Может ли Сингапур стать страной без паролей?

Киберпреступники становятся всё более искусными в краже паролей пользователей. Более того, атака методом подбора паролей (Brute Force) — метод взлома, используемый киберпреступниками для взлома слабых паролей, — вызвала тревогу у пользователей.

Соответственно, исследование показывает, что хакеры могут перебрать 2,18 триллиона комбинаций паролей и имен пользователей за 22 секунды, и если пароль простой, учётную запись можно легко украсть. Другой метод, который киберпреступники часто используют для кражи данных пользователей, — это подмена учётных данных (Credential stuffing), то есть хакеры используют украденные учётные записи и пароли для получения несанкционированного доступа к учётным записям пользователей посредством автоматизированных и массовых запросов на вход в систему.

В отчете российского производителя и дистрибьютора программного обеспечения безопасности «Лаборатории Касперского» указано, что в Юго-Восточной Азии с января по июнь 2022 года было зафиксировано 47,8 млн атак, нацеленных на удаленных работников, что означает, что в среднем ежедневно происходит около 265 000 атак.

В Сингапуре, в частности, наблюдается рост числа подобных атак. В их числе фишинговые кампании, жертвами которых в прошлом году стали клиенты банка OCBC, обошвшиеся жертвам более чем в 8,5 млн сингапурских долларов. После вспышки вируса власти ввели новые меры безопасности, включая запрет на ссылки в электронных письмах и SMS-сообщениях банковских услуг.

В последнее время в островном государстве участились случаи несанкционированных списаний средств с дебетовых и кредитных карт. По данным газеты The Straits Times (Сингапур), было зафиксировано множество несанкционированных транзакций. Агентство кибербезопасности Сингапура заявило, что такие небольшие транзакции могут использоваться киберпреступниками для проверки или аутентификации данных дебетовых и кредитных карт перед совершением более крупных транзакций, и рекомендовало потребителям устанавливать оповещения о таких транзакциях в своих аккаунтах.

Ещё одна недавняя кибератака в Сингапуре затронула национальную телекомпанию Mediacorp. Согласно отчётам, около 14 000 пользователей учётной записи Mediacorp meconnect были вынуждены сбросить пароли после того, как к их аккаунтам был получен доступ неизвестным третьим лицом. Эти учётные данные использовались для доступа к сервисам Mediacorp, таким как стриминговая платформа meWatch. Mediacorp уведомила всех владельцев затронутых учётных записей о проблеме и сбросила их пароли.

Пришло ли время избавиться от паролей?

По словам Дэвида Хоупа, старшего вице-президента по Азиатско-Тихоокеанскому региону и Японии международной компании ForgeRock, занимающейся разработкой программного обеспечения для управления идентификацией и доступом, недавний всплеск несанкционированных списаний средств с кредитных и дебетовых карт выявил уязвимости традиционных систем аутентификации с использованием паролей. Поэтому он считает, что сейчас как никогда важно внедрять решения без использования паролей для обеспечения большей безопасности.

«Цифровые идентификаторы играют ключевую роль в обеспечении безопасного доступа к таким сервисам, как онлайн-банкинг и розничная торговля. Этот сдвиг, в сочетании с объёмом персональных данных, используемых для доступа к этим сервисам, расширил цифровую зону, доступную киберпреступникам. Чтобы оптимизировать безопасность и снизить киберриски, организациям необходимо отказаться от паролей. Им необходимо внедрить более интеллектуальные меры аутентификации и верификации в свои технологические экосистемы, чтобы защитить себя и своих пользователей от мошенничества, одновременно обеспечивая лёгкое выявление потенциальных угроз», — сказал Дэвид Хоуп.

Беспарольная аутентификация и другие решения для защиты от угроз на основе искусственного интеллекта создают более точные меры безопасности для защиты цифровых идентификационных данных. Благодаря этому подходу организации в Сингапуре могут эффективнее справляться с растущим числом атак, улучшать пользовательский опыт, сокращать операционную неэффективность и экономить на регулярной смене паролей.

«Поскольку Сингапур продолжает лидировать в области цифровизации в регионе, потребность в безопасном доступе и авторизованной аутентификации будет продолжать расти, и организациям следует сосредоточиться на совершенствовании своих систем уже сегодня, чтобы обеспечить будущее конкурентное преимущество и защитить своих пользователей», — добавил г-н Дэвид Хоуп.

Что означает аутентификация без пароля?

Беспарольная аутентификация сегодня считается лучшим методом подтверждения личности пользователя без использования паролей. Вместо этого беспарольные методы используют более безопасные альтернативы, такие как биометрия.

Для работы аутентификации данные (обычно биометрический отпечаток пальца или распознавание лица) должны совпадать с данными, хранящимися в базе данных. Если биометрические данные недоступны, можно использовать пароль или многофакторную аутентификацию с помощью персонального устройства.

Некоторые поставщики финансовых услуг внедрили многофакторную аутентификацию на персональных устройствах, при которой личность пользователя подтверждается с помощью сканирования отпечатков пальцев или сетчатки глаза на мобильном устройстве.

Для решения этой проблемы был создан альянс FIDO (Fast IDentity Online), призванный продвигать открытые стандарты аутентификации и сокращать использование паролей. FIDO2 — это новейший стандарт, включающий стандарт веб-аутентификации WebAuthn. FIDO позволяет пользователям и организациям использовать базу данных для входа в ресурсы без необходимости использования имён пользователей, паролей или ключей приложений, встроенных в устройство.

Проблемы перехода на беспарольный режим

Переход на беспарольный режим сопряжен с рядом сложностей, которые необходимо решить для успешного внедрения. Наиболее важными из них являются адаптация и привычки пользователей. Как уже упоминалось выше, переход от паролей к беспарольному режиму может вызывать затруднения у некоторых пользователей, особенно у представителей старшего поколения, привыкших использовать пароли для входа в приложения.

Внедрение новых методов аутентификации может потребовать изменения мышления пользователей для их широкого распространения. Кроме того, внедрение беспарольных решений часто требует значительных изменений в существующих системах и инфраструктуре. При интеграции с устаревшими системами, разработанными для работы с паролями, могут возникнуть проблемы совместимости, что может препятствовать внедрению беспарольных методов.

Методы аутентификации без пароля также должны обеспечивать удобство использования, обеспечивая при этом доступность для пользователей с ограниченными возможностями. Обеспечение баланса между требованиями безопасности, простотой использования и удовлетворением разнообразных потребностей пользователей может быть непростой задачей.

Ещё одной проблемой станет процесс восстановления и управления учётными записями, который будет совершенно иным. Вместо простого сброса паролей организациям потребуется разработать альтернативные механизмы, позволяющие пользователям восстановить доступ к своим учётным записям в случае утери устройства, изменения биометрических данных или других событий.

Может ли Сингапур стать страной без паролей?

С учетом существующей инфраструктуры страны внедрение беспарольных систем было бы сложной задачей. Однако благодаря синхронному подключению и быстрому развитию цифровых технологий, внедрение решений, позволяющих стать страной без паролей, безусловно, может стать реальностью в будущем в Сингапуре.

Вопрос только в том, готова ли общественность к таким изменениям. Хотя некоторые формы беспарольной аутентификации уже получили широкое распространение, может пройти некоторое время, прежде чем этот новый подход получит широкое признание.