Навряд чи знайдуться ще якісь заходи безпеки, що створюють так багато проблем, як цей старий шкідливий ланцюжок бітів, відомий під назвою «пароль». Експерти закликають робити їх якомога довше і складніше, ніколи не використовувати один і той же пароль (незважаючи на те що наші онлайнові акаунти множаться) і зберігати їх тільки в голові. Ці поради можна узагальнити, як це нещодавно зробив у Twitter дослідник систем безпеки Мікко Хіппонен: «Виберіть що-небудь, що не можете запам'ятати, і не записуйте».
Кембріджський дослідник Френк Стаджано, що займається комп'ютерними технологіями, вважає, що в нього є рішення. На конференції Usenix він представив доповідь про пристрій Pico - крихітний комп'ютер, який можна носити з собою і який виконує роль аутентифікатора для тисяч різних сервісів і пристроїв. Користувачам Pico більше не доведеться запам'ятовувати паролі, до того ж вони теоретично будуть захищені від фішингових атак, погрози вибору слабких паролів і навіть від можливості крадіжки пароля підглядаючого через плече шпигуна.
«Користувач має надійний пристрій під назвою Pico, який працює як свого роду протез пам'яті і звільняє від тягаря запам'ятовування аутентифікаційних комбінацій, перетворюючи їх з « того, що ви знаєте » в « те, що ви маєте », - пише Стаджано.
До нещастя, Pico поки не існує. Але уявна система, яку Стаджано описує на двох десятках сторінок, включає безліч розумних ідей про те, як створити такий універсальний «брелок» для ключів.
У баченні Стаджано Pico повинен бути маленьким обчислювальним пристроєм з вбудованим радіопередавачем і камерою. Він буде використовувати криптографію з відкритим ключем для створення і зберігання тисяч криптографічних пар (загальнодоступний і особистий ключі), по одному для кожної програми або гаджета, які потрібно відкривати користувачеві. Коли прилад вже знайомий з цими програмами і устаткуванням, камера Pico читає візуальний код на екрані реєстрації або на пристрої, щоб його впізнати, а потім за допомогою радіосигналу відправляє зашифроване повідомлення на віддалений сервер реєстрації - щоб тільки сервер міг розшифрувати його за допомогою індивідуального секретного ключа .
Сервер у свою чергу відправляє зашифроване повідомлення, яке може розшифрувати лише унікальний комп'ютер Pico за допомогою власного секретного ключа, приписаного даного сервісу.
Два головні переваги цієї технології - крім того що прилад може генерувати ідеальні складні паролі, які користувач не зобов'язаний запам'ятовувати - полягають в тому, що таким чином підтверджується ідентичність не тільки користувача, але і сервісу або пристрою, яким він намагається скористатися. Наприклад, не можна буде створити помилкову сторінку реєстрації Gmail і вкрасти пароль користувача. І логгер клавіатури - програми, що перехоплюють пароль в тому момент, поки його набирають на клавіатурі - застаріють: завдяки чарам криптографії відкритого ключа буде неможливо перехопити аутентифікаційні повідомлення і обчислити обидва особистих ключа. Криптографія відкритого ключа має на увазі, що ключі шифровки відмінні від ключів дешифрування, які до того ж ніколи не показуються.
А як бути з очевидною проблемою втрати цього універсального пристрою? Ось тут схема Стаджано стає особливо цікавою. Він пропонує користувачам додатково до Pico носити з собою «братів» Picosiblings - інші пристрої, які займаються тільки тим, що постійно відправляють радіосигнали короткого радіусу дії, щоб Pico знав, що вони поруч. Ці Picosiblings, на думку Стаджано, повинні бути об'єктами, які користувач носить постійно - наприклад, окуляри, ремінь, гаманець, прикраси - навіть пірсинг, перуки, зубні протези і підшкірні імплантанти.
Завдяки цим «братам» Pico розуміє, коли його втрачають, і тут же вимикається. (Користувач може відновити інформацію з резервних копій, які, як уточнює Стаджано, буде автоматично робити зарядний пристрій до Pico.)
На випадок, якщо Pico вкрали разом з усіма «братами» (наприклад, якщо пограбують шафка для переодягання в басейні), прилад матиме біометричну перевірку - наприклад, пристрій для зчитування відбитків пальців, яке потрібно буде використовувати приблизно раз на день.
Найважчою частиною перетворення цієї фантастичної схеми Стаджано в реальність буде, поза сумнівами, переробка усіх додатків і гаджетів для стандартного використання Pico. Але деякі програми вже потроху рухаються в цьому напрямку. І Google, і Facebook зараз дозволяють користувачам підписуватися на «двухфакторную аутентифікацію», при якій використовується також додаток на смартфоні або текстове повідомлення, щоб упевнитися, що реєструється користувач має при собі певний телефон.
Pico можна інтегрувати і в смартфон, пише Стаджано. Але його схема, звичайно, піде набагато далі, ніж двофакторна аутентифікація Google і Facebook. Щоб пройти реєстрацію, буде важливий лише один фактор - володіння самим Pico. З одним «але» - якщо хто-небудь його створить.
|