Пароли в эпоху ИИ: уязвимости и альтернативы безопасности

По данным The Register, пароли, ставшие привычной частью цифровой жизни пользователей, появились в 1961 году в рамках Compatible Time-Sharing System (CTSS) в Массачусетском технологическом институте. До этого, моментального доступа к компьютерам не существовало — все задачи обрабатывались системными администраторами вручную. С тех пор пароли прошли долгий путь, но, несмотря на развитие технологий, до сих пор остаются ключевым элементом аутентификации.

В последние недели в области безопасности паролей появилось несколько новых проблем. Компиляторы, слишком умные на свой лад, могут оптимизировать защиту от атак, основанных на времени выполнения. Системы управления паролями, которые должны были быть архитектурно защищены, оказались уязвимыми. Кроме того, генерация сложных паролей с помощью моделей ИИ может давать результаты, которые выглядят надежными, но не являются таковыми на практике. Хотя пользователи могут не задумываться о том, как ИИ создает пароль, вопрос актуален, особенно если речь идет о системах управления паролями, предлагающих такую функцию.

Риски централизованных решений и вопросы суверенитета

Одной из ключевых проблем является зависимость от централизованных систем управления паролями, таких как те, что предоставляют Apple и Google. Обе компании зарегистрированы в США и могут приостановить доступ к своим сервисам в случае, если пользователь окажется в нежелательной ситуации. Это ставит под угрозу цифровой суверенитет — если все пароли хранятся в облаке, то в один момент они могут просто исчезнуть. Такой сценарий особенно критичен для бизнеса, где безопасность и доступность данных — приоритет.

Важно отметить, что проблема не в самих паролях, а в их реализации. При правильной спецификации и использовании, сопровождаемом хорошей подготовкой пользователей, пароли могут быть достаточно безопасными. Однако на практике это редкость. Особенно остро вопрос стоит в контексте агентного ИИ, где предполагается, что ИИ-агенты могут действовать от имени пользователя. В отсутствие единых стандартов управления правами, это может привести к утечкам данных. Решение — не в отказе от агентного ИИ, а в строгом контроле привилегий, сегментации доступа и изоляции ресурсов.

Альтернативы: биометрия, двухфакторная аутентификация и passkeys

Современные технологии предлагают более надежные способы аутентификации. Биометрические методы, такие как отпечатки пальцев или распознавание лица, уже используются повсеместно. Даже простой PIN-код может быть достаточно безопасным, если сопровождается ограничениями по количеству попыток ввода. Эти методы хорошо внедрены в локальные устройства, но их применение в онлайн-сервисах сталкивается с рядом сложностей.

Двухфакторная аутентификация (2FA) — еще один шаг в сторону безопасности. Однако ее реализация неоднозначна. Существуют различные варианты: SMS, приложения-генераторы кодов, аппаратные ключи, биометрия. У каждого есть свои подводные камни — социальная инженерия, утрата устройства или несовместимость с сервисами. Даже теоретически надежные методы могут не работать на практике. Например, новая модель Mac mini предлагает мощный процессор, но при этом лишена сенсора отпечатков пальцев — это усложняет выбор оптимального метода аутентификации.

Passkeys — еще одна альтернатива, которая в теории обеспечивает высокий уровень безопасности. Они основаны на криптографически подписанных токенах, которые нельзя украсть или скопировать. Однако реализация passkeys сталкивается с проблемами понимания и объяснения пользователю. Система требует согласованности между устройством и сервисом, и пока отсутствует единая стандартизация. Пользователю сложно разобраться, что происходит, особенно если сервис предлагает несколько вариантов аутентификации, и некоторые из них не работают.

i

Создано специально для ASECTOR

Концептуальное изображение

Пути развития: стандартизация и пользовательское восприятие

Для повсеместного внедрения безопасных методов аутентификации необходимы согласованные усилия со стороны разработчиков платформ, поставщиков сервисов и приложений. Важно создать единый пользовательский опыт, который будет понятен и прост в использовании. Нужны также усилия по обучению пользователей, чтобы они могли осознанно выбирать методы защиты своих данных.

Однако, как отмечают эксперты, отрасль часто отдает предпочтение инновациям, которые усиливают зависимость от конкретных стандартов, вместо того чтобы стремиться к открытым решениям. Это создает барьеры для внедрения более безопасных и удобных систем. Решение — в готовности к компромиссу ради улучшения общей ситуации в области безопасности.

Эволюция и уязвимости паролей

Пароли — это остаток цифровой эпохи, когда безопасность строилась на простых правилах. В 1961 году, в рамках Compatible Time-Sharing System (CTSS) в Массачусетском технологическом институте, появился первый способ аутентификации. С тех пор пользователи привыкли к паролям, но их уязвимости не только не исчезли, но и усилились. В 2025 году стало известно, что более 2 млрд паролей утекло, и 65,8% из них содержали менее 12 символов, что делает их легко угадываемыми [!].

Когда защита становится слабым местом

Современные технологии, такие как компиляторы, могут неосознанно снижать уровень безопасности. Например, защита от атак, основанных на времени выполнения (timing attacks), может быть нарушена, если система не учитывает детали реализации. Это приводит к тому, что даже хорошо спроектированные алгоритмы шифрования становятся уязвимыми. Важно понимать, что ИИ, используемый для генерации паролей, может создавать видимость безопасности, но на деле снижать уровень защиты, если алгоритм не обучен на адекватных данных.

Централизация как угроза суверенитету

Другая проблема — централизация управления паролями. Сервисы, такие как те, что предлагают Apple и Google, удобны и надежны, но их использование связано с риском зависимости от внешних юрисдикций. Если компания решает ограничить доступ к своим сервисам, пользователь может потерять доступ к своим аккаунтам. Это не гипотетическая угроза — такие сценарии уже имели место в истории. Например, утечка данных из LastPass показала, что даже с двухфакторной аутентификацией могут быть проблемы, если уязвимость находится вне её зоны контроля, например, на устройстве сотрудника [!].

Альтернативы: безопаснее, но не проще

Альтернативы паролям, такие как биометрия, двухфакторная аутентификация и passkeys, предлагают более высокий уровень безопасности, но сталкиваются с проблемой масштабируемости. Например, биометрические данные, такие как отпечатки пальцев, легко могут быть украдены, если устройство не защищено должным образом. Даже PIN-коды, если не сопровождаются ограничениями по количеству попыток, становятся уязвимыми.

Важный нюанс: Двухфакторная аутентификация (2FA) — это шаг в правильном направлении, но её реализация не всегда корректна. Варианты с SMS, например, остаются уязвимыми к социальной инженерии. Аппаратные ключи — более надежный выбор, но их стоимость и сложность внедрения делают их недоступными для массового рынка.

Passkeys, основанные на криптографически подписанных токенах, могут стать решением, но пока их применение ограничено отсутствием стандартов и сложностью объяснения пользователю. Это приводит к тому, что пользователи выбирают менее безопасные методы, просто потому что они лучше понятны.

Стандартизация и обучение: путь к безопасности

Для повсеместного внедрения безопасных методов аутентификации необходимы согласованные усилия. Платформы, поставщики сервисов и разработчики приложений должны работать вместе, чтобы создать понятный и единый пользовательский опыт. Это включает в себя не только техническую реализацию, но и обучение пользователей — чтобы они могли осознанно выбирать методы защиты своих данных.

Важный нюанс: Как отмечают эксперты, отрасль часто выбирает пути, усиливающие зависимость от закрытых стандартов, вместо того чтобы идти к открытым решениям. Это создает барьеры для масштабного внедрения более безопасных систем. Решение — в готовности к компромиссу ради улучшения общей ситуации в области безопасности.

Риски агентного ИИ

Развитие агентного ИИ добавляет новые слои рисков. ИИ-агенты, способные обнаруживать уязвимости в ПО, могут использоваться как инструменты для кибератак. В одном из соревнований ИИ-агент обнаружил 77% уязвимостей в реальном ПО, что демонстрирует его способность поддерживать кибератаки [!]. Это требует пересмотра подходов к кибербезопасности, включая усиление контроля над действиями агентов и внедрение строгих политик.

Выводы

Пароли остаются уязвимыми, несмотря на развитие технологий, и их реализация часто противоречит требованиям безопасности. Утечки данных, централизация управления паролями и риски агентного ИИ требуют системного подхода к кибербезопасности. Для минимизации рисков ключевым становится аудит текущих методов аутентификации, внедрение открытых стандартов и повышение осведомлённости пользователей. Только так можно создать более безопасную цифровую среду.