Россияне все чаще переходят на авторизацию без применения пароля в отечественных онлайн-сервисах. В 2024 году 50 млн пользователей VK ID (около 40% от всей аудитории, пользующейся VK ID) использовали беспарольные способы авторизации — на 30% больше, чем годом ранее. У «Яндекса» количество пользователей, предпочитающих беспарольные способы авторизации, увеличилось в 1,5 раза. По мнению экспертов, сегодня пароль в числе самых ненадежных способов авторизации. Однако и беспарольные способы входа можно скомпрометировать, а биометрию в долгосрочной перспективе нельзя назвать полностью безопасной, уточняют аналитики
ID и смотри
Россияне все чаще переходят на авторизацию в интернет-сервисах без паролей. За 2024 год на 30% выросло число пользователей, подключивших беспарольные способы авторизации на сервисах VK. Сейчас 50 млн пользователей VK ID подключили вход по одноразовому коду, QR-коду, по лицу или же отпечатку пальца, в том числе в составе двухфакторной аутентификации, рассказали Forbes в компании. Это примерно 40% от всей аудитории VK ID. По итогам 2024 года аудитория VK ID выросла на 10% до 126 млн. Число пользователей VK ID, использующих второй фактор, за 2024 год выросло на 22% и составило более 21 млн человек. Также более 20 000 партнеров интегрировали VK ID как способ авторизации на сайты и в приложения.«Беспарольная авторизация и автологин упрощают процесс входа в аккаунт, помогают аудитории сократить время на регистрацию, а бизнесу — повысить конверсию в своих сервисах, — объясняет директор бизнес-юнита по экосистемным сервисам VK Иван Смирнов. — По итогам года видим, что пользователи оценили удобство «беспароля» и автологина: суммарная доля таких авторизаций в VK ID достигла 90%».
Тенденцию роста применения беспарольной авторизации подтверждают и другие крупнейшие участники интернет-отрасли. Так, за 2024 год количество пользователей, которые используют беспарольные способы входа через «Яндекс ID», выросло в 1,5 раза, сообщили в компании.
В МТС ID и так используется для входа одноразовый код из SMS, рассказали в компании. Количество зарегистрированных аккаунтов в МТС ID в 2024 году превысило 120,6 млн, увеличившись на 20%, добавили там. В «Сбере», «Т-банке» и «Альфа-банке» не ответили на запрос Forbes.
Сейчас весь мир движется в сторону отказа от паролей, обращает внимание бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. «Но говорить о полном отказе не приходится, так как существует немало устаревших устройств (например, банкоматы) или технологий (Wi-Fi или Bluetooth), в которых заложена возможность только входа по паролю/PIN-коду», — добавляет он. При этом, по словам эксперта, вход по биометрии (отпечатку пальца или лицу) не является безопасным в долгосрочной перспективе, так как утечка базы биометрических данных приведет к полной компрометации всех систем, использующих эти факторы как единственный параметр для проверки подлинности.
Беспарольная аутентификация — общемировая тенденция, она гораздо безопаснее, согласен аналитик TelecomDaily Илья Шатилин. Сами IT-компании заинтересованы в ее внедрении: меньше проблем со спамом, скамом и, как следствие, меньше нагрузка на техподдержку, добавил он. «Хотя в ряде случаев она менее удобна и надежна, например, когда пользователь не может получить смс-сообщение, но помнит пароль», — отмечает аналитик. При этом важно, по его словам, «отделять мух от котлет» и не называть беспарольной аутентификацией привычную двухфакторную авторизацию, при которой пароль все равно вводится.
В поисках альтернативы
По данным совместного VK и Geek Brains, треть опрошенных россиян используют для защиты аккаунтов один пароль, который к тому же состоит из памятных дат и имен. Как правило, это день рождения, дата свадьбы или переезда, а также имена — свое, детей, родителей, второй половинки или любимого героя из фильмов и книг.Действительно, отказываться от использования паролей крупнейшие в мире IT-компании призывают уже давно. Считается, что первым отказаться от паролей решил платежный сервис PayPal. В 2007 году компания функцию подтверждения входа по SMS. Вскоре производитель биометрических решений Validity Sensors сервису развить идею альтернативных способов авторизации и сделать вход в аккаунт по отпечатку пальца. Реализовать такой проект PayPal решил вместе с крупнейшими IТ-компаниями, для этого в 2012 году они альянс FIDO (Fast IDentity Online, «быстрая онлайн-идентификация»). В него входят сотни компаний, в том числе Microsoft, Google, Apple, Visa, Intel и др.
«Cамая популярная разработка альянса — это технология passkey, которая позволяет входить на различные сайты по лицу и отпечатку пальца, — в колонке для Forbes руководитель продуктового направления VK ID Екатерина Шинкаренко. — В 2023 году Microsoft, Google и Apple внедрили эту технологию в свои продукты, тем самым открыв доступ к авторизации через passkey для всех других сервисов, которые работают на их платформах. Кстати, PayPal в итоге стал одним из первых платежных сервисов, который поддержать эту технологию».
Лишиться пароля
С точки зрения безопасности самым простым, но ненадежным считается обычный пароль: они постоянно утекают, их можно подобрать или угадать, рассуждает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров. «Система двухфакторной аутентификации — более безопасный способ для входа, — продолжает он. — Она предполагает то, что коды подтверждения могут приходить на электронную почту, на наш мобильный телефон в виде смс-сообщения, Push-уведомления или в отдельное приложение для аутентификации».По словам Бедерова, получение кодов подтверждения на почту или телефон — не самый защищенный способ входа. «Большое количество аккаунтов взламывают путем перевыпуска сим-карты пользователя. Это дает злоумышленнику доступ к электронной почте, с помощью которой можно восстановить все онлайн-сервисы пользователя», — поясняет он.
По мнению эксперта, на сегодняшний день приложение для аутентификации (генерирует код, который используется в дополнение к электронной почте и паролю для подтверждения вашей личности) является наиболее защищенным. «Если использовать специальное приложение, то при перевыпуске сим-карты злоумышленник не сможет получить личные данные пользователя. А взломать мобильное приложение достаточно сложно. Как раз такие приложения-аутентификаторы и должны в конечном итоге заменить классические методы и приемы двухфакторной аутентификации и подтверждения входа как наиболее надежные», — уверен он.
