14.03.2013

Последние мировые тренды в ИБ: смерть классики

Информационные технологии и интернет продолжают захватывать все новые сферы нашей жизни, и в облака перетекает все больше достаточно интимных сведений о работе, финансовом положении, частной жизни и здоровье людей. Большинство пользователей еще относятся к защите своих секретов наплевательски, но только пока сами не попадают в переделку. А случись беда, ищут «крайнего», а им оказывается провайдер. Конечно, юридически он чист, но репутация его страдает, что создает риск оттока абонентов.

За последние два-три года риски взлома или хищения важной конфиденциальной информации из публичных облаков ощутимо выросли, ведь концентрация таких данных у провайдеров-гигантов резко увеличилась, а технология аутентификации остается на допотопном уровне, когда злоумышленнику противостоит лишь обычная пара логин-пароль, недостатки которой в корпоративном мире давно признаны. Видимо, это стало сильно тревожить ведущих провайдеров, возглавляющих облачную революции. Так сильно, что в последнее время они запустили совершенно новый тренд, связанный с переносом механизмов аутентификации из корпоративного сектора в мир конечного потребителя как физического лица.

Застрельщиком стала Google. В одном из недавно опубликованных отчетов Эрик Гроссе (Eric Grosse), вице-президент Google по безопасности, заметил, что «...современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности». После чего началось тестирование во всех сервисах Google системы двухфакторной аутентификации на базе USB-токенов от компании Yubico. Вскоре все изъявившие желание пользователи смогут входить в свои учетные записи сервисов Google не по привычному логину/паролю, а с помощью предъявления USB-токена и ПИН-кода к нему. Правда, в конце февраля 2013 была-таки найдена брешь, позволяющая обойти систему двухфакторной аутентификации в Google. Но мало кто сомневается, что это временная проблема, и новая система аутентификации будет доведена до ума.

Идея Google вызвала неподдельный интерес ИТ- и ИБ-сообщества. К примеру, в начале 2013 года президент PayPal Дэвид Маркус (David Marcus) заявил: «Мы хотим отказаться от паролей и использовать встроенные в мобильные телефоны сканеры отпечатков пальцев».

Более того, несколько влиятельных компаний, среди которых Lenovo, PayPal, Validity, Infineon и др., выступили инициаторами создания специализированного сообщества FIDO (The Fast Identity Online Alliance), призванного разработать общий стандарт, базирующийся на двухфакторной аутентификации. Forget Passwords! - так звучит слоган сообщества.

Без всякого преувеличения, решение Google стало беспрецедентным шагом, открывшим эру применения высоконадежной аутентификации массовыми интернет-сервисами. В случае успеха это позитивно повлияет на информационную безопасность не только облака Google, но и всей отрасли. Ведь все больше сторонних провайдеров при обслуживании своих пользователей принимают результаты их аутентификации в Google. Ясно, что со временем Google сможет претендовать на статус центрального сервиса аутентификации. Это нервирует других гигантов рынка, и они взялись за дело. Двухфакторная аутентификации появилась в Facebook, а в феврале о возможности ее применения объявила сеть Twitter. Не отстают и провайдеры более специализированных сервисов, например, Evernote.

Сложно пока судить, к чему приведут в будущем все эти шаги, как примет эту технологию потребитель. Но в голове уже отчетливо вырисовываются картины повсеместного применения отпечатков пальцев или различных USB-ключей для доступа в любые информационные системы... Да что уж там, можно и холодильник открывать, используя отпечаток радужной оболочки глаза. А там и квартиру, и автомобиль... Но можно быть отторгнутым сразу всей «умной» средой обитания, если инфраструктура поддержки аутентификации вдруг даст сбой. Будущее не за горами, увидим.

Александр Санин

Источники:

1. i-business