувача. Наразі без паролю паролі не отримали широкого поширення. Їх використовують кілька великих сервісів, таких як Gmail (як згадувалося вище) і Slack Magic Links.

Найбільшим плюсом для власників сайтів і модераторів є раптова відсутність необхідності мати справу з паролями користувачів. Незашифровані паролі, що зберігаються у відкритому текстовому файлі, - це нічні кошмари; це мрія хакера. Користувачам, які рідко отримують доступ до сервісу, також не доведеться проходити процедуру «скинути пароль».

Вхід у систему без пароля також може допомогти користувачам швидко увійти в сервіс. І навпаки, якщо ви регулярно виходите зі служби, необхідність повторної авторизації електронною поштою або SMS може стати дратівливою залежно від тривалості часу.

На даний момент використовуйте менеджер паролів

Для входу в систему без пароля потрібен час. М'яч котиться, хоча. Більшість основних переглядачів (крім Safari) підтримують вхід до системи без пароля того чи іншого типу. У лютому 2019 року Google також оголосив, що пристрої під управлінням Android 7 (це Android Nougat) або пізнішої версії також отримають підтримку входу без пароля.

Це означає, що підтримка входу в систему без пароля майже для 50 відсотків всіх пристроїв Android. Стандарти входу в систему без пароля, такі як FIDO2 і WebAuthn, будуть продовжувати отримувати оновлення, що ще більше зміцнить метод автентифікації.

На момент написання, вам все ще потрібен пароль. Вам потрібен надійний одноразовий пароль. Маючи це на увазі, чому б не подумати про використання менеджера паролів?