Идва ли краят на паролите – Тим Месершмидт, Head of Developer Advocacy, PayPal, пред Economy.bg
Като дългогодишен разработчик на мобилни и уеб приложения Тим Месершмидт споделя опита и знанията си като Braintree's Head of Developer Relations в PayPal. Ментор е на множество стартъпи, инкубатори и акселератори. Преди да се присъедини към PayPal, Тим е работил върху различни проекти в Neofonie Mobile и Samsung.
Тим Месершмидт ще е един от лекторите на специализираната конференция за програмиране за мобилни устройства и мобилни технологии MobCon BG, която ще се проведе на 5-ти април в София.Събитието в България е продължение на проведената в САЩ конференция за мобилен бизнес и технологии, а у нас се организира от технологичната компания MentorMate. Повече информация за събитието MobCon BG вижте тук
Economy.bg се свърза с Тим Месершмидт, за да ни разкаже повече за алтернативите на паролите, върху които работи PayPal.
Г-н Месершмидт, преброени ли са дните на паролите?
Благодарение на общите усилия на компании от сектора, като PayPal, Google и Microsoft, обединени във FIDO Alliance (http://fidoalliance.org), вече е въпрос на време повечето от ползваните от нас услуги да предлагат по-добро потребителско изживяване и по-добра сигурност, отколкото стандартните потребителско име и парола.
2015 ли е годината, в която паролите ще изчезнат, както неотдавна прогнозира директорът на PayPal за информационните технологии?
Забелязахме, че многобройни услуги залагат на алтернативни технологии за идентификация, които заместват паролите. Проучванията показват, че хората предпочитат да използват съществуващите си потребителски акаунти, вместо да създават нови акаунти и идентичности за различни онлайн платформи. Паролите имат три основни проблема: те могат да бъдат откраднати чрез фишинг измами; веднъж откраднати, те могат да бъдат използвани за достъп до различни ваши приложения; могат да бъдат прихванати, докато ги въвеждате. За да е сигурна една парола, тя трябва да е уникална, дълга и да представлява комбинация от алфанумерични символи. Това обаче я прави изключително сложна за запомняне. Освен това с тъчскрийн мониторите на мобилните устройства днес паролите могат да бъдат по-лесно да бъдат грешно въведени.
Кои са технологиите, които могат да заместят паролите?
Достъпни са вече доста технологии за автентификация, като OAuth 2.0 и OpenID Connect. В бъдеще ще се появят стандарти, които използват едновременно софтуер и хардуер и които правят автентификацията на различни платформи и устройства доста по-лесна от паролите днес. Особено във връзка с тенденцията „Интернет на нещата” (Internet of Things - IoT) ще се появят множество устройства, които не е задължително да имат входни устройства (като мишка или клавиатура) и екрани, което налага създаването на нови технологии за автентификация.
Върху какви алтернативи на паролите работи PayPal?
PayPal е част от FIDO Alliance, чието име идва от Fast Identity Online. Заедно с други лидери в сектора ние създадохме независим стандарт за автентификация, който позволява да се използват както хардуерни, така и софтуерни токени за автентификация.
Същевременно PayPal вече предлага интересни начини за автентификация и оторизация. Логинът в PayPal използва OpenID Connect, за да позволи на нашите потребители да споделят определени части от техния потребителски профил, като напр. адрес за доставка, с търговци, които работят с PayPal. За потребителите това е много удобно, защото не им се налага да въвеждат тази информация отново и отново.
По отношение на мобилните устройства сме въвели системата Braintree v.zero SDK. При нея не се изисква ръчно въвеждане на данни от потребителите, когато се изисква автентификация в PayPal приложенията за операционни системи Android и iOS. Това дава възможност за осъществяване на плащания чрез пръстови отпечатъци, което е чудесно средство за ускоряване на идентификацията на потребителя.
Биометричните идентификатори достатъчно сигурни ли са?
В момента секторът се опитва да реши дали биометрията трябва да замени потребителското име и паролата. При случаите, при които се комбинират няколко нива на автентификация, което аз наричам n-факторна автентификация, биометриката може да се окаже чудесен начин потребителят да се идентифицира сигурно.
Кои са основните тенденции при автентификацията?
Предизвикателството е да се направи автентификацията сигурна и отговаряща на изискванията на потребителите. Вече не стои на дневен ред класическият избор между сигурност или леснота на използване. Сега вече имаме сигурен начин на предоставяне на лични идентификатори, като при това имаме дори ускоряване на процеса на автентификация. Това може да бъде постигнато чрез различни средства, като уникални токени, хардурени и софтуерни, и посредством подсигурени бекендове, използващи hash алгоритми, като bcrypt, scrypt, PBKDF2, които намаляват векторите на атаки.
На какво трябва да обърнат внимание компаниите, когато търсят добро решение за автентификация?
В момента на пазара се предлагат решения за автентификация, които се отнасят за три основни типа идентичност: слаба идентичност, която не изисква информация за потребителя, а просто автентификация; социална идентичност, която често използваме, когато играем игри или ползваме приложения, изискващи споделяне на информация с мрежата на потребителя; конкретна идентичност, изискваща лични данни от „реалния свят” на потребителя, като напр. адрес, дата на раждане или националност. В зависимост от конкретния случай се избира подходящата идентичност.
Държавната администрация или бизнесът ще възприемат първи алтернативите на паролите?
Вече има доста страни, като Естония, които използват правителствена система за автентификация с OpenID. Тя се използва за автентификация при различни е-правителствени услуги. Моята прогноза е, че и държавата и бизнесът ще ускорят използването на алтернативи на паролите.
Как виждате бъдещето на автентификацията след 5 години?
Няма да има нужда хората да помнят излишна информация. Освен това процесът по автентификация и навигация в мрежата ще се ускори чрез многофакторната автентификация. Тя ще е широко разпространена – дотолкова, че логин процесът напр. за закупуване на кафе ще бъде много прост и бърз. В същото време, когато става дума за нещо по-сериозно, ще се изисква повече информация, която ще бъде защитена по подходящ начин.
