Против фишинга, утечек, социальной инженерии и массовых атак на пользовательские аккаунты пароль не обеспечит должную защиту. Даже сложный пароль можно украсть, подобрать или обманом заставить человека его раскрыть. А если пользователь использует один и тот же пароль на нескольких сайтах, компрометация одного сервиса автоматически ставит под угрозу все остальные.
Беспарольная аутентификация:
Не передаёт статичный пароль, который можно перехватить;
Использует одноразовые токены (сроком на минуты), которые бесполезны по истечению времени или при повторном вводе;
Привязана к доверенному устройству (телефону, биометрии, аппаратному ключу);
Устойчива к фишингу: мошенник не сможет перехватить данные входа через Госуслуги, VK ID или push-уведомление в приложении;
Основные методы:
вход по одноразовому коду (SMS, email, push);
авторизация через ID-системы — VK ID, Яндекс ID, Сбер ID, Госуслуги (используются на 53% ресурсов);
биометрия и локальная проверка в мобильных приложениях.
"магические ссылки" — пользователь вводит email, получает письмо со ссылкой вида https://site.ru/login?token=abc123, переходит по ней — и попадает в аккаунт. Ссылка работает всего несколько минут и не подлежит повторному использованию;
Более 40% ресурсов дополнительно применяют многофакторную аутентификацию, комбинируя несколько беспарольных методов для критически важных операций.
Рекомендуем, по возможности, выбирать методы беспарольного входа. Если такой опции нет — обязательно включайте многофакторную аутентификацию (MFA). И никогда не передавайте коды, ссылки или уведомления третьим лицам — даже если они представляются «поддержкой» или «банком».
ㅤ
