Самая большая новость 2021 года в кибербезопасности, конечно же, что это 60 — я годовщина изобретения компьютерного пароля, верно? Несомненно, крупный нефтепровод в США был взломан, и гибридная рабочая сила меняет определение безопасности предприятия. Тем не менее, это явно мелочь по сравнению с этой огромной вехой для пароля.
Хорошо, может быть, вы не знали что паролю, в этом году исполнилось 60 лет. Вы, вероятно, никого не обидели бы, если бы вам было все равно. В конце концов, у большинства из нас сложные отношения с паролями.
С одной стороны, мы зависим от них в защите большей части используемых нами цифровых технологий. С другой стороны, 80% кибератак направлены на пароли. Пароли необходимы, но они очень уязвимы для взлома, и недавно технологические компании даже обсуждали вопрос о полном отказе от них.
Но наши отношения с паролями не всегда были такими.
Краткая история паролей и их взлома
Шел 1961 год, и компьютерный ученый из Массачусетского технологического института (MIT) Фернандо Корбато столкнулся с проблемой. Как он мог защитить личные файлы в Совместимой системе разделения времени (CTSS) Массачусетского технологического института, пока эксперты совместно использовали раннюю операционную систему? Что должно было помешать одному пользователю CTSS украсть личные файлы другого пользователя?
«Установка пароля для каждого отдельного пользователя в качестве блокировки казалась очень простым решением», — сказал Корбато журналу Wired в 2012 году. Таким образом, родился отличительный признак вычислительной техники.
В наши дни пароли распространены повсеместно – еще в 2017 году компания, занимающейся кибербезопасностью, дала оценку, что к 2020 году будут использоваться более 300 миллиардов паролей. Но после его изобретения пароль использовался ограниченно в течение следующих 30 лет. Ситуация изменилась с появлением в 1990-х годах всемирной паутины, которая генерировала большие объемы конфиденциальной информации, требующей защиты паролем.
Примерно в 1990-х годах атаки методом перебора стали популярным способом взлома шифрования. Атака полным перебором вот на что похожа: многократное угадывание разных ключей/шифров для защищенной учетной записи до тех пор, пока не будет угадан правильный вариант. Атаки методом грубой силы оказались столь же полезными для киберпреступности, как и для криптографии — атака методом грубой силы в 2016 году на китайскую платформу электронной коммерции TaoBao скомпрометировала около 20,6 миллиона учетных записей на платформе.
Атаки методом грубой силы успешны отчасти потому, что люди ужасно подбирают звуковые пароли — 23,2 миллиона жертв кибератак во всем мире использовали «123456» в качестве пароля. Люди также повторно используют свои слабые пароли во многих различных сервисах, и такие схемы, как заполнение учетных данных и атаки с распылением паролей, были разработаны на основе традиционных атак методом грубой силы, чтобы использовать в своих интересах небрежное отношение людей к паролям.
Управление системой
В какой-то момент хакеры осознали фундаментальную истину о большинстве людей: ими легко манипулировать. Эта простая идея породила более опасный вид кибератак: социальную инженерию. Эти схемы манипулируют людьми, а не машинами, с целью разглашения ими конфиденциальной информации, такой как их пароли.
Схемы социальной инженерии бывают разных форм. Например, в 2020 году хакеры, выдававшие себя за специалистов по ИТ-поддержке Twitter, обманом заставили сотрудников Twitter войти на поддельный ИТ-сайт и использовали свои украденные учетные данные для доступа к внутренним системам Twitter. Другая схема социальной инженерии привела к тому, что хакеры проникли в канал Slack в EA (Electronic Arts) в июне 2021 года и манипулировали специалистом по ИТ-поддержке, чтобы предоставить им токен многофакторной аутентификации для доступа к корпоративной сети EA.
В то время как злоумышленники по-прежнему используют атаки методом грубой силы, кибератаки, такие как социальная инженерия, заполнение учетных данных и распыление паролей, являются более заманчивыми схемами взлома по трем причинам.
Во-первых, эти схемы используют уязвимости человека, а не машины. Хакеры EA сообщили специалисту службы поддержки EA, что они потеряли свой телефон на вечеринке — без дополнительных мер аутентификации, почему специалист службы поддержки не должен был им поверить?
Во-вторых, они эффективны — злоумышленники могут одновременно отправить множество атак социальной инженерии. Например, атака методом перебора Taobao длилась с середины октября по ноябрь 2016 года, но взлом EA занял несколько часов. Аналогичным образом, атака с использованием распылителя пароля может использовать короткий список из 100 наиболее распространенных 10-символьных паролей и ждать попадания.
Наконец, схемы социальной инженерии легко обходят традиционные защиты. Если атака не связана с вредоносной полезной нагрузкой, такой как программы-вымогатели, устаревшие технологии часто не могут ее идентифицировать. Каким бы эффективным ни было программное обеспечение для кибербезопасности, оно не может распознать хорошо сказанную ложь.
Споры, которые не утихнут
Каждую неделю крадут около миллиона паролей, поэтому неудивительно, что компании и пользователи ищут альтернативы. Фактически, в недавнем опросе Specops из 100 клиентов почти 75% сообщили, что они готовы к будущему без пароля.
Заявив, что в течение последних нескольких лет будущее станет беспарольным, Microsoft объявила 15 сентября о дебюте беспарольного входа в учетные записи Microsoft. Пользователи могут входить в приложения и службы Microsoft с помощью Microsoft Authenticator, Windows Hello, кода подтверждения, отправляется на телефон, адрес электронной почты или электронный ключ.
Другие технологические компании также изучали альтернативы паролям. Apple внедрила идентификацию лица и отпечатков пальцев в свои iPhone. Google разрешил пользователям устройств Pixel и Android 7+ подтверждать свою личность с помощью отпечатка пальца или блокировки экрана вместо пароля при доступе к определенным сервисам Google.
Биометрия и MFA, безусловно, готовы к инновациям в секторе кибербезопасности. Означает ли их использование, что смерть пароля неминуема? Едва ли.
По мере того, как эти методы аутентификации получат более широкое распространение, кибератаки будут адаптироваться и развиваться, чтобы эффективно красть эту информацию. При использовании MFA кибератаки, скорее всего, будут нацелены на слабую вторичную аутентификацию, такую как мобильные коды и секретные вопросы. По мере того как биометрические технологии становятся все более изощренными, хакеры уже начали разрабатывать методы взлома отпечатков пальцев, данных лица или сетчатки глаза. В 2020 году компания, производящая программное обеспечение для распознавания лиц, подверглась утечке данных, доказав, что базы данных, в которых хранятся эти важные данные, уязвимы.
Как кто-то сможет получить доступ к защищенным услугам, если его биометрические данные или данные MFA будут скомпрометированы? Что, если они просто потеряют мобильное устройство, привязанное к MFA? Скорее всего, им потребуется использовать пароль в качестве резервного средства аутентификации.
Предсказывая будущее
Переход от аутентификации на основе пароля к аутентификации без пароля не произойдет в одночасье. Слишком много сетей, устройств, систем и людей в настоящее время полагаются на пароли, чтобы технология быстро исчезла, и более вероятный сценарий: то, что вы знаете (пароли), и то, чем вы являетесь (биометрия), станет стандартом в обозримом будущем. Через 60 лет пароли, вероятно, будут другими, как и весь остальной технологический мир. А пока пароли никуда не денутся.
Итак, наденьте шляпу для вечеринки, и давайте поднимем тост за пароли. Они не идеальны. Нам сложно вспомнить многие из них. Но они неуклонно охраняли наши счета последние 60 лет и заслуживают за это некоторой благодарности.
С 60-летием, пароли. Ваше здоровье!
Перевод статьи: «The Password Turns 60 This Year, But It’s Not Going Away Anytime Soon»