Телекоммуникационные компании США представили новую инициативу, которая призвана заменить пароли и логины на авторизацию только через мобильные телефоны
Москва, 20 сентября - "Вести.Экономика"
Телекоммуникационные компании США Verizon, AT&T, T-Mobile и Sprint, представили новую инициативу, которая призвана заменить пароли и логины на авторизацию через мобильные телефоны. Правда, учитывая ужасную репутацию отрасли в области конфиденциальности личных данных, серьезные сомнения связаны с тем, следует ли доверять операторам хранение еще больше конфиденциальной информации, сообщает Motherboard.
По сути, сотовые операторы смогут хранить online-личности пользователей. Проект, получивший название "Project Verify", предполагает, что сайты откажутся от паролей и будут осуществлять аутентификацию пользователей по данным, уникальным для каждого мобильного телефона и учетной записи (локационным данным, репутации пользователя и физическим характеристикам устройства).
В настоящее время ведется разработка приложения "Project Verify", которое будет поставляться вместе с предустановленным ПО на устройствах, продаваемых Verizon, AT&T, T-Mobile и Sprint. Идея состоит в том, что сторонние сайты смогут разрешать этому приложению проводить аутентификацию пользователей.
Промо-видео ставит проблему большого количества паролей, которые пользователи должны запоминать и вводить. В качестве решения авторы предлагают многофакторную аутентификацию, которая, по заявлениям, будет удобной для юзеров. Впрочем, авторы видео игнорируют факт давнего существования менеджеров пароле, которые как раз и осуществляют разный, в том числе "холодный" тип хранения данных(только на устройстве владельца).
По мнению авторов инициативы, подход обеспечит пользователям более удобный способ подтверждения личности при регистрации на сайтах, а также заменит пароли и одноразовые проверочные коды для авторизации в уже существующих учетных записях.
В телекоммуникационных компаниях уверяют, что проект улучшит процесс аутентификации, поскольку только у них будет доступ к уникальным сигналам и возможностям для валидации пользователей и их устройств. Сюда входят такие данные, как приблизительное местоположение пользователя в режиме реального времени, информация о том, как долго он является клиентом компании и в течение какого времени использует свой смартфон, а также сведения о внутренних компонентах смартфона (в том числе привязанные к каждой SIM-карте криптографические подписи).
Эксперты по безопасности сомневаются в том, что следует возлагать на операторов такую ответственность. "У операторов есть отрицательный послужной список в сфере, связанной с аутентификацией пользователей", - сказал эксперт по информатике и компьютерной безопасности Калифорнийского университета Беркли Николас Уивер. "Если бы операторы были надежными, я думаю, что такая инициатива воспринималась бы положительно. Проблема в том, что я не доверяю операторам".
Операторы не раз оказывались в центре скандалов либо с неправомерным использованием личных данных абонентов, либо с утечкой таких данных. В прошлом году персональные данные порядка 14 миллионов клиентов Verizon оказались в открытом доступе. Утечка произошла по вине подрядчика, который неправильно сконфигурировал настройки репозитория с этими данными.
Терабайты данных о клиентах компании обнаружились в облаке Amazon S3 — для получения доступа к ним достаточно было знать правильный URL. В сеть попали имена клиентов, адреса, данные учетных записей и PIN-коды, которые используются для верификации клиентов агентами колл-центра.
"Все операторы, участвующие в разработке этой инициативы, недавно были пойманы на передаче данных в режиме реального времени о местоположении мобильных устройств своих клиентов большому количеству сторонних компаний, которые не смогли обеспечить защиту этих данных", - отметил эксперт по кибербезопасности Брайан Кребс.
Инициатива "Project Verify" направлена на потребителей в США, до России это новшество пока не добралось, и, вероятно, это хорошо. Впрочем, наши законодатели могут усмотреть в зарубежном опыте определенные положительные стороны и задуматься о внедрении схожей системы и на территории РФ.
По сути, сотовые операторы смогут хранить online-личности пользователей. Проект, получивший название "Project Verify", предполагает, что сайты откажутся от паролей и будут осуществлять аутентификацию пользователей по данным, уникальным для каждого мобильного телефона и учетной записи (локационным данным, репутации пользователя и физическим характеристикам устройства).
В настоящее время ведется разработка приложения "Project Verify", которое будет поставляться вместе с предустановленным ПО на устройствах, продаваемых Verizon, AT&T, T-Mobile и Sprint. Идея состоит в том, что сторонние сайты смогут разрешать этому приложению проводить аутентификацию пользователей.
Промо-видео ставит проблему большого количества паролей, которые пользователи должны запоминать и вводить. В качестве решения авторы предлагают многофакторную аутентификацию, которая, по заявлениям, будет удобной для юзеров. Впрочем, авторы видео игнорируют факт давнего существования менеджеров пароле, которые как раз и осуществляют разный, в том числе "холодный" тип хранения данных(только на устройстве владельца).
По мнению авторов инициативы, подход обеспечит пользователям более удобный способ подтверждения личности при регистрации на сайтах, а также заменит пароли и одноразовые проверочные коды для авторизации в уже существующих учетных записях.
В телекоммуникационных компаниях уверяют, что проект улучшит процесс аутентификации, поскольку только у них будет доступ к уникальным сигналам и возможностям для валидации пользователей и их устройств. Сюда входят такие данные, как приблизительное местоположение пользователя в режиме реального времени, информация о том, как долго он является клиентом компании и в течение какого времени использует свой смартфон, а также сведения о внутренних компонентах смартфона (в том числе привязанные к каждой SIM-карте криптографические подписи).
Эксперты по безопасности сомневаются в том, что следует возлагать на операторов такую ответственность. "У операторов есть отрицательный послужной список в сфере, связанной с аутентификацией пользователей", - сказал эксперт по информатике и компьютерной безопасности Калифорнийского университета Беркли Николас Уивер. "Если бы операторы были надежными, я думаю, что такая инициатива воспринималась бы положительно. Проблема в том, что я не доверяю операторам".
Операторы не раз оказывались в центре скандалов либо с неправомерным использованием личных данных абонентов, либо с утечкой таких данных. В прошлом году персональные данные порядка 14 миллионов клиентов Verizon оказались в открытом доступе. Утечка произошла по вине подрядчика, который неправильно сконфигурировал настройки репозитория с этими данными.
Терабайты данных о клиентах компании обнаружились в облаке Amazon S3 — для получения доступа к ним достаточно было знать правильный URL. В сеть попали имена клиентов, адреса, данные учетных записей и PIN-коды, которые используются для верификации клиентов агентами колл-центра.
"Все операторы, участвующие в разработке этой инициативы, недавно были пойманы на передаче данных в режиме реального времени о местоположении мобильных устройств своих клиентов большому количеству сторонних компаний, которые не смогли обеспечить защиту этих данных", - отметил эксперт по кибербезопасности Брайан Кребс.
Инициатива "Project Verify" направлена на потребителей в США, до России это новшество пока не добралось, и, вероятно, это хорошо. Впрочем, наши законодатели могут усмотреть в зарубежном опыте определенные положительные стороны и задуматься о внедрении схожей системы и на территории РФ.
