Какой пароль от компьютера в игре dustwood ulrich barrett

Обновлено: 21.11.2024

В прошлую пятницу появился новый Galaxy S5 от Samsung с неожиданной и недооцененной функцией. Как и iPhone 5S, он поставляется со сканером отпечатков пальцев, но этот считыватель подключается непосредственно к PayPal, который, в свою очередь, подключает вас к десяткам различных платежных систем. Это хитрый трюк: вместо пароля вам нужен только отпечаток пальца, который проведет вас через всю сеть. Если это приживется, скоро вам вообще не понадобится пароль.

Этот момент был тщательно спланирован

Конечно, сканер отпечатков пальцев S5 может дать сбой — судя по всему, он далек от совершенства, — но это не единственный наш шанс. Google работает над USB-брелками, которые будут входить пользователям в их учетные записи Google; они проходят внутреннее тестирование и должны быть развернуты до конца года. Microsoft не назвала деталей, но также представила «альтернативу паролям», основанную на той же спецификации.

Если Samsung не выпустит S5, она может повторить попытку в следующем году

Кажется, что все компании прибывают в одно и то же время в одно и то же время, но все как раз наоборот. Этот момент был тщательно спланирован, построен на вершине тонкого стандарта, на создание которого ушло два года. С 2012 года группа под названием FIDO Alliance работает над этим стандартом, создавая мост между аппаратными проектами, такими как сканер отпечатков пальцев Samsung, и онлайн-сервисами, к которым они подключаются. В работе помогали некоторые из самых влиятельных имен в области технологий и финансов, Google и Microsoft, а также аутсайдеры Долины, такие как Bank of America и MasterCard. Характер спецификации упрощает подключение, поэтому, если Samsung выбьет свой сканер отпечатков пальцев, он может повторить попытку в следующем году со сканером радужной оболочки глаза или токеном NFC.

Это заговор с целью взлома пароля, на реализацию которого ушли годы и миллионы долларов. И с запуском Galaxy S5, первого крупного телефона, поддерживающего спецификацию FIDO, сюжет находится в стадии реализации.

Проблема пароля на миллиард долларов

Проблемы с паролем очевидны. Система входа в систему была впервые разработана для компьютеров с разделением времени в 60-х годах и работала на мейнфреймах, занимавших целую лабораторию. Чтобы использовать компьютер, вы вводили свое имя пользователя и пароль, которые сообщали компьютеру, кто сидит за терминалом, и какие файлы сделать доступными. Кража чьего-то пароля была хороша для розыгрыша, но не более того: был только один компьютер, на котором вы могли его использовать, и не так много личной информации отображалось после того, как вы взломали его.

Правильный пароль может дать вам практически все

50 лет спустя правильный пароль может дать вам практически все. Вы можете читать электронные письма, заказывать новый телевизор или взламывать учетные записи облачных хранилищ, пока не получите доступ или не удалите все следы цифровой жизни человека. Вы можете сделать это из любой точки мира, где есть подключение к Интернету — практически из любой точки мира — и легко скрыть, откуда вы это делаете. Вы можете получить пароль от утечки данных (большинство людей по-прежнему используют один и тот же пароль в нескольких службах) или просто с помощью социальной инженерии представителя службы поддержки клиентов. Так происходит все время. Эти взломы разрушительны для человека и ежегодно обходятся компаниям в миллиарды долларов. Помогает двухфакторная аутентификация, разделяющая пароль между двумя разными системами и устройствами, но она далека от совершенства; в конце концов, это просто означает, что злоумышленникам нужно взломать два кода вместо одного. Как бы вы ни пытались это исправить, вы столкнетесь с элементарной ненадежностью пароля, лежащей в основе всего этого.

Google подписал соглашение в апреле прошлого года; Microsoft последовала за ним в декабре

Примерно в 2010 году компания PayPal решила что-то с этим сделать. Все началось с разговора между главой службы безопасности PayPal Майклом Барреттом, предпринимателем в области защиты отпечатков пальцев Рамешем Кесанупалли и Тахером Эльгамалем, отцом SSL и одним из самых известных криптографов в мире. Кесанупалли хотел новый стандарт снятия отпечатков пальцев, что-то, что позволило бы использовать его печатные ридеры без дорогостоящей базы данных. Барретту нужен был надежный и простой способ входа в систему PayPal, и Эльгамаль с его легендарным опытом в области криптографии явно был тем человеком, который его разработал. Два года спустя группа запустила FIDO Alliance, открытую группу, пытающуюся навсегда отучить компании от паролей, финансируемую компаниями, которые думали, что они выиграют. Группа была запущена в 2012 году вместе с PayPal и пятью производителями оборудования, но быстро росла. Google подписался в апреле прошлого года; Microsoft последовала их примеру в декабре.

Доказательство с нулевым разглашением

Альянс основан на простой и мощной идее. Если бы посетители входили в свои компьютеры с помощью локальных считывателей отпечатков пальцев, сайты могли бы входить в них автоматически, используя метод, называемый доказательством с нулевым разглашением.Это протокол для подтверждения успешной идентификации, такой как сканирование отпечатка пальца или радужной оболочки глаза, без раскрытия каких-либо деталей рассматриваемого отпечатка пальца или радужной оболочки глаза. (Это означает, что в сценарии Heartbleed злоумышленники не получат доступ к вашему реальному отпечатку пальца.) Используя этот протокол, одно локальное устройство может аутентифицировать вас во всей сети. В эпоху мобильного Интернета вам может даже не понадобиться новый гаджет. «У пользователей очень высокая привязанность к устройствам, и они, как правило, часто носят устройства с собой», — говорит Барретт. "Я осматриваю свой офис и вижу в пределах 5 футов от себя смартфон, два компьютера и планшет".

"Мы считаем, что в долгосрочной перспективе он должен быть встроен в ваш смартфон".

Это то, что мы видели на S5: вы используете не просто отпечаток пальца для входа в систему, а комбинацию правильного отпечатка пальца и правильного телефона. У вас всегда есть палец и телефон, так что войти в систему не проблема, но эта комбинация значительно усложняет взлом системы безопасности. Любой из них может быть обманут по отдельности (ваш телефон может быть украден, ваш отпечаток пальца может быть скопирован), но обман обоих одновременно будет невероятно сложным.

А при использовании доказательства с нулевым разглашением эту аутентификацию можно передать любой службе, в которую вы хотите войти, будь то с помощью удаленного кода или чего-то более прямого, например NFC. Это направление мышления также укоренилось в Google. Маянк Упадхьяй, сотрудник Google, отвечающий за аутентификацию компании, считает брелок лишь первым шагом на пути к тому времени, когда каждый вход в систему будет происходить с мобильного устройства. "Мы считаем, что в долгосрочной перспективе он должен быть встроен в то, что вы уже носите с собой, то есть в ваш смартфон".

Проблема Touch ID

Apple по-прежнему может быть серьезной проблемой для FIDO

Несмотря на то, что у FIDO есть влиятельные сторонники, одно имя заметно отсутствует: Apple. Touch ID в iPhone 5S по-прежнему остается самым удобным мобильным сканером отпечатков пальцев, который мы когда-либо видели, и он держится на расстоянии от FIDO. Компания AuthenTec, стоящая за аппаратным обеспечением, вышла из консорциума, как только она была приобретена Apple, и с тех пор Apple и FIDO разрабатывали свои технологии отдельно. В то время как FIDO оставила свою спецификацию открытой, Apple выбрала противоположный подход, закрыв Touch ID даже от разработчиков iOS. Текущая версия Touch ID может использоваться только для разблокировки телефона и входа в iTunes, и непонятно, как и когда он будет открываться дальше. Это огороженный сад, и, учитывая всю мощь iPhone, он может стать серьезным препятствием для планов FIDO.

"Как вода, они текут вниз по склону."

Но даже если FIDO проиграет битву за отпечатки пальцев, она все равно может выиграть более масштабную войну аутентификации. Открытый стандарт упрощает подключение к FIDO, поэтому, если Samsung решит перейти от сканера отпечатков пальцев, совместимого с FIDO, к сканеру радужной оболочки глаза, совместимому с FIDO, это будет так же просто, как заменить аппаратное обеспечение. Что касается обслуживания, PayPal никогда не должен знать разницу. В то время как iPhone будет привязан к сканированию отпечатков пальцев для следующих нескольких поколений, остальная часть отрасли может использовать все, что работает. На данный момент это означает сканеры глаз и USB-накопители, но это также означает освобождение места для еще не изобретенных технологий, таких как сканирование ДНК или маркеры биоритмов. Пока стандарт открыт, он может вместить что угодно.

Они все еще могут ошибаться. Системы идентификации нового поколения могут провалиться, что приведет к массовому отступлению и еще 15 годам дырявых логинов. Потребители могут счесть отпечатки пальцев и сканирование глаз жуткими или отвергнуть идею о том, что они не могут войти в систему с компьютера друга. Как и большинство амбициозных планов, это ставка, и есть десятки причин, по которым она может не сработать.

В конце концов, Барретт делает ставку на то, что отказаться от новых систем будет слишком просто. Что такое отпечаток пальца или USB-ключ по сравнению с 30 паролями? Кто может отказаться от более простого входа в систему? FIDO может хотеть чего-то более безопасного, но клиенты хотят простоты. «Как вода, они текут вниз по склону», — говорит он. «Они текут к точке наименьшего трения».

Читайте также: