Аутентификация эволюционирует в сторону удобства

Сегодня рынок онлайн-аутентификации представляет собой довольно печальную картину. Печальной она является, прежде всего, потому, что большинство людей живут с укоренившейся в мозгах парадигмой: «безопасность должна быть сложной». У них и в мыслях нет, что решения в области информационной безопасности могут быть удобны в использовании. «Число краж данных пользователей, взломов аккаунтов и незаконных списаний средств с банковских карт растет. Поэтому рекомендую, как минимум, переходить на менеджеры паролей с шифрованием данных. Кроме того, стоит использовать для входа двухфакторную аутентификацию на тех площадках, которые предусматривают такую возможность, и установить антивирусное ПО с функцией антифишинга как на стационарные компьютеры, так и мобильные Android-устройства», – рекомендует перечень мер Алексей Оськин, руководитель по техническому маркетингу ESET Russia.

Для этого есть вполне понятные исторические причины. Людей минимум 20 лет приучали к тому, что они должны везде пользоваться паролями и/или кодами из SMS. Ничего удивительного нет в том, что, когда им вдруг говорят, что, сегодня они могут вводить логин и пароль на любом сайте, просто нажав одну кнопку на телефоне, они к этому элементарно не готовы. Происходит разрыв шаблона. Им «комфортней» пользоваться привычным сложным паролем. Хотя, по сути, это то же самое, что сказать, что удобнее мыть посуду или стирать белье руками, когда рядом стоит посудомоечная или стиральная машина.

Но, как известно, как бы прогресс ни стучался в двери, как бы ни кричали о нем радио с телевизором, до тех пор, пока человек сам внутренне не будет готов к каким-то переменам в своей жизни, пытаться заставить его изменить привычную манеру поведения бессмысленно. Он должен это сделать сам. Поэтому имеет смысл посмотреть более внимательно на то, какая модель поведения преобладает на рынке.

Базовая модель защиты

Самая распространенная практика для обеспечения информационной безопасности при онлайн-аутентификации на сегодня – это использование паролей. Это довольно древняя практика, прижившаяся среди пользователей более двух десятков лет назад. Сегодня, когда каждое новое устройство устаревает на следующий день после покупки, когда новая экономика и быстро меняющийся сценарий глобального развития сокращают цикл жизни продуктов и услуг и одним из основных лозунгов становится «Если ты разбираешься в технологии, значит, она уже устарела», 20 лет – это действительно огромный срок.

Учитывая уже сформировавшуюся тенденцию упрощения интерфейсов большинства известных технологий – «чтобы поняла любая домохозяйка», – кажется немного странным, что до сих пор пользователи не переключились на что-то более простое и удобное, чем «привычная» система с паролями. Четверть века назад альтернативы паролям просто не было, они являлись единственным способом удаленной аутентификации. Тогда технологии не позволяли ничего другого. Но сегодня-то на дворе 2016 год. 

Один пароль на все сайты – реалия общества

Наблюдается ровно та же ситуация, что и в конце прошлого тысячелетия: пользователи продолжают выбирать путь наименьшего сопротивления – подавляющее большинство людей используют один и тот же пароль для всех сайтов. Максимум два: один пароль – на почте, на которую завязано восстановление паролей со всех остальных сайтов, другой пароль – на все оставшиеся сайты. И все. На этом заканчивается информационная безопасность онлайн-аутентификации подавляющего большинства.

Является ли это проблемой? Для большинства нет. Вопросы начинают возникать только после того, как почту или другой важный для человека аккаунт первый раз взломают. Как быть? Что делать? «Информационное пространство воспринимается рядовым пользователем не таким опасным, как физический мир. Люди мало заботятся о защите своих персональных данных. Изменить текущую ситуацию можно либо административно-законодательными инициативами, либо выводом на рынок прорывного продукта (технологии), а не косметическими улучшениями существующих», – считает Александр Рожков, генеральный директор компании Loginbycall.

Бессмысленно надеяться на то, что это самое подавляющее большинство вдруг неожиданно завтра или даже через 5–10 лет начнет массово пользоваться такими решениями, как менеджеры паролей. Это программа, позволяющая хранить все пароли в одном месте, и это хранилище паролей защищено неким мастер-паролем, который, предполагается, должен быть сложным. Все-таки это решение, ориентированное больше на тех, кто разбирается в информационной безопасности и понимает, что иметь один-два пароля не очень хорошо.

Пользоваться менеджером паролей, конечно, лучше, чем использовать один и тот же пароль на всех сайтах. Но пойди найди тех, кто их реально использует. Да и эти люди, как правило, начинают обращаться к подобному решению только тогда, когда сталкиваются с проблемой информационной безопасности. Что же говорить обо всех остальных… «По данным нашего исследования, только 11% российских пользователей освоили менеджеры паролей. 14% хранят пароли в текстовых файлах или заметках на ПК и мобильных устройствах, а 16% – продолжают действовать по старинке, записывая аутентификационные данные (включая PIN-коды от банковских карт) на бумаге – в блокнотах, на черновиках или стикерах», – констатирует Алексей Оськин.

Подавляющее большинство об информационной безопасности просто не задумывается. Людей невозможно заставить действовать безопасно (в их же интересах!), но они, в принципе, могут и готовы начать действовать безопасно, если им преподнести эту возможность в простом и удобном для них виде.

Важно, чтобы разработчики подобных решений тем или иным способом грамотно донесли до пользователей удобство и простоту, с которой можно безопасно осуществлять онлайн-аутентификацию, например просто нажав на кнопку в телефоне. Тогда, возможно, когда-нибудь пользователи изменят свое привычное «парольное» поведение, поняв преимущества современных средств аутентификации.

Немаловажный аспект: если смарфоном завладеет злоумышленник, он не сможет навредить владельцу. Дело в том, что сутью двухфакторной защиты как раз и является необходимость доступа сразу к двум устройствам: и к телефону, и к компьютеру. На практике же получить такой доступ для злоумышленника почти невозможно. Помимо этого на мобильных устройствах обычно есть контуры защиты: пин-код, автоблокировка, иногда даже аутентификация по отпечатку пальца или голосом. Если же говорить о защите компьютеров, то в каждой компании, заботящейся об информационной безопасности, принято, чтобы сотрудники блокировали свои компьютеры, отходя от рабочего места.

Удобная безопасность как зарождающийся тренд

Возвращаясь к вопросу о том, какие технологии доступны сегодня и каких не было 20 лет назад – это, в первую очередь, смартфоны. У каждого пользователя теперь есть в кармане мини-компьютер. Сейчас при желании каждый может использовать этот девайс, например для того, чтобы подтверждать логины на сайтах.

Все дело в том, что большинство людей даже не предполагают того, что они могли бы очень сильно облегчить свою жизнь, вводя логин на всех сайтах нажатием одной кнопки на смартфоне. Им вполне достаточно помнить один пароль для всех сайтов, хотя это, объективно, небезопасно.

Таким образом решения, делающие информационную безопасность при онлайн-аутентификации удобной, сегодня на рынке есть – но на них практически нет спроса. По некоторым предположениям рынок придется «разогревать», он должен будет «зреть» до осознания необходимости в удобной безопасности. Хотя, конечно, может показаться странным, почему для удобства люди должны «созревать». Тем не менее такова реальность – сегодня люди к удобной безопасности не готовы. Можно сравнить эту ситуацию с тем временем, когда появилась цифровая фотография. Она сначала появилась – потом появился спрос. Люди не знали, что им нужна цифровая фотография. «Для качественного скачка в аутентификации надо иметь в первую очередь открытую технологию, более простую и удобную, чем существующие, и бесплатную для использования. Тратить бюджет на вывод такого продукта напрямую на пользователей мне кажется не самым лучшим вариантом, скорее нужно добиться принятия технологии участниками интернет-сообщества», – уверен Александр Рожков.

Задаваясь вопросом о том, почему люди готовы пожертвовать удобством ради информационной безопасности там, где этой же безопасности можно добиться более простым способом, можно лишь сослаться на силу привычки и на склонность людей идти по проторенной дорожке. Даже если все идут очень медленно и не совсем туда.

Также это можно объяснить и психологией людей, которые, используя привычную систему аутентификации по паролям, осознанно или бессознательно действуют по стереотипу «безопасность должна быть сложной». Чем больше кодов, паролей ты вводишь, тем безопаснее. Однако реальность такова, что пароли создают лишь видимую сложность безопасности. На самом деле они являются столь же или менее безопасными, чем современные решения, позволяющие авторизоваться на сайте, например нажатием одной кнопки смартфоне.

Можно сказать, что новые, более удобные и более безопасные технологии онлайн-аутентификации уже появились на рынке и они будут постепенно проникать в нашу жизнь, становясь привычными и само собой разумеющимися. Как это было и со многими другими технологиями и решениями, завоевание рынка и овладение сознанием пользователей – это вопрос времени и скорости смены привычек и стандартов мышления. В конечном счете, всегда будут те, кто будет продолжать использовать пароли, так же как всегда будут те, кто предпочтет пленочный фотоаппарат цифровому. Это вопрос выбора. Однако в том, что новые, более удобные технологии онлайн-аутентификации также найдут своих приверженцев, сомневаться не приходиться.