Пароли уходят в прошлое: чем можно их заменить

Один скомпрометированный пароль может стоить предприятию свыше 7-ми миллионов долларов, и даже двухфакторная идентификация не является стопроцентной защитой. В последние годы набирают популярность альтернативы кодовым сочетаниям символов. Прежде всего, это биометрия: сегодня даже в относительно недорогих смартфонах есть сканеры отпечатков пальцев. Однако и такие способы не идеальны. Те же отпечатки пальцев злоумышленники научились подделывать при помощи специальных плёнок, а технология распознавания лиц может давать сбои в случае попытки отсканировать менее распространённые этносы, не участвовавшие в изначальном сборе данных.

Следовательно, нужна альтернатива альтернативе, если так можно выразиться. Ряд учёных-криптографов утверждает, что ей может стать трёхмерная геометрия руки, причём в динамике, а не в статике — то есть в комбинации с анализом жестов на основе продвинутого машинного обучения. Например, классический жест Уинстона Черчилля, «V как победа», можно показать бесчисленным количеством способов. Уже сейчас компьютерные системы способны распознавать манеру поведения человека, жестикуляцию, и подделать это гораздо сложнее, чем отпечатки пальцев.

Следует отметить, что такая база данных будет куда более надёжной с точки зрения безопасности. Предположим, что в руки хакеров попала библиотека лиц — это сразу же задаст им желанный вектор поиска жертв. Набор изображений и даже роликов с ладонями и их параметрами — вещь куда более анонимная. При этом для систем распознавания с машинным обучением абсолютно незначительные признаки вроде расстояний между костяшками пальцев будут играть ключевую роль, а злоумышленникам эта невидная глазу анатомическая разница ничего не даст.

Технологии трёхмерного распознавания руки и ладони существуют уже несколько лет, но в статике. Динамика — это недавний прорыв, произошедший благодаря прогрессу в машинном обучении. Теперь компьютерные системы могут сами постоянно обновлять базу данных и обращаться лишь к актуальной информации, что является дополнительным фактором безопасности в сравнении с со статичной базой 3D-реконструкций ладоней. Предположим, жестикуляция пользователя со временем немного изменилась, но machine learning-система всё равно будет предоставлять ему допуск. Хакер, раздобывший цифровой «слепок» руки того же пользователя, но двух- трёхлетней давности, допуска уже не получит.

Прорыв, о котором мы упоминали — это GDL, геометрическое глубинное обучение: по сути, новая сфера информатики как науки. Инженеры обучили компьютеры самостоятельно работать с так называемыми объектами многообразия, обладающими неоднозначной геометрией. Простой пример на примере всего человечества: мы прекрасно знаем, что Земля — это сфера, хотя с высоты человеческого роста она кажется абсолютно плоской. С точки зрения восприятия пространства компьютерную систему до GDL можно назвать неандертальцем, после — современным физиком или астрономом.

Человеческая ладонь — невероятно сложный в плане геометрии объект. Если сжать в кулак, а затем распрямить пальцы, получится две совершенно разных формы, и благодаря GDL компьютеры научились понимать, что это один и тот же объект в движении. Кстати, геометрическое глубинное обучение активно применяется во многих других сферах: например, в автомобилях с автопилотом и в медицине. Moderna, создатель одной из вакцин от COVID-19, использует GDL в моделировании сложных объёмных молекулярных структур.

Ладонь — вернее, её цифровой трёхмерный «слепок» — по объёму данных в сотни, если не в тысячи раз превосходит двухмерный отпечаток пальцев, что значительно усложняет вредоносную «работу» хакеров. Ладонь позволяет создать уникальный, и вместе с тем достаточно анонимный профиль человека, который практически невозможно скопировать.

Не исключено, что в обозримом будущем 3D-камеры, сканирующие ладони, станут привычной точкой безопасного доступа повсеместно — от входа в здание до смартфона и ПК. Конечно, подобные инновации, как и любые другие, будут упираться в бюджеты — но не бесконечно. Ведь и сканеры отпечатков пальцев на доступных смартфонах когда-то невозможно было себе представить, а теперь это нечто обыденное.

Здесь стоит отметить, что вечно оставаться в эпохе паролей нельзя. Чтобы окончательно понять почему, начнём с одной поучительной — и вполне забавной — истории из середины прошлого века. Речь пойдёт о прецеденте — первом компьютерном взломе. Массачусетский Институт Технологий в те времена славился своим мощным компьютером CTSS. Проблема заключалась в том, что подобных вычислительных машин на тот момент в мире практически не было, а CTSS на всех не хватало, в результате чего Институт ввёл строгое расписание использования.

Например, доктор наук Алан Шерр получил всего 4 часа в неделю, и за этот промежуток времени физически невозможно было просчитать сложные математические симуляции, необходимые учёному. Тогда Шерр распечатал все персональные пароли доступа к CTSS, причём для этого не нужны были даже базовые хакерские навыки: компьютер сам выдавал все секретные комбинации, если получал такую команду, обработав специально предназначенную для этого перфокарту.

Пароли стали всеобщим достоянием, в структурированной деятельности появились элементы хаоса, а один сотрудник — некий Джей Си Ликлейдер — даже начал оставлять всем оскорбительные электронные сообщения от имени начальника лаборатории. На восстановление порядка ушло несколько дней, при этом виновные признались в содеянном только через 25 лет, когда всё это уже воспринималось как шутка, а не как антинаучный саботаж.

Таким образом, необязателен даже материальный стимул: если есть некая закрытая информация, пускай и без возможности монетизации, кто-нибудь непременно попытается получить к ней доступ. Первые электронные системы, защищённые паролями, были более чем примитивными. Сегодня технологии развиваются, но и преступники не отстают. К примеру, двухфакторная аутентификация некоторое время считалась чем-то вроде нерушимой стены, но затем злоумышленники научились перехватывать сообщения с подтверждающими кодами.

Будущее — за более совершенной биометрией: только она на 100% подтверждает личность. Причём не обязательно это будут только руки: можно сканировать радужную оболочку глаза, нефтяной гигант ВР делает ставку на распознавание лица, уникален тембр голоса и манера речи человека, и даже рисунок вен внутри ладоней неповторим. По оценкам Brand Minds, объём мирового рынка биометрии к 2027-му году ощутимо превысит 75 миллиардов долларов. Всё постепенно идёт к тому, что в цифровой среде человек будет подтверждать свою личность без каких-либо ненужных «костылей».