Хоть пальцы резать. В чем проблема нового метода авторизации Mail.ru

Пароль не прокатит

Почта от Mail.ru собирается полностью убрать пароли из сервиса. Уже сейчас разработчики добавили способ, при котором идентификация пользователя происходит через SMS-сообщения или push-уведомления. В компании отметили, что такой метод авторизации повышает безопасность, так как сгенерированный по каждому запросу пароль невозможно угадать или подобрать. Кроме того, нельзя использовать и подсмотренный пароль, так как ключ действует в течение короткого времени и только для одной авторизации.

Ввод секретного слова заменят либо физические устройства, либо биометрические данные — отпечатки пальцев или face ID. По мнению разработчиков Mail.ru, пароль — небезопасный метод сохранения аккаунта. По крайней мере, таковы результаты их исследования: в 81% случаев взлом ящика произошел из-за ненадежного или украденного ключевого слова.

При этом все еще остается вопрос: будет ли удобен новый метод для пользователей?

Право выбора

Эксперт в области информационной безопасности, профессор кафедры юриспруденции, интеллектуальной собственности и судебной экспертизы МГТУ имени Баумана Виталий Вехов в беседе с «360» объяснил, что в нововведении Mail.ru есть как положительная, так и отрицательная сторона. С позиции информационной безопасности, по мнению Вехова, недостатков нет, но неудобства для пользователей есть.

Вехов подчеркнул, что неудобство создастся для тех пользователей, кто снимает квартиры либо «использует сервисы провайдера, которые в настоящий момент не персонифицированы».

Предтеча ужасов биометрии

Хакер Александр Варской в разговоре с «360» хоть и посчитал идею Mail.ru положительной, но отметил, что определенные недостатки в новой системе есть. Например, что делать людям без смартфонов?

Хакер отметил, что из-за системы Mail.ru теперь всегда придется носить с собой «кирпич»-смартфон, чтобы просто проверить свою почту.

Варской поделился, что любая большая компания, у которой пользовательская база содержит от 10 миллионов человек, в том числе Mail.ru, находится в положении «почти цугцвангов».

«Если вы храните пользовательскую базу начиная от 10, 20, 100 миллионов человек, вы не можете обеспечить им две вещи: безопасность — это 100%. Вы можете обеспечить комфорт, чтобы они вас не заставляли выбирать сложные пароли. Второе: есть еще утечки данных, которые происходят с Mail.ru постоянно. Базу Twitter вы вообще можете скачать прямо из Google. LinkedIn — то же самое», — объяснил Варской.

Специалист отметил, что «нормальные компании» хранят пароли в базах в зашифрованном виде, поэтому, если их удалось украсть, то хакеру сначала потребуется расшифровывать их. Но большие фирмы такого себе позвонить не могут, потому что в момент авторизации многих сотен миллионов пользователей их «серверные мощности должны обработать обратный процесс дешифровки».

Поэтому Варского удивляет вопросительная реакция экспертов по безопасности, дескать, «почему произошла такая утечка?» Дело в том, что большие компании не могут хранить пароли зашифрованными, так как это очень накладно.

Реализация и перехват

Генеральный директор компании Reactive Phone Иван Семенов в беседе с «360» отметил, что не видит серьезных проблем в нововведении Mail.ru, однако указал, что каверзные моменты все-таки присутствуют. Во-первых, важно, как Mail.ru реализует задумку.

Семенов привел в пример мессенджеры, где авторизация происходит через SMS. «Очень много было историй, [когда] SMS перехватывалось, потому что оно все-таки идет по незащищенным каналам, и просто аккаунт переходил к другому лицу», — напомнил Семенов.