.jpg)
Новый уровень обеспечения защиты информации в эпоху мобильных коммуникаций, как считают эксперты ИБ, связан с внедрением и распространением системы однофакторной аутентификации при входе пользователей в сетевые сервисы. Пользователю станет значительно удобней пользоваться сетевыми сервисами без обязательного введения основного пароля, который иногда забывается, а иногда взламывается хакерами. При каждом запросе на вход в электронную почту теперь достаточно ввести код из SMS-ки, пришедший на смартфон. Компания Yahoo!, запустившая с 16 марта доступ к почтовым ящикам на основе именно такой инновационной схемы, заявляет, что привязанный к SIM-карте доступ к сетевым ресурсам гарантирует высокую степень защиты персональных данных.
Однофакторная авторизация как шаг в будущее
Чтобы усилить информационную защиту ресурсов, многие сервисные интернет-компании сегодня предлагают пользователям смартфонов или иных гаджетов с подключенной к мобильной сети абонентской SIM-картой, − двухфакторную систему аутентификации, или функцию 2FA. Иначе говоря, вдобавок к обычному паролю пользователю нужно вводить также и дополнительный динамический код, который по первому запросу присылался на абонентский номер мобильного устройства через SMS-канал.
Хотя двухфакторная аутентификация сегодня вполне сносно обеспечивает ИБ, но с учетом разгула киберпреступности и расширения рынка мобильной связи в повестке дня на одном из первых мест стоит вопрос перехода к еще более надежной защите доступа к персональным данным. К слову сказать, в 2014 году многих крупных почтовых клиентов атаковали хакеры, и целые массивы паролей оказались в интернете. Однофакторная система аутентификации — 1FA — была создана на базе платформы 2FA путем исключения из нее модуля верификации основного пароля. Таким образом, пользователи при идентификации получают SMS-кой только временный динамический код. Теперь владельцам смартфонов и других гаджетов, имеющих привязку к мобильной связи, не придется запоминать сложные и длинные циферно-буквенные комбинации. Надежность системы ИБ отныне гарантируется привязкой сетевого сервиса к SIM-карте мобильного устройства пользователя.
О начале модернизации механизма доступа к сетевым ресурсам и обеспечения ИБ компания Yahoo! в рамках IT-конференции South by southwest в городе Остине (США) объявила 15 марта, когда вице-президент Yahoo! по продуктам Дилан Кейси презентовала новый фирменный сервис — «пароль по требованию» (on-demand password). При аутентификации аккаунта — вместо привычного поля пароль/password — на экране подключенных к такому сервису пользователей появляется клавиша «выслать мне пароль», после нажатия которой на абонентский гаджет по SMS-каналу высылается одноразовый динамический пароль, имеющий ограниченный срок действия. В своем выступлении Кейси отметил, что доступ к ресурсам с помощью высылаемой по требованию пользователя SMS-ки с одноразовым паролем — это первый шаг к полнейшему отказу от изжившего себя парольного принципа верификации. А директор по продуктам компании Yahoo! Крис Стоунер в корпоративном блоге на эмоциональном подъеме резюмировал: «Вам больше не нужно запоминать трудные пароли, чтобы войти в электронную почту, — какое облегчение!».
Справедливости ради, нужно заметить, что пальма первенства в апробации технологии доступа к почтовому сервису без пароля и аутентификации с помощью полученному на мобильное устройство пользователя SMS с динамическим кодом подтверждения принадлежит российской интернет-компании Mail.ru, которая год назад внедрила такую схему на своем ресурсе My.com. Сервис Yahoo! «пароль по требованию», запущенный 16 марта, пока доступен только для аудитории США. Однако, как обещают разработчики, в соответствии с утвержденным планом продвижения, продукт скоро станет появляться и в других странах.
Тренд в контексте реальности
Только вступившее на рынок yововведение Yahoo! уже бурно обсуждается в IT-сообществе. Наряду с восторженными и одобрительными отзывами, естественно, слышится и критика. Известный IT-эксперт Уильям Тёртон из Daily Dot заявил, что верификация только через SMS — без основного пароля — это шаг не вперед, а назад. И, по его мнению, руководству Yahoo! неплохо было бы ответить на вопрос: как быть с обеспечением ИБ, если злоумышленники украдут сам смартфон? У целого ряда экспертов в сфере ИБ имеются сомнения насчет адекватной защищенности самих SMS-каналов, которые связаны с защитой данных в разных бизнесах, социальных сетях, работе госучреждений.
Генеральный директор Технического центра Интернет Алексей Платонов также достаточно критично встретил проект Yahoo! Он отметил, что для использования такой системы постоянно «необходимо соблюдать, как минимум, два условия. Во-первых, пользователь должен всегда иметь доступ к этому каналу (в данном случае – к телефону с SMS). Во-вторых, необходимо сделать так, чтобы этот канал никто не мог перехватить – иначе злоумышленник сможет получать доступ к пользовательскому аккаунту»… Конечно, споры будут продолжаться, давая пищу для совершенствования системы. Однако проект однофакторной аутентификации, как прогнозируют IT-специалисты компании Yahoo!, в ближайший год-два широко охватит популярные сетевые сервисы. А в компании Yahoo! уже заявляют о ещё более революционных решениях в области обеспечения ИБ и идентификации пользователей — о полном отказе от паролей...
.jpg)
.png)