Давайте немного подумаем о будущем. Будущее мобильной идентификации, как утверждают некоторые специалисты, в биометрических технологиях. С их точки зрения, это самый простой способ снизить риск потери или кражи гаджетов.
Сегодня в обзорах справедливо показываются риски слабой идентификации мобильных устройств. Хотя смартфоны поддерживают идентификацию с помощью числовых PIN-кодов уже более десяти лет, более 20% пользователей iPhone, согласно исследованию Champion Solutions Group, все еще не считают нужным применять PIN. Более 30% компаний не требуют, чтобы их сотрудники использовали по меньшей мере алфавитно-цифровые пароли на своих мобильных устройствах.
Но даже те, кто применяют PIN-защиту, не могут быть уверены в своей безопасности. PIN-коды и алфавитно-цифровые пароли относительно тривиальны и достаточно просто вычисляемы на основе анализа поведения пользователя. Кроме того, PIN-коды могут использоваться повторно и на разных устройствах. Согласно исследованию 2011 г., каждый седьмой iPhone может быть взломан перебора десяти наиболее широко используемых PIN.
Именно по этой причине политика мобильной идентификации включает требования по длине и сложности пароля, максимальному количеству повторных использований. На это обращают внимание и производители смартфонов и планшетов. Так в iOS 9 и Windows Phone 10 длина PIN увеличена с четырех до шести символов, что увеличило число возможных комбинаций с 10 000 до 1 000 000. Соответственно, время взлома путем перебора выросло с четырех до 400 дней.
Популярной альтернативой PIN-кодам все чаще становится биометрическая аутентификация, хотя на мой взгляд, она скорее более удобна, чем безопасна.
Вот несколько примеров.
Несколько лет назад в Android опробовали технологию биометрического распознавания лица, используя камеру мобильного устройства. Однако ранние версии этого ПО легко обходились. Для идентификации достаточно было использовать фотографию нужного лица.
Apple, используя технологию биометрической аутентификации на основе отпечатка пальца, добились большего. Последние версии Android также поддерживают дактилоскопическую аутентификацию. Вместе с тем необходимо отметить, что до сих пор не решена основная проблема этого метода. Как отличить живое от неживого? Ведь на сегодня большинство датчиков отпечатков пальцев легко обманывается муляжами.
Единственный выход, который на сегодня можно предложить — использовать датчик отпечатка вместе с PIN-кодом или паролем. Другие методы предполагают ввод PIN, посланного с помощью SMS в ваш смартфон, или приложение-генератор одноразового пароля.
Безусловно, методы биометрической аутентификации будут развиваться. Однако пока заявлять, что данные технологии могут реально заменить пароли и PIN-коды, на мой взгляд, несколько преждевременно.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.