Пароль второго плана: зачем сервисы внедряют вход в аккаунты по QR-кодам
Интернет-сервисы запускают новые способы авторизации пользователей, которые в перспективе смогут заменить стандартные пароли. Вход в аккаунты по QR-коду уже внедрили «Яндекс», Google и Сбербанк, с 4 марта такую возможность предложит Почта Mail.ru, а Тинькофф Банк планирует сделать это в ближайшее время. Эксперты утверждают, что по-настоящему аккаунты от взлома защищает только двухфакторная авторизация пользователя.
Код быстрого реагирования
Ненадежность классической системы логин-пароль для авторизации пользователей стали отмечать многие компании, они начинают запускать на своих сервисах альтернативные способы идентификации.
С 4 марта пользователи почты Mail.ru (около 100 млн активных аккаунтов из России и стран СНГ) и других сервисов портала смогут войти на веб-страницу по QR-коду, рассказали «Известиям» в компании. Для этого необходимо отсканировать QR-код, появившийся в браузере, и подтвердить операцию в мобильном приложении. При входе в аккаунт сервис будет генерировать уникальную комбинацию, которую, в отличие от пароля, не получится использовать еще раз на другом устройстве, пояснили в компании.
Пользователи зачастую выбирают один и тот же пароль для разных сервисов или используют небезопасные, простые для запоминания комбинации символов, это облегчает злоумышленникам взлом почтового ящика, отметили в Mail.ru.
Согласно экспертным оценкам, в 81% случаев третьи лица получают доступ к чужому аккаунту с использованием украденного или ненадежного пароля, подчеркнули в компании.
В середине прошлого года почта Mail.ru ввела вход в аккаунт по одноразовому коду из SMS-сообщений или push-уведомлений. Осенью 2019-го в веб-версию была добавлена возможность открытия страницы по отпечатку пальца и с помощью внешних устройств: USB, Bluetooth- и NFC-ключей. В перспективе компания намерена полностью отказаться от паролей.
Схожие технологии внедряют и другие крупные компании.
Так, у «Яндекса» вход во все сервисы осуществляется с помощью единого интерфейса. Авторизацию с помощью QR-кода компания ввела почти год назад. В «Яндексе» говорят, что доля пользователей, выбирающих этот способ для входа, растет каждый месяц с момента запуска.
— Авторизация с помощью логина и пароля в аккаунте сейчас является основным способом входа в сервис и останется таким еще долго, так как он привычен для пользователей. Но мы добавляем новые надежные способы, — отметили в компании.
В пресс-службе Google сказали, что в почту Gmail также можно войти с помощью QR-кода — это часть двухэтапной аутентификации, которая помогает более надежно защитить аккаунт. Пользователи в этом случае могут выбирать различные уведомления — QR-код, SMS на телефон, пароль приложений, резервные коды, в случае если смартфон утерян, а также дополнительный номер телефона, пояснили в компании.
Широкий круг
Распространяется система авторизации по QR-коду и в банках. Так, Сбербанк внедрил ее для входа в свои и партнерские онлайн-сервисы еще в прошлом году, а вход в Сбербанк ID через сайт может быть выполнен с помощью push-уведомления. В кредитной организации отмечают, что большинство пользователей предпочитает по-прежнему использовать логин и пароль.
При этом пароли должны быть достаточно сложными: обязательно наличие цифр, использование регистров, комбинации нужно периодически обновлять и в целях безопасности — не записывать. Несмотря на такие меры, логин и пароль злоумышленники могут перехватить или считать с клавиш в общественных местах, пояснили в кредитной организации.
— Пароли имеют ряд недостатков, поэтому банк постепенно переходит к более удобным и безопасным методам двухфакторной аутентификации, — пояснили «Известиям» в пресс-службе Сбера.
Клиенты банка Тинькофф заходят в личный кабинет на сайте с помощью логина и пароля — этот способ авторизации привычен для большинства пользователей, сказал «Известиям» руководитель отдела развития интернет-платформы Тинькофф Максим Кирилычев. Но банк изучает альтернативные механизмы, в том числе и авторизацию по QR-коду, которая будет запущена в ближайшее время, добавил он.
Пользователям Rambler, помимо традиционного ввода логина и пароля, доступны и другие способы аутентификации, сказал «Известиям» технический директор портала Павел Петлинский. Среди них — единые профили Rambler ID и Сбербанк ID, авторизация пользователей через аккаунты в социальных сетях и на других ресурсах.
При этом в Rambler Group считают сканирование отпечатка пальца на смартфоне или ноутбуке наиболее безопасным способом авторизации, развивая его как приоритетный.
Определили риски
Будет ли пароль надежной защитой аккаунта, зависит прежде всего от действий самого пользователя, считают в «Яндексе». Он должен соблюдать несколько правил, чтобы данные были защищены. Например, использовать пароль, который сложно подобрать стороннему человеку, а также периодически его менять. Кроме того, необходимо выходить из аккаунта, если пользователь открыл его на чужом компьютере, и не применять один и тот же шифр на разных сервисах.
По словам ведущего специалиста лаборатории компьютерной криминалистики Group-IB Артема Артемова, QR-код тоже можно подделать, если телефон заражен вирусом.
Специфические риски QR-кодов, по словам эксперта, связаны с тем, что их невозможно отличить друг от друга невооруженным глазом, пользователю сложно проверить их подлинность, поэтому часто за такими шифрами могут скрываться ссылки на вредоносные ресурсы.
Артем Артемов считает, что по-настоящему безопасна только двухфакторная авторизация, причем не так важно, какой способ в качестве второго фактора будет выбран — push-уведомления, SMS-сообщения или QR-код, ведь все они генерируют одноразовый шифр.