„Ще изчезнат ли напълно паролите за достъп до сайтове, услуги и приложения, които всеки от нас използва ежедневно, непрекъснато и с които сме свикнали?”. Този въпрос бе зададен от Гифт Егуену, разработчик в Cloudflare, към аудиторията, изпълнила залата по време на двудневната конференция DevReach 2023 в София. След презентацията си тя сподели за TechNews.bg, че е разговаряла с мнозина и е чула интересни и различни мнения в отговор на въпроса си. А какво мисли тя?
Актуални в сферата на автентикацията днес са три метода: безпаролна, многофакторна и еднофакторна автентикация, разказа Егуену. Всички тези начини за автентикация се ползват в зависимост от нуждите на потребителите и организациите. И трите метода са алтернатива на паролите.
Егуену беше категорична, че в бъдеще паролите ще изчезнат напълно, тъй като хората ще възприемат други начини за достъп като многофакторна автентикация, еднофакторна автентикация, биометрични данни или най-новото в тази сфера – т.нар. passkeys, каквито Google пусна по-рано тази година.
Отминаха времената, когато се налагаше да помним комбинациите от потребителски имена и пароли, каза Егуену. Именно паролите бяха основният начин за автентикация години наред, но те вече не са подходящ метод от гледна точка сигурността на онлайн транзакциите.
Друг проблем, свързан с паролите, е че средно 25-30, дори понякога 100 различни пароли се ползват от редовия потребител всеки ден. Съхраняват се на най-различни места, дори на листчета или на снимка в телефона – места, лесно достъпни и несигурни. Мениджърите на пароли лесно могат да бъдат пробити.
Като разработчик с опит, Гифт Егуену коментира, че в крайна сметка повечето от колегите ѝ се стремят към налагане на по-модерни методи за автентикация. Началото на този процес бе дадено от алианса FIDO (Fast IDentity Online), обединяващ водещи компании като Google и Microsoft, които създадоха иновативни методи и хората ги прилагат все повече. Миналата седмица Amazon също пусна passkeys за достъп до платформата си, т.е. вече не е необходима парола.
Конкретно за passkeys на Google, Егуену обясни, че този нов начин за достъп до приложенията не изисква парола, потребителско име или друг вид допълнителен фактор за автентикация, а вместо това – пръстов отпечатък или официален идентификационен код.
„При passkeys има криптографски ключове, които се съхраняват на вашето устройство. За хакерите е много трудно да се доберат до вашия пръстов отпечатък или идентификационни данни, докато паролата много лесно може да се пробие и не е сигурна. Кибератаките са основна заплаха за всички, които ползват пароли за достъп до банкови сметки и лична информация”, допълни Егуену и подчерта, че passkeys вече се ползват от компании като Google, Amazon, Adobe, TikTok, GitHub и др.
Автентикацията без парола включва еднократно генериран код за достъп, SMS-известяване и Magic Links.
Еднофакторната автентикация е друг интересен метод, при който можете да получите достъп до няколко различни платформи, приложения и сайтове чрез едно единствено удостоверение, подобно ползването на една парола. Пример за това е платформата на Google, където с една парола получавате достъп до електронна поща, до Google Maps, видеоразговори, таблици и презентации и други различни услуги. Като потребител не е нужно да си правите пароли за всяка отделна услуга или сайт.
Това е много полезно от гледна точна организирането на бизнес процесите в дадена компания, защото служителите чрез вписването си в само една платформа с една единствена парола могат да ползват както корпоративните имейли, така също и всички платформи, услуги и приложения, с които работи дадената организация.
Друг пример за еднофакторен достъп е технологията SAML 2.0, при която чрез един набор от идентификационни данни потребителят може да получи достъп до няколко приложения. Протоколът SAML представлява отворен стандарат, XML-базиран формат, който дава възможност на бизнеса да споделя информацията от потребителската автентикация и оторизация, като така, съвместно с па
OKTA е друг вид “single sign” услуга, която позволява на всеки в дадена компания да ползва всички платформи с еднократно вписване.
Методите за многофакторната автентикация също включват SMS- нотификация, гласово известяване, еднократна нотификация и уеб автентикация чрез FIDO ключове за сигурност.
„Всички тези решения гарантират сигурността на потребителите. Безпаролният достъп, SMS-известяването и други методи вече се прилагат от повечето платформи. Те се превръщат в стандарт, мнозина го използват”, коментира Егеуну.
„От гледна точка на разработчика, когато създавате приложение, решавате кой метод да използвате. Ако, например, правите приложение за социална мрежа, ще искате логването да е супер лесно и може да ползвате Magic Links – безпаролна автентикация, при която въвеждате адреса на електронната си поща, получавате линк и чрез него може да се впишете. Ако става въпрос за организация с около 500 служители, може да се ориентирате към услуга за еднофакторна автентикация като ОКТА, например. Всичко зависи от конкретните изисквания на бизнеса”, сподели Егуену.
Възприемането на съвременните решение за автентикация означава да се оценяват и управляват мерките по сигурността, да се подбере правилният метод за автентикация, да се прилагат стриктни правила и политики относно паролите и, не на последно място, да се образоват потребителите – така Гифт Егуену обобщи накратко дейностите, от които зависи сигурността както на отделния потребител, така и на големите корпорации.
ртньорските компании, могат да се ползват корпоративни приложения от служителите.
Вижте всички актуални новини от Standartnews.com
