Почему пароли не умрут, а просто станут одним из факторов безопасности

от

«Мы живем в странный момент: пароли признаны главной дырой в безопасности, но продолжают править бал. Вместо того, чтобы спрашивать, что придет им на смену, стоит понять, почему мы до сих пор не избавились от них и какие решения уже работают, но не так, как мы привыкли думать.»

Не конец, а переходный период

Разговоры о конце эпохи паролей ведутся с начала 2000-х. Но они не исчезают. Почему? Потому что пароль, это не просто строка символов, а базовый компромисс между безопасностью, удобством и стоимостью. Любое решение, претендующее на замену, должно превзойти его по всем трем параметрам, а не только по безопасности.

В российском контексте с его жесткими требованиями 152-ФЗ и ФСТЭК этот переход выглядит еще более консервативно. Регуляторы предпочитают дополнять проверенные механизмы, а не сносить их. Поэтому сегодня речь идет не о мгновенной революции, а о постепенном внедрении многофакторной аутентификации (MFA), где пароль становится лишь одним из факторов.

Главная иллюзия — ожидать единого «убийцы» паролей. Такого не будет. Будет набор методов, каждый из которых подходит для своего сценария.

Многофакторная аутентификация: не замена, а дополнение

MFA, это не новая технология, а новая норма. Приказ ФСТЭК России №17 и 152-ФЗ прямо предписывают её использование для защиты критически важной информации.

Согласно российской регуляторике, факторы делятся на три типа:

  • Что вы знаете: пароль, PIN-код, ответ на секретный вопрос.
  • Что у вас есть: токен (аппаратный или программный), смарт-карта, телефон с приложением.
  • Кто вы есть: биометрия (отпечаток пальца, лицо, голос).

Современный подход заключается в бесшовном совмещении этих факторов. Например, система может попросить пароль (фактор знания) и автоматически запросить подтверждение через приложение на доверенном устройстве (фактор владения), используя биометрию (фактор свойства) для разблокировки этого самого приложения.

Публичные ключи и протоколы без паролей

Технологии, где пароль не вводится вовсе, уже существуют и применяются в нишевых, но важных сферах. Их принцип основан на криптографии с открытым ключом.

FIDO2 и WebAuthn

Стандарт FIDO2 — это, вероятно, самый близкий кандидат на массовую замену паролей. Он позволяет аутентифицироваться с помощью USB-ключа, встроенного в устройство модуля безопасности (например, TPM) или биометрии.

Как это работает: при регистрации на сайте устройство пользователя генерирует уникальную пару криптографических ключей. Закрытый ключ никогда не покидает устройство и защищается PIN-кодом или биометрией. Открытый ключ отправляется серверу. При следующем входе сервер отправляет «вызов» (challenge), который устройство подписывает закрытым ключом. Сервер проверяет подпись с помощью открытого ключа. Пароль не нужен.

Для российского рынка важно, что алгоритмы шифрования в FIDO2 гибкие. Стандарт позволяет использовать утвержденные в РФ криптографические алгоритмы, например, из семейства «Кузнечик» (GOST R 34.12-2015), что делает его совместимым с требованиями ФСБ и ФСТЭК для защиты государственной тайны.

Аналоги в инфраструктуре: SSH-ключи и сертификаты

В мире администраторов и DevOps пароли для доступа к серверам давно заменены SSH-ключами. Это тот же принцип асимметричной криптографии. Для управления доступом в корпоративных сетях используются инфраструктуры открытых ключей (PKI) и сертификаты X.509, которые автоматически подтверждают личность устройства или пользователя. Такие системы уже соответствуют высоким требованиям регуляторов.

Биометрия: удобство с оговорками

Отпечатки пальцев и Face ID воспринимаются как магия, заменяющая пароли. Но у биометрии есть фундаментальные ограничения с точки зрения безопасности и регуляторики.

  • Не секрет, а идентификатор: пароль можно сменить, если он скомпрометирован. Отпечаток пальца сменить нельзя. Поэтому биометрию в чистом виде нельзя считать полноценным фактором «знания» или «владения». Её утечка, это перманентная компрометация.
  • Требования ФСТЭК: стандарты ФСТЭК предписывают, что биометрические данные должны храниться и обрабатываться только на устройствах пользователя (on-device) или в защищенных доверенных средах. Отправка «сырых» биометрических шаблонов на сервер для проверки — нарушение. Современные системы сравнивают не сам отпечаток, а результат его криптографической обработки, который нельзя обратить в оригинал.
  • Юридический статус: использование биометрии регулируется отдельно 152-ФЗ (как персональные данные биометрического типа) и требует явного согласия субъекта.

биометрия чаще выступает не как самостоятельный метод входа, а как удобный и защищенный способ разблокировки локального ключа (например, закрытого ключа FIDO2 или ключа шифрования диска).

Поведенческая аналитика и риск-ориентированная аутентификация

Следующий шаг после многофакторности — контекстная или адаптивная аутентификация. Её цель — уйти от бинарного «войти/не войти» к непрерывной оценке риска.

Система анализирует сотни параметров в фоновом режиме:

  • С какого устройства и IP-адреса идет попытка входа (доверенная корпоративная сеть или публичный VPN из другой страны).
  • В какое время суток пользователь обычно активен.
  • Скорость и характер движений мыши, набор текста (бихевиористика).
  • Какие действия пытается выполнить пользователь после входа (прочитать письмо или перевести деньги).

На основе этой аналитики система автоматически выбирает силу аутентификации. Попытка войти с рабочего ноутбука из офиса может потребовать только пароля. Та же попытка с нового устройства из незнакомой страны вызовет запрос на подтверждение через несколько факторов или даже заблокирует доступ, уведомив администратора безопасности.

Такие системы, часто называемые SIEM или UEBA, уже являются обязательными для организаций 1-го и 2-го уровня значимости по 152-ФЗ, так как позволяют выполнять требование о непрерывном мониторинге и реагировании на инциденты.

Что будет вместо пароля в итоге?

Единого ответа нет. Будет комбинация:

  1. Пароль как базовый, но «тихий» фактор. Он останется в качестве первого рубежа для многих систем, но его одного будет недостаточно.
  2. Аппаратные токены и FIDO2-ключи для критичного доступа (административные панели, финансовые операции, доступ к ГИС).
  3. Беспарольный вход на доверенных устройствах через биометрию, которая защищает локальный криптографический ключ.
  4. Невидимая аутентификация на основе поведенческой аналитики и оценки рисков, которая запросит дополнительные доказательства только в подозрительных случаях.

Для российского ИТ-специалиста или ответственного за выполнение 152-ФЗ это означает сдвиг фокуса: нужно перестать думать о «смене пароля» и начать проектировать и внедрять целостные системы управления доступом, которые гибко комбинируют все доступные методы. Цель — сделать безопасность невидимой для законного пользователя и непреодолимой для злоумышленника. Парольная эпоха не закончится громким хлопком. Она тихо растворится в слоях более умных и устойчивых технологий.

Оставьте комментарий