Digital Age: Passkeys -технологията, която обещава да изпрати дузините досадни пароли в миналото

Признайте си: Използвали ли сте някога „123456“ или „qwerty123“ като парола? Предвид предизвикателствата на жонглирането с десетки или стотици онлайн акаунти е лесно да изберете прости (но слаби) пароли. Въз основа на нов доклад на компанията зад мениджъра на пароли NordPass хората все още правят точно така  - а това е просто рецепта за неприятности.

За шеста поредна година NordPass състави списък с 200-те най-популярни пароли за лична и служебна употреба. Работейки с компанията за управление на заплахи NordStellar, NordPass прегледа и анализира 2,5TB база данни с пароли от 44 държави по цял свят, включително такива, намерени в тъмната мрежа. Познайте какъв е главният извод? Паролите все още са много несериозно формулирани.

„След като анализирахме данни за шест години, можем да кажем, че няма голямо подобрение в навиците на хората за избор на пароли“, се казва в доклада на NordPass. „Така че, въпреки усилията на много организации да разпространяват осведоменост, проблемът все още е толкова разпространен, колкото и преди.“

Сред най-лошите варианти „123456“ получи главната анти-награда. Тази парола, открита в над 3 милиона случая, ще отнеме на киберзлодея по-малко от секунда, за да я разбие. Подобни лесни "победители" (или губещи, ако трябва да сме критични) са „123456789“, „12345678“, „password“ и „qwerty123“. Общо тези четири пароли са били използвани от над 3,8 милиона души.

Първата десетка се допълва от „qwerty1“, „111111“, „12345“, „secret“ и „123123“. Всички те са използвани от милиони хора и могат да бъдат разбити за по-малко от секунда.

Новините не са много по-добри за потребителите в професионална среда. Сред намерените пароли за корпоративни акаунти „123456“ отново е начело на списъка като е използвана в повече от 1,2 милиона случая. „123456789“, „12345678“, „secret“ и „password“ също съставляват останалата част от челната петица тук.

„Ако разгледате 10-те най-често срещани лични пароли и ги сравните с корпоративния списък, ще забележите, че те са почти идентични“, се казва в доклада на NordPass.

Личните и корпоративните пароли, анализирани от NordPass, са били откраднати от зловреден софтуер или разкрити при нарушения на сигурността на данните. В повечето случаи заедно с паролите са изтекли и имейл адресите, което помага на NordPass да определи кои от тях са за лична употреба и кои - за служебна.

Списъкът изглежда малко по-различно, когато се разглеждат само пароли за акаунти в САЩ, въпреки че все още има много припокривания. Докато в глобалния списък преобладават паролите, базирани на цифри, вероятно защото те се използват на различни езици, в класацията на 2024 г. за 10-те най-популярни пароли в САЩ има повече варианти на английски език.

Разбира се, където и по света да се използват, слабите и разбиваеми пароли могат лесно да доведат до компрометиране на акаунти, кражба на самоличност и други опасности. И така, как да се защитим по-добре?

Ето няколко съвета как да създадете по-надеждни пароли

1. Изберете по-дълги пароли

Вашата парола трябва да е поне 20 знака и да включва комбинация от главни и малки букви, цифри и специални символи. Избягвайте да включвате рождени дни, имена или често срещани думи.

2. Никога не използвайте повторно пароли

Не използвайте една и съща парола за няколко сайта или акаунта. Ако една услуга бъде засегната от хакерска атака или изтичане на данните, всички други услуги, които използвате със същата парола, могат да бъдат изложени на риск.

3. Прегледайте паролите си

Редовно преглеждайте състава на паролите си. Потърсете стари, слаби или многократно използвани пароли и ги направете по-сложни.

4. Използвайте мениджър на пароли

Тъй като създаването и припомнянето на дълги пароли със сложни символи може да ви се стори невъзможно самостоятелно, помислете за мениджър на пароли. Те измислят, съхраняват и прилагат пароли за вашите онлайн акаунти.

Само се уверете, че сте създали силна и сложна главна парола за допълнителна защита. Ако всичко е наред, главната парола ще бъде единствената, която ще трябва да помните.

5. Започнете да използвате ключове за достъп (passkeys)

Проектирани да заменят традиционните пароли, т.нар. passkeys все още се използват ограничено, но набират популярност, особено сред големите компании и уебсайтове. Много по-силни и сигурни от паролите, те могат автоматично да ви впишат в уебсайтове и приложения, като използват разпознаване на лица или пръстови отпечатъци или физически ключ за сигурност.

Keys. Passkeys

Начинът, по който използваме паролите, е компроментиран от дълго време, но това най-накрая се променя. През изминалата година стана възможно да се откажем от паролата и вместо нея да използваме тези нови ключове. Това са генерирани кодове, създадени с помощта на криптография с публичен ключ, които се съхраняват на вашето устройство или в мениджъра на пароли и ви позволяват да влизате в уебсайтове и приложения с помощта на пръстов отпечатък, лицево разпознаване или ПИН код. Според създателите на технологията те не могат да бъдат отгатнати, изтекли или откраднати и спират фишинг атаките. Широко разпространено е мнението, че са по-сигурни от паролите.

Технологични гиганти като Google, Apple, Microsoft, Amazon, GitHub, PayPal, Националната здравна служба на Обединеното кралство, еротичната платформа OnlyFans, гейминг лидерът Nintendo и повече от 100 уебсайта започнаха да поддържат passkeys. В момента над 8 милиарда онлайн акаунта могат да си създадат ключове за достъп, твърди FIDO Alliance - индустриален орган, който е разработил технологията зад ключа за достъп през последното десетилетие.

Какво всъщност се крие зад нея?

Най-просто казано, когато създавате ключ за достъп, уебсайтът или приложението, което използвате, генерира две части от кода. Единият се съхранява от уебсайта или приложението, а другият се запазва на вашето устройство. Когато влезете в системата, доказвате, че сте вие чрез сканиране на лицето, пръстов отпечатък, ПИН код или по друг начин, по който обикновено отключвате устройството си, и двете части на запазения код комуникират помежду си. Това означава, че създаването на идентификационен ключ като потребител е сравнително лесно. Всичко, което трябва да направите, е да посетите настройките за сигурност на профила си и да преминете през опциите за създаване и запазване на passskey. В повечето случаи това са само няколко кликвания.

Влизането в акаунт в платформа като Coinbase е идеалният пример за това как могат да работят passskeys. Влизането в приложението за търговия с криптовалути сега отнема само секунди. Отваряйки приложението за iPhone, може да докоснете опцията за влизане с passskey, която се намира наред с избора да въведете имейл адреса си или да влезете със съществуващ акаунт в Apple или Google. Когато изберете опцията за passskey се появява изскачащ прозорец, който пита дали искате да използвате Face ID, за да влезете и казва, че ще използва passskey, запазен във вашия iCloud профил. Следва бързо сканиране на лицето и вече сте в системата. Без парола, без потребителско име - под 20 секунди за влизане.

Разбира се, не всичко е толкова просто

Понякога е възможно лаптопът или настолният ви компютър да не работят с операционна система, която поддържа тези ключове. Друг път конкретно приложение (например разплащателното PayPal) може да блокира и да не завърши процеса. Ако пък сте използвали вашия работен Google акаунт, за да създадете профил в TikTok, няма как да го ползвате пак за нов ключ. Някои мениджъри на пароли като Bitwarden пък не поддържат ключове за достъп в мобилната си версия.

Използването на ключове за достъп вероятно означава различен начин на мислене от този, по който мислите за паролите. Няма какво да помните, когато влизате в системата, и трябва да използвате нещо друго, за да съхранявате паролите си. Генерираните ключове могат да се съхраняват в системите за управление на пароли на Apple, Google или Microsoft; в браузъра ви; в специализиран мениджър на пароли; или на физически ключ за сигурност. Възможността за запазване на ключове за достъп на всяко устройство ги прави по-полезни и означава, че не сте привързани към екосистемите на Google, Microsoft или Apple.

Възможно е все още да не сте създали такива ключове за достъп, но това е само въпрос на време. Технологичните компании започват да въвеждат ключовете по подразбиране и все повече предприятия ги използват. През последните няколко седмици социалната мрежа X започна да позволява на някои хора да използват passkeys, а WhatsApp ги въвежда за iPhone и iPad, след като преди това пусна поддръжка на passkeys за устройства с Android.

Passkey технологията тепърва ще се развива и ще става по-ефективна. Засега стандартите са на едно ниво, докато потребителските очаквания са на друго. В резултат на това паролите ще продължат да съществуват още известно време. Ще мине много време, докато средният потребител трансформира дузините акаунти, които ползва, за достъп с такива ключове.

На този етап рasskeys означава да имаш по-малко пароли, но не непременно да нямаш пароли. Експертите препоръчват да настроите няколко ключа за достъп, когато се натъкнете на опция за тях в онлайн акаунтите си, вместо да се опитвате да промените всички наведнъж.

Съществуват ръководства за това кои уебсайтове вече използват пароли, а Google, Microsoft и Apple имат ясни обяснения за това как да създадете пароли. И има много предимства да започнете сега - те са истински заместител на паролата, който елиминира заплахата от фишинг, елиминира неудобството от нулиране на паролата и елиминира отговорността, която доставчиците на услуги носят, когато управляват хиляди, десетки хиляди, десетки милиони или милиарди пароли. Това наистина е изцяло нов начин за удостоверяване на потребителите при достъп.