• 25 июня 2019, 17:37

    Хоть пальцы резать. В чем проблема нового метода авторизации Mail.ru

    Mail.ru планирует отказаться от паролей в почтовом сервисе. Частичной заменой уже стали SMS-сообщения и push-уведомления. Разработчики пока не принуждают создавать почту с такой проверкой, но уже добавили возможность выбора. Какие вопросы вызывает идея Mail.ru — в материале «360».
    Хоть пальцы резать. В чем проблема нового метода авторизации Mail.ru

    Пароль не прокатит

    Почта от Mail.ru собирается полностью убрать пароли из сервиса. Уже сейчас разработчики добавили способ, при котором идентификация пользователя происходит через SMS-сообщения или push-уведомления. В компании отметили, что такой метод авторизации повышает безопасность, так как сгенерированный по каждому запросу пароль невозможно угадать или подобрать. Кроме того, нельзя использовать и подсмотренный пароль, так как ключ действует в течение короткого времени и только для одной авторизации.

    Ввод секретного слова заменят либо физические устройства, либо биометрические данные — отпечатки пальцев или face ID. По мнению разработчиков Mail.ru, пароль — небезопасный метод сохранения аккаунта. По крайней мере, таковы результаты их исследования: в 81% случаев взлом ящика произошел из-за ненадежного или украденного ключевого слова.

    При этом все еще остается вопрос: будет ли удобен новый метод для пользователей?

    Право выбора

    Эксперт в области информационной безопасности, профессор кафедры юриспруденции, интеллектуальной собственности и судебной экспертизы МГТУ имени Баумана Виталий Вехов в беседе с «360» объяснил, что в нововведении Mail.ru есть как положительная, так и отрицательная сторона. С позиции информационной безопасности, по мнению Вехова, недостатков нет, но неудобства для пользователей есть.

    Здесь нужно понимать: либо мы отказываемся или частично ограничиваем себя в каком-то удобстве — и за счет этого неудобства получаем более высокую степень своей информационной безопасности, либо оставляем все как есть

    Виталий Вехов.

    Вехов подчеркнул, что неудобство создастся для тех пользователей, кто снимает квартиры либо «использует сервисы провайдера, которые в настоящий момент не персонифицированы».

    Предтеча ужасов биометрии

    Хакер Александр Варской в разговоре с «360» хоть и посчитал идею Mail.ru положительной, но отметил, что определенные недостатки в новой системе есть. Например, что делать людям без смартфонов?

    Это будет предтеча всех ужасов биометрии. Когда уже начнется биометрия, людям действительно придется друг другу пальцы резать ради этой [информации]

    Александр Варской.

    Хакер отметил, что из-за системы Mail.ru теперь всегда придется носить с собой «кирпич»-смартфон, чтобы просто проверить свою почту.

    Варской поделился, что любая большая компания, у которой пользовательская база содержит от 10 миллионов человек, в том числе Mail.ru, находится в положении «почти цугцвангов».

    «Если вы храните пользовательскую базу начиная от 10, 20, 100 миллионов человек, вы не можете обеспечить им две вещи: безопасность — это 100%. Вы можете обеспечить комфорт, чтобы они вас не заставляли выбирать сложные пароли. Второе: есть еще утечки данных, которые происходят с Mail.ru постоянно. Базу Twitter вы вообще можете скачать прямо из Google. LinkedIn — то же самое», — объяснил Варской.

    Специалист отметил, что «нормальные компании» хранят пароли в базах в зашифрованном виде, поэтому, если их удалось украсть, то хакеру сначала потребуется расшифровывать их. Но большие фирмы такого себе позвонить не могут, потому что в момент авторизации многих сотен миллионов пользователей их «серверные мощности должны обработать обратный процесс дешифровки».

    Они заложники своих масштабов

    Александр Варской.

    Поэтому Варского удивляет вопросительная реакция экспертов по безопасности, дескать, «почему произошла такая утечка?» Дело в том, что большие компании не могут хранить пароли зашифрованными, так как это очень накладно.

    Хоть пальцы резать. В чем проблема нового метода авторизации Mail.ru | Изображение 1
    Источник фото: Flickr/Book Catalog

    Реализация и перехват

    Генеральный директор компании Reactive Phone Иван Семенов в беседе с «360» отметил, что не видит серьезных проблем в нововведении Mail.ru, однако указал, что каверзные моменты все-таки присутствуют. Во-первых, важно, как Mail.ru реализует задумку.

    Семенов привел в пример мессенджеры, где авторизация происходит через SMS. «Очень много было историй, [когда] SMS перехватывалось, потому что оно все-таки идет по незащищенным каналам, и просто аккаунт переходил к другому лицу», — напомнил Семенов.

    В SMS самый большой риск — как быть, если ты номер телефона поменял

    Иван Семенов.