Как входить в аккаунты, используя криптовалютный кошелёк вместо пароля?

7 мая считается Всемирным днём паролей, и лучший способ отметить его – принять на вооружение новое решение, которое позволит избавиться от небезопасных паролей и фишинговых атак.

Протокол lnurl-auth позволяет пользователям входить в различные аккаунты, получив QR-код при помощи специального сообщения. Эта технология использует открытые ключи, связанные с криптовалютными кошельками пользователя. Такой способ позволяет получить уникальный ключ, совместимый с доменом, на который пользователь пытается получить доступ.

Подкастер Марти Бент объяснил, что такая система исключает поиск ваших данных в централизованной базе данных, которая может быть взломана:

«Не нужно запоминать уникальные пароли для отдельных сайтов и создавать уникальные email-адреса для разных сервисов. Не нужно больше беспокоиться о краже данных с сайтов, с которыми вы работаете. Это независимый контроль над вашими аккаунтами в интернете. Не нужно никаких имён пользователей, паролей или идентифицирующей информации, кроме открытого ключа, полученного при регистрации».

Ранее мы рассказывали о стандарте lnurl, который поддерживает биткоин-сеть Lightning и позволяет совершать быстрые платежи.

Как защититься пока?

Конечно, вряд ли стоит надеяться на то, что технология lnurl-auth получит быстрое распространение, и поэтому пока стоит придерживаться других способов обеспечения безопасности паролей.

Согласно данным Proofpoint, что 44% опрошенных из США используют менеджеры паролей – протоколы, которые хранят пароли и помогают выполнить вход в аккаунты в интернете.

Специалисты Proofpoint также говорят, что менеджеры паролей являются наиболее безопасным вариантом:

«… многим сложно запомнить более сложные пароли для множества онлайн-сервисов, которые используются сегодня. Это могут быть сети компаний, банковские аккаунты, правительственные сервисы и т.д. Поэтому мы настоятельно рекомендуем менеджеры паролей».

При этом они указывают на то, что «многие [пользователи] обычно используют пароли и не меняют их от сервиса к сервису»; и что в целом «управление паролями неудобно».

Хотя менеджеры паролей довольно популярны, опрошенные из Австралии, Франции, Германии и Великобритания говорят, что больше всего полагаются на ручной ввод различных паролей при входе в аккаунты.

В среднем 16% опрошенных по всему миру признались, что используют 1-2 пароля для всех своих аккаунтов, что, конечно же, небезопасно.

Повысить надёжность пароля

Proofpoint также предлагает способы повышения надежности паролей, избегая использования какой-либо личной информации, включая даты рождения, имена домашних животных, имена друзей и т.п.

Proofpoint объясняет, что пароли должны иметь не менее 12 символов; использовать 2-3 различных вида символов «в непредсказуемых местах»; и что пользователям следует «избегать размещения заглавных букв в начале» или «лишь одних цифр/символов в конце».

Хороший способ – это использование смысловой фразы или определённого предложения, которые можно запомнить. Например, предложение «we can’t eat 15 New York pizzas, but those 5 people can» соответствовало бы паролю «wce15NYpbt5pc».

Защитить WiFi

Многие люди теперь работают из дома, используя домашние сети. Это увеличивает вероятность фишинговых атак, использующих поддельные порталы входа в систему.

Отчет Proofpoint показывает, что у 95% работников есть домашние сети wi-fi, и лишь 49% людей защищают их паролями. Кроме того, лишь 31% пользователей изменили пароли по умолчанию на своих маршрутизаторах.

Фишинговые атаки могут направлять жертв на фальшивые онлайн-порталы или предложить им кликнуть по URL в электронных письмах, тем самым «заставляя удаленных сотрудников передавать самые сложные и уникальные пароли непосредственно злоумышленнику».