Злоумышленники с радостью пользуются нашими промахами. Подбирают пароли. Крадут их из компьютеров и с удаленных серверов. Пытаются применить пароли в другой системе. Разгадывают кодовые слова для резервной аутентификации. Обманывают пользователей, вынуждая тех рассекречивать данные.

Девятнадцатого марта 2016 г. Джон Подеста, руководитель предвыборной кампании Хиллари Клинтон, получил по электронной почте сообщение от подразделения иностранной разведки, известного под кодовым названием Fancy Bear. Сообщение было замаскировано под предупреждение от службы безопасности Google. Получив неправильный совет от ИТ-отдела, Подеста перешел по ссылке и ввел на фейковой странице пароль для входа в Google. Вот так иностранная разведка и получила доступ к десяти его аккаунтам.

Подеста стал жертвой фишинговой атаки. Можно было бы над ним посмеяться, но я бы выразил сочувствие. Жертве, особенно если это человек, не искушенный в технических вопросах, очень сложно распознать умело подготовленное фишинговое сообщение. Если бы Подеста отказался принимать сообщение от 19 марта, хакеры из Fancy Bear предприняли бы другую попытку. И еще одну. И так до тех пор, пока им не улыбнулась бы удача.

Фишинг может быть таргетированным или массированным. В одной из массированных фишинговых атак, выявленных в 2017 г., мошенники использовали взломанные аккаунты пользователей электронной почты, чтобы отправить их владельцам сообщения с червем, выдававшим себя за файл из приложения Google Docs. Червь собирал учетные данные, когда жертвы входили в Google, после чего рассылал сам себя по всем обнаруженным адресам. Если бы червя вовремя не обезвредили, то его жертвами, по некоторым оценкам, мог стать миллион пользователей электронной почты Gmail.

Из всех описанных случаев следует сделать вот какой вывод – пароли очень плохо обеспечивают безопасность. Они хороши для приложений, но для более серьезных вещей непригодны.

Существуют три основных пути идентификации: попросить указать нечто, что известно только вам, предъявить или представить нечто, имеющееся только у вас. Пример того, что известно только вам, – это пароль. Он подтверждает, что вы – это вы, потому что предположительно вы – один-единственный, кому он известен. Пример того, что имеется только у вас, – биометрические данные: отпечатки пальцев, сканы лица и радужной оболочки глаз, узор ладони и т. д. Например, смартфоны iPhone и Google Pixel позволяют пользователям входить в систему, используя для идентификации отпечаток пальца или скан лица. Пример того, что есть только у вас, – предметы, которые вы носите с собой и которые могут использоваться для идентификации. Раньше это были физические объекты с экраном, на котором отображался постоянно меняющийся номер, карточка или программный ключ, который вы вставляли в порт компьютера, или физический ключ для разблокировки системы. Сегодня это все чаще приложения или текстовые сообщения, присланные на смартфон.

Существует множество способов взлома всех перечисленных систем. Проверку биометрических данных можно обойти, применив фальшивые фотографии, отпечатки пальцев и т. д. Похитив телефон, злоумышленники получат доступ к приложениям и сохраненным текстовым сообщениям. В общем и целом отказ от паролей в пользу вышеуказанных способов аутентификации не сильно улучшает ситуацию.

Использование двух способов защиты (двухфакторной аутентификации) существенно повышает безопасность. И Google, и Facebook[22] предлагают применять двухфакторную аутентификацию на смартфоне (конечно, и эта система далека от совершенства – некоторые версии можно взломать). Крупнейшие американские провайдеры мобильной связи Sprint, T-Mobile, Verizon и AT&T совместно разрабатывают похожую систему. В 2017 г. компания Google предложила пользователям с высоким уровнем риска усовершенствованную программу защиты (Advanced Protection Program). Среди прочего она требует наличия устройства аутентификации, которое нужно постоянно иметь при себе. Моя сеть в Гарварде использует одну из таких систем и задействует комбинацию из пароля (нечто, что известно только мне) и смартфона (нечто, что имеется у меня).

Другой набирающий популярность вариант – раздельная (дифференцированная) аутентификация. Facebook[23] позволяет использовать простой пароль при условии, что вы заходите со своего компьютера, но требует проведения расширенной аутентификации при входе с чужого компьютера или с компьютера, вызывающего подозрения. Банк допускает обычную процедуру аутентификации при рутинных трансакциях, однако вынуждает к дополнительной аутентификации при переводе крупной суммы или средств на счет в другой стране. Ведутся исследования в области углубленной аутентификации, основанной на ваших биометрических характеристиках. Смысл в том, что система, знакомая, например, с вашей манерой печатать, выдает ошибку, если при входе в аккаунт вы начинаете вести себя не так, как обычно.