/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fc133a20c9e679bf9c861a16c799095f1.jpg)
Чому сучасні паролі не можуть захистити ваші дані
Цього року паролям виповнюється 65 років. Вони стали частиною життя користувачів комп’ютерів у 1961 році, з появою системи Compatible Time-Sharing System (CTSS) від MIT. До цього системні адміністратори були справжніми системними адміністраторами. Всі завдання проходили через них, по одному, а доступ інших був заборонений законами, викарбуваними на кам’яних табличках.
Багато хто, переважно системні адміністратори, вважають введення прямого доступу користувачів огидним явищем, яке принесло хаос і лихо. Можливо, вони мають рацію. Проте зараз ми застрягли в цьому безбожному світі. Паролі досягли пенсійного віку, але не виявляють жодних ознак того, що зникнуть, добровільно чи примусово. На жаль, вони все гірше виконують свою роботу.
Тільки за останні два тижні з’явилися три нові проблеми з безпекою паролів. Занадто розумні компілятори можуть оптимізувати захист від атак на паролі, заснованих на часі, менеджери паролів, які повинні бути архітектурно невразливими для компрометації, все-таки не є досконалими, а якщо ви попросите штучний інтелект згенерувати надійний пароль, ви можете отримати щось, що виглядає правильно, але насправді таким не є. Ви можете не просити LLM про пароль, але якщо ваш менеджер паролів пропонує його, як він генерується?
Це не єдина проблема з менеджерами паролів. Більшість людей використовують ті, що надаються Apple і Google. Обидві компанії є американськими і можуть позбавити вас доступу до своїх послуг, якщо ви дратуєте не ту людину. Цифрова суверенність означає, що всі ваші паролі ніколи не зникнуть, а ви її не маєте.
Щоб бути справедливими до наших застарілих систем безпеки, ніщо з цього не є властивим паролям. Правильно визначена та впроваджена система паролів, яка використовується належним чином освіченими та мотивованими людьми, є настільки безпечною, наскільки це можливо. Ви бачите проблему.
Звичайно, ситуація погіршується. Вся ідея агентного ШІ базується на припущенні, що ваші агенти потребують ваших прав доступу, щоб діяти від вашого імені. Оскільки не існує загальноприйнятих в галузі найкращих практик, вбудованих принципів управління чи будь-чого іншого, це означає, що ви повинні надати агентам ШІ свої паролі — те, чого ви б ніколи не зробили в здоровому і благочестивому світі. Натомість ми щойно побачили, як агентні ШІ-віб-кодовані полікули, такі як OpenClaw, з’явилися на світ, щоб полегшити глобальну оргію обміну інформацією між роботами. Ми встигли лише вимовити першу складову слова «Що може піти не так?», як це і сталося.
Відповідь на питання, як забезпечити безпеку агентного ШІ, полягає в тому, щоб не використовувати його — не кажучи вже про те, щоб оголосити свою ОС повністю агентною, Microsoft. Якщо ви хочете використовувати його, то вам краще зрозуміти і правильно впровадити ізоляцію привілеїв, сегментацію безпеки та всі інші корисні речі, які вам потрібні, коли ви ділитеся своїм цифровим середовищем з всесвітом злісних джинів.
Щодо всього іншого, хороша новина полягає в тому, що з початку 1960-х років відбувся значний прогрес у підвищенні безпеки паролів, навіть у руках людей, або в тому, що вони взагалі не потрібні. Більшість з нас використовує ці техніки кілька разів на день за допомогою локального розпізнавання відбитків пальців або обличчя на наших пристроях. Найслабший з паролів, PIN-код, цілком достатній, якщо його підкріплюють блокуванням після трьох невдалих спроб або обмеженням швидкості.
Дотепер їх впровадження та доступність були настільки хорошими, що більшість користувачів можуть надійно ними користуватися, головним чином тому, що їх досить важко зіпсувати. Однак розширення їх на онлайн-сервіси — це інша справа, як і управління безпекою сервісів на декількох пристроях. Двофакторна автентифікація та ключі доступу в принципі є хорошими, але на практиці — набагато гіршими.
Візьмемо двофакторну автентифікацію. Існує безліч варіантів, таких як SMS або програми-аутентифікатори, біометричні дані пристрою або фізичні ключі безпеки, але всі вони мають різні проблеми, пов’язані із соціальною інженерією, втратою пристрою або облікового запису, або нестабільною сумісністю. Навіть доступність не гарантована там, де ви могли б цього очікувати. Ваш новий Mac mini може мати процесор неперевершеної потужності, але Apple забула про датчик відбитків пальців. Це складний ландшафт для наївного користувача.
Паролі, в їхньому нинішньому вигляді, є гіршим варіантом. Не тому, що технологія, на якій вони базуються, є недосконалою, а тому, що їх важко пояснити, їх легко неправильно зрозуміти, і вони зазвичай пропонують опції, які можуть заплутати не тільки наївних користувачів. Вони є каналом для перевірки автентичності між сервісом і пристроєм, який базується на попередньо узгоджених криптографічно підписаних токенах. Їх неможливо вкрасти або продублювати, і вони є суто системою для одного пристрою. Це можна пояснити будь-кому, хоча, ймовірно, різними словами, і переваги стають очевидними. Використовуйте ключі доступу, і вам не потрібні будуть паролі, а ви будете в більшій безпеці.
Що ж тоді означає, коли система пропонує зберігати пароль у хмарному менеджері паролів? Що робити, якщо, як зазвичай, система пропонує вам вибір пароля, а деякі з них не працюють? Що робити, якщо сервіс взагалі не використовує паролі?
Коли все працює, це неперевершено. Зайдіть на онлайн-сервіс, система заповнює ваше ім’я користувача, торкніться датчика відбитків пальців, і ви всередині. Досягти того етапу, коли так багато процесів, термінології та опцій не стандартизовані, не є стандартом, і придушити страх, що якщо щось піде не так, ви будете заблоковані, важко навіть для тих, хто аутентифікується з часів CTSS.
Як і багато інших проблем безпеки, це рішення, яке потрібно виправити. Потрібне спільне повідомлення для всієї галузі, стандартизований користувацький досвід та зобов’язання щодо навчання клієнтів. Але галузь — виробники платформ, постачальники послуг, розробники додатків — настільки засліплена власним успіхом, що повністю підкорена синдрому Apple Lightning. Немає більшого гріха, ніж добровільно погодитися на загальний стандарт тільки тому, що він робить все кращим.
Ну, що ж, важко. Паролі зламані, краща технологія безглуздо заплутується, і замість того, щоб витратити місяць на те, щоб сидіти в кімнаті і виправити це, всі одержимі експериментальним штучним інтелектом, який для безпеки є тим самим, що антивакцинація для здорових дітей. Паролі — не єдина ідея, яку потрібно відправити на пенсію.