Российские сервисы отходят от защиты с помощью паролей
Большинство российских сайтов перешло на беспарольную аутентификацию пользователей. Вместо этого они, в большинстве своем, выбирают аутентификацию через телефон или почту, или же обращаются к федеративным ID-системам. Но некоторые отрасли отказываются от паролей нехотя.
Российские сервисы отходят от аутентификации по паролю — уже 74% компаний перешли к беспарольной системе. Чаще всего сайты выбирают аутентификацию посредством отправки СМС на телефон, почты или QR-кода, а также всплывающих уведомлений. Как сказано в исследовании TAdviser, большинство сайтов использует внешние идентификационные сервисы от «Сбера», «Яндекса» и «Госуслуг».
TAdviser изучил более сотни популярных ресурсов Рунета, чтобы разобраться, какие в России распространены технологии аутентификации и идентификации. Были рассмотрены семь категорий сайтов: логистика, связь, электронная коммерция, финансы, недвижимость и госсервисы, медиа, а также образование и карьера.
Отмечается, что практически во всех случаях идентификация проходила по номеру телефона. Только в 17% случаев почта не принималась — и почти половина из них приходилась на банки. При этом, согласно российскому законодательству, при регистрации почты в России нужно его верифицировать с помощью телефона. Исследование отмечает, что при такой ситуации система первичной идентификации привязана к сфере операторов связи, где в договорах указываются сведения о паспорте абонента.
Другая находка исследователей: несмотря на разработку Единой биометрической системы, она практически нигде не используется.
Наиболее распространенный метод первичной идентификации — с помощью телефона и последующей отправки подтверждения через СМС. Этот метод используется в 92% случаев. В 75% случаев также запрашивается почта, её подтверждение происходит либо с помощью высылаемого кода, который нужно ввести на сайте, либо с помощью перехода по ссылке.
Самый популярный способ беспарольной аутентификации на российских сайтов — с помощью подтверждения через СМС на телефоне, их использует 95% сайтов. Второй по популярности вариант — посредством отправки ссылки на электронную почту, или же QR-кода. Он применяется в 41% случаев. На третьем месте по популярности — локальная аутентификация через мобильное приложение, с помощью всплывающих уведомлений, такой способ исследователи нашли в 38% случаев.
В каждой из исследуемых отраслей обнаружились различные тренды аутентфикации. В сфере логистики только 30% сервисов внедрили у себя беспарольную аутентификацию, в большинстве случаев привязка происходит по номеру телефона. Связь, в 60% случаев, обращается к первичной идентификации с помощью номера контракта, который был ранее заключен с клиентом при оформлении договора на номер. Но и беспарольная аутентификация тоже распространена — её используют в 55% случаев.
Электронная коммерция — один из лидеров по применению беспарольной аутентификации. В 40% случаев сервисы используют собственную систему аутентификации, но еще в 40% случаев можно воспользоваться сервисом с помощью федеративных ID-систем (внешние ID-сервисы, вроде VK ID, Яндекс ID, Сбер ID и Госуслуг). При этом пересечение между этими категориями минимальны, так что если объединить цифры, то выходит, что более 70% ресурсов в сфере электронной коммерции используют беспарольную систему.
