Введіть пароль огляд форм авторизації і альтернативних способів ідентифікації користувачів
Паролі поступово відходять у минуле як незручні і неминучі. Однак все кардинально змінюється. Завдяки поєднанню датчиків, шифрування та інших сучасних технологій аутентифікація приймає нові і вельми цікаві форми.
Більшість сценаріїв взаємодії з комп'ютерними системами були згодом оновлені, але ніхто раніше не хоче возитися з перевіркою пароля: це занадто серйозно чи пов'язано з великою відповідальністю. Якщо не очистити поле введення пароля після того, як хтось ввів його неправильно, дані кредитної картки можуть опинитися під загрозою.
витоки проблеми
Справа не в самих паролі - проблема полягає в масштабі, адже людям доводиться запам'ятовувати безліч імен і паролів, вони відчувають дискомфорт. А ми не хочемо, щоб наші продукти стали менш безпечними, коли ми знизимо стандарти захисту на догоду зручності користувачів. Як же забезпечити надійну безпечну ідентифікацію та захист конфіденційних даних?
Для цього вже є кілька методів і постійно з'являються нові. Традиційну аутентифікацію за допомогою пароля можна зробити комфортним та зручним. Ось актуальні способи:
Я буду оцінювати кожен метод, виходячи з декількох факторів:
Ім'я користувача і пароль
Буду чесний: у мене виникають проблеми з традиційною моделлю. В ідеальному світі я би усунув паролі взагалі, але в реальності я користуюся цим методом в 99% своїх проектів.
Необхідність згадувати пароль - головна причина, чому я низько оцінив безпеку і зручність використання цього способу. Спочатку важко створити безпечний пароль, а потім - запам'ятати його і використовувати. Люди створюють паролі, які дуже легко розгадати, а це вже загроза безпеці.
Іронія в тому, що чим вище наш рівень безпеки, тим небезпечніше стає ідентифікація за допомогою пароля. Потрібно вдосконалити сам алгоритм перевірки автентичності пароля - реалістично оцінюючи безпеку і вибираючи найбільш ефективні рішення.
Зараз можна користуватися технологіями, яких не існувало, коли були сформовані структури паролів. І ми зобов'язані це робити, щоб полегшити користувачам життя. Відкидаючи твердження про абсолютну безпечність паролів і створюючи нові ідеї, засновані на сучасних запитах користувачів, ми можемо внести безліч очевидних поліпшень в традиційні системи паролів. Поговоримо про деякі з них.
Обмежувати або виключати правила для паролів
Великі і малі літери, символи та цифри - всі ці обмеження змушують користувачів створювати все більш складні паролі.
Навіщо нам нав'язують цей комплекс правил? Існують дослідження, які стверджують, що довгі паролі ефективніше паролів з різними символами, але про це я розповім пізніше.
Нагадувати користувачеві про правила
Показувати надруковані символи прихованого пароля з можливістю їх прибрати
Це досить поширена опція, особливо для мобільних пристроїв, але варто застосовувати її скрізь (включаючи робочі комп'ютери).
Якщо хтось використовує функцію загального доступу до екрану або проводить презентацію, можна заховати символи при введенні пароля, але таких користувачів одиниці. Всім іншим зручніше бачити, який пароль вони набирають. Такий метод успішно застосовують Yahoo і Sprint - це переконливо доводить, що нам більше не потрібно маскувати паролі.
Люк Вроблевського написав відмінний огляд ідей, як можна «відкрити» пароль, і описав, як краще інтегрувати їх. Він стверджує, що маскування паролів - застаріла практика.
Конкретизувати повідомлення про помилки введення
кодова фраза
Ключові фрази краще і для безпеки, і для зручності використання. Згадати фразу, яка містить нормальні Новомосковскемие слова, набагато простіше, ніж зашифровані пароль. Тому нам не потрібно записувати свої паролі і не доводиться користуватися одним і тим же паролем у всіх випадках, намагаючись не забути його.
Широко поширилося переконання, що великі літери, цифри і спеціальні символи ускладнюють автоматизований підбір пароля. Але виявляється, що комп'ютера складніше вгадати ряд випадкових (або здаються випадковими) слів, пов'язаних в довгу фразу.
Хочете доказів? Zxcvbn - це проект Dropbox, що визначає надійність пароля. Інші сайти можуть використовувати Zxcvbn як визначник надійності пароля з відкритим вихідним кодом. У цій статті Dropbox є статистика і відомості про справжню надійності різних паролів. Прочитайте статтю, і ви зрозумієте, що пароль Tr0ub4dour3 набагато вразливіші, ніж «правільнаялошадьштапельнойбатареі». Це легко перевірити за допомогою тестів.
Щоб ввести в ужиток паролі-фрази, потрібно тільки запропонувати користувачеві ідею такої фрази і ліквідувати правила використання пароля. Ті, хто хоче використовувати традиційні паролі, можуть це робити і далі, але більшість людей спробують спорудити нечитаний пароль. У будь-якому випадку це хороша ідея для поліпшення юзабіліті.
Google добре справляється з ідентифікацією. Компанія використовують правило «Довіряти цьому пристрою 30 днів». Крім того, вона пропонує опцію двофакторної аутентифікації як один з варіантів і заохочує його застосування, ні до чого не примушуючи користувачів.
Ще одна перевага двухфакторной ідентифікації в тому, що нам не потрібні правила паролів, адже ми не покладаємося на пароль як на єдину стратегію безпеки. Знову-таки модифікації паролів часто виявляються зручніше, ніж щось, до чого ми звикли.
Ми можемо просунути беспарольному ідентифікацію ще на крок вперед, пропустивши річний набір коду. Використання глибоких посилань або унікального символу в URL, посилань в повідомленні електронної пошти або тексту може безпосередньо відкрити сервіс і допомогти увійти в нього.
Примітна сама презентація цієї моделі взаємодії: вона представляє контакт користувача з системою як «магію», спрощуючи його і заспокоюючи користувача (ймовірно, що придумав «двухфакторную ідентифікацію» неправильно зрозумів її брендинг).
біометрична ідентифікація
Windows Hello - це перспективна система ідентифікації для Windows 10, що з'єднує камери з датчиками (на комп'ютерах і пристроях) для розпізнавання особи, райдужної оболонки очей або відбитків пальців. Потрібно просто відкрити комп'ютер і займатися своїми справами, не жертвуючи при цьому безпекою. Цей тип ідентифікації був до недавнього часу неможливий, особливо в масштабі Windows 10.
Якби виробники настільних комп'ютерів і ноутбуків приділяли більше уваги безпеці і біометричних датчиків, ми б давно вже пішли від паролів. Mobile з самого початку визначив безпеку як пріоритет, і тепер інше програмне забезпечення підганяється під ці вимоги.
Біометрична ідентифікація тільки починає розвиватися, але деякі API і бібліотеки дозволяють нам користуватися біометричної ідентифікацією вже сьогодні. До них відносяться BioID Web Service, KeyLemon, Authentify і Windows Biometric Framework API (на якому, як мені здається, побудована Hello).
Можна уявити собі, скільки можливостей дасть накопичення числа підключених пристроїв, особливо в просторі «інтернету речей», де персональні і, можливо, пристрій відобразився працюватимуть постійно. Ідентифікація за допомогою підключених пристроїв може стати дуже корисною.
Tether заощадив мені масу часу. Набір мого пароля з великими літерами, цифрами і символами може зайняти всього три або чотири секунди, але багато раз повторювати це кожен день, тиждень і місяць - це вже занадто. Завдяки ідентифікації підключеного пристрою на той час, коли я сідаю в крісло, мій комп'ютер вже розблоковано. Ще один приклад - ключі від машини з Bluetooth.
Що ж тепер робити
Всі зміни повинні бути зручні для користувачів. Ми можемо спрощувати комунікації, зменшивши кількість паролів, яких вимагають наші сервіси і додатки. Якщо потрібно впровадити нові способи ідентифікації для більшого комфорту користувачів, потрібно завжди розглядати таку можливість.
Будь моя воля, ми б назавжди покінчили з паролями. Мені здається, що вони тягнуть нас назад, хоча і ще залишаються потрібні. Так що нас чекає революція в області паролів.
Проте потрібно пам'ятати, що люди хочуть відчувати себе в безпеці, коли входять в систему, і знати, що їх дані недоступні стороннім. Якщо ми будемо нехтувати ідентифікацією, користувачі не будуть нам довіряти. Тому ми зовсім не збираємося усунути всі паролі вже завтра, хоча, можливо, скоротимо масштаб їх застосування.
Краща ідентифікація, як і кращий інтерфейс, абсолютно невидима. Потрібно прагнути до того, щоб зробити ідентифікацію непомітною. А це означає, що традиційна ідентифікація пароля - незалежно від того, наскільки серйозна її функціональність, - це вчорашній день.
На практиці зустрічається рідко: в основному використовують спеціалізовані ресурси (управління фінансами, доступ до даних) і корпоративні системи.
Edvins Antonovs Микита Ситников Danil Antonov
Мені особисто не комфортно бачити свій власний пароль, пропадає відчуття безпеки. У цьому плані у unix все ідеально, навіть точки замість символів не відображаються.
Konstantin Shishkin Nikolai Pesochenski Мерелін Менсон Sergey Shvets Aleksey Bobkov eden lane
в цьому плані у unix все огидно - немає ніякого розуміння, ввів ти щось чи ні.
А взагалі все залежить від аудиторії. Буває, що за замовчуванням треба пароль показувати, так як аудиторія не може ввести пароль в прихованому режимі, для користувачів це дуже складно.
Gregory Golovanov Микита Терещенко Vladimir Ladygin Edvins Antonovs Aleksey Bobkov
Поясніть, може я не розумію: а в чому захоплення біометричної ідентифікацією? Адже на виході, після сканування, виходить той же пароль - набір 0-лей і 1-чек. Так його ще й не поміняєш, якщо дізнаються - він один на все життя ;-) Це просто такий варіант не запам'ятовувати ОДИН пароль, а носити його при / на собі.