Редактор GeekTimes
840,7
рейтинг
26 апреля 2015 в 22:43

PayPal предлагает пользователям хранить логины и пароли внутри тела



Инженеры отдела инноваций в PayPal уверены, что будущее авторизации – за средствами идентификации, которые можно встроить в тело, ввести внутрь тканей или проглотить. Презентация "Убить пароли" (Kill all Passwords) демонстрирует ненадёжность и неудобство существующей системы (например, по их данным, пароли 91% людей встречаются в списке 1000 самых популярных паролей), и продвигает идеи о будущем идентификации.

Концепция логинов и паролей уже давно подвергается критике со стороны провайдеров услуг. Их обвиняют в недостаточной защищённости сервисов, а они, в свою очередь, обвиняют пользователей в недостаточной осторожности. Предпринимаются различные попытки заменить авторизацию по паролю другими методами – отпечатки пальцев и распознавание лица уже не являются экзотикой.

PayPal особенно заботится о безопасности пользователей – ведь это не просто какой-то онлайн-сервис или форум — это услуга доступа к деньгам. Поэтому компания предлагает двигать идентификацию вперёд. Не имея особенной веры во вспомогательные процедуры вроде анализа привычек пользователя, его любимого браузера и географического расположения, инженеры предлагают перейти от внешней идентификации (отпечатки, сетчатка, лицо) к внутренней – сердцебиение, рисунок вен, и даже встраиваемые в тело идентификационные метки.

Джонатан Леблан, глава разработки PayPal, рассказывает о таких идеях, как встроенный в кожу чип, который отслеживает биение сердца и передаёт данные по беспроводной сети через антенну, встроенную в татуировку. Или капсулы, меряющие уровень глюкозы или другие уникальные параметры человека, которые тот проглатывает и использует для идентификации.

Леблан не делает обещаний или предсказаний по поводу того, какие технологии в недалёком будущем будет использовать PayPal. Но компания пытается позиционировать себя как лидера в разработках новых методов идентификаций и будет пытаться внести нечто новое в этот важный процесс.
Вячеслав Голованов @SLY_G
карма
130,2
рейтинг 840,7
Редактор GeekTimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (11)

  • +2
    Поменять многосимвольный пароль очень легко, если предыдущий как-либо узнали. Как поменять сетчатку глаза или ритм сердца?
  • +2
    Этот подход тоже не без недостатков. Как ни крути такое решение будет генерировать идентификатор, который будет передаваться в качестве пароля через интернет, то есть при утечке такого идентификатора будут всё те же старые проблемы. Но добавится ещё проблема невозможности изменения идентификатора — вы не можете так просто поменять себе сетчатку глаза, рисунок вен или отпечатки пальцев.
    Эти методы хороши, когда нет взаимодействия с незащищённой средой передачи данных.
    На мой взгляд самый действенный способ — это профилактика сложности пароля, не давать пользователям делать простые пароли, а вот где хранить этот сложный пароль вопрос остаётся открытым — LastPass, бумажка у монитора, смартфон или в голове (в виде собственной или электронной памяти).
    • +1
      Этот ID может быть лишь одним из факторов в MFA. Или вообще, может никуда не передаваться, а использоваться как секретный ключ в криптопроцессоре. Т.е. при полной компрометации будет достаточно сменить, например, только криптопроцессор.
    • +2
      не давать пользователям делать простые пароли

      Нельзя. Система не должна быть умнее пользователя и диктовать ему условия. Я вообще за то, чтобы пароль был любой, хоть из одного символа, но понимаю, что это нереально. Ну ладно, если ограничения — то на длину, но никак на соответствие правилам безопасности.

      Соглашусь с тем, что надо проводить профилактику. Человек должен понимать, что если разовая операция — можно поставить любой временный пароль, если подразумеваются серьёзные вещи (типа привязки карты) — то и подход другой должен быть.
  • +10
    я и так храню свои пароли внутри тела — в голове
    • 0
      Дзэнский монах Догэн жил уединённо в своей хижине на опушке леса. Как-то несколько странствующих буддийских монахов попросились к нему на ночлег. Когда они согрелись у огня и поужинали, то завели разговор о сущности бытия, утверждая, что мир – лишь иллюзия человеческого сознания. Устав слушать их болтовню, Догэн спросил:

      – Как вы считаете, вон тот камень находится внутри или снаружи сознания?
      Один монах ответил с умным видом:
      – Конечно, внутри.
      – Твоя голова, должно быть, очень тяжёлая, – сказал ему Догэн, – раз ты носишь в своём сознании такие камни!
  • +1
    Статья прямо в тему habrahabr.ru/post/256671
  • +1
    О, да. И придется семье каждый раз меня отвлекать, когда нужно купить что-нибудь с оплатой через PayPal. Или заводить по аккаунту на каждого члена и разводить финансовую бюрократию еще и дома.
    Прелесть паролей еще и в том, что их можно передавать.
  • 0
    Я лично категорически против повсеместного внедрения биометрической аунтефикации:

    1) При компрометации пароля мы просто меняем пароль и живём спокойно дальше. При компрометации биометрических данных (а большинство из них находятся почти в открытом доступе и легко получаются при желании и некоторых технологиях, нужен лишь личный контакт с жертвой) что делать?

    2) Далеко не всегда нужна параноидальная система, когда к аккаунту может получить доступ только один человек и никто другой. Пароль можно добровольно передать третьим лицам, вроде друзей или членов семьи, когда очевидно, что они не являются злоумышленниками, зато это принесёт пользу.

    Пароли плохи лишь из-за идиотов-пользователей, можно повышать грамотность пользователей, да и вообще идиоты должны страдать в крайнем случае. А новая система имеет недостатки в самой концепции, которые касаются всех, вне зависимости от их уровня компьютерной грамотности.

    Вообще считаю, что термин ССЗБ должен быть законодательно закреплён — если человека 10 раз предупредили, что так делать опасно, но он всё равно сделал и в итоге пострадал, то виноват именно он и никто другой. Если человек поставил пароль 1234 на банковский счёт, то в краже денег виноват он, а не «хакер» и его даже искать не надо. Это бы резко повысило уровень сознательности людей.
    • 0
      Разумеется, речь идёт лишь о случаях, когда можно было легко предотвратить проблему.
    • 0
      Я тоже против, но есть такая сухая вещь, как статистика: народ обычно не парится на счёт паролей и прочего, и в общей массе биометрические способы повысят безопасность. Если из 100 человек 5 грамотны, и используют сложные пароли, 45 — средние, а остальные 50 в группе риска, то организации (тому же банку) выгоднее обратить внимание на 50, чем на 5.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.