Пароли мертвы. По крайней мере, это всё громче звучит со стороны компаний, которые несут убытки от постоянных атак на угон аккаунтов.
OpenAI, пережив месяц, когда их модели стали целью DDoS-атаки и утечки данных, теперь предлагает своё решение: «Расширенную безопасность аккаунта». Это опциональный, усиленный уровень защиты для аккаунтов ChatGPT и Codex, разработанный, чтобы значительно усложнить жизнь злоумышленникам, стремящимся завладеть пользовательскими данными. Речь идёт не просто о добавлении ещё одной галочки в настройках безопасности; это фундаментальный сдвиг в подходе к защите конфиденциальных взаимодействий с ИИ.
Этот шаг не стал полной неожиданностью. Поскольку чат-боты вроде ChatGPT превращаются из диковинки в незаменимые инструменты для всего, от составления юридических документов до написания кода, объём хранимых ими данных становится экспоненциально ценнее — и уязвимее. Сама OpenAI признаёт это, отмечая, что аккаунты могут накапливать «конфиденциальный личный и профессиональный контекст» и становиться «центром связанных инструментов и рабочих процессов». Для таких профессий, как журналистика, политика или научные исследования, где информация — это валюта, а компрометация может иметь далеко идущие последствия, базового уровня безопасности уже недостаточно.
Итак, что же представляет собой «Расширенная безопасность аккаунта»? Главная особенность — отказ от традиционных паролей. Прошли те времена, когда запоминаемые (или легко угадываемые) комбинации символов служили защитой. Вместо этого пользователям потребуется зарегистрировать два физических ключа безопасности или passkey. Это немедленно нейтрализует угрозу взлома учётных данных (credential stuffing) и фишинговых атак, которые десятилетиями терзают онлайн-сервисы. Это тот же принцип, который Google активно продвигает в своей программе Advanced Protection Program уже много лет, и, честно говоря, другим крупным игрокам давно пора подтянуться.
Помимо смены аутентификации, пересматривается и процесс восстановления доступа. Забудьте об электронных письмах или SMS-кодах подтверждения: эти каналы заведомо уязвимы для SIM-свопинга и социальной инженерии. Восстановление теперь опирается исключительно на предварительно настроенные ключи восстановления, резервные passkey или те же физические ключи безопасности, что используются для входа. Такой подход «закрытого сада», хоть и может быть неудобен для забывчивых, представляет собой значительный барьер против злоумышленников, пытающихся использовать каналы поддержки или выдавать себя за пользователей.
И говоря о каналах поддержки, OpenAI полностью исключает их из процесса восстановления аккаунта. Это умный, хотя и радикальный шаг. Убирая у сотрудников поддержки возможность сбрасывать пароли или помогать с восстановлением, компания устраняет главную мишень для социальной инженерии. Злоумышленники больше не смогут позвонить в службу поддержки OpenAI, рассказать душещипательную историю и получить доступ к аккаунту. Минус? Если вы потеряете ключи восстановления и ключи безопасности, вы будете заблокированы навсегда, без возможности обжалования.
«Для некоторых людей, таких как журналисты, выборные должностные лица, политические диссиденты, исследователи и особенно те, кто заботится о безопасности, ставки ещё выше».
Эта функция также накладывает более строгие ограничения на управление сеансами, требуя от пользователей повторной аутентификации чаще и предоставляя уведомления о новых входах. Более того, для пользователей, которые подключают эту расширенную безопасность, их беседы в ChatGPT по умолчанию автоматически исключаются из данных для обучения моделей — это бонус к конфиденциальности, который для обычных пользователей является опциональным. OpenAI даже сотрудничает с Yubico, предлагая наборы YubiKey со скидкой, что является явным намёком на серьёзность угрозы и стимулом для пользователей инвестировать в необходимое оборудование.
Последствия этого шага выходят за рамки отдельных пользователей. Члены программы Trusted Access for Cyber от OpenAI должны будут включить «Расширенную безопасность аккаунта» к 1 июня или предоставить доказательства эквивалентной фишингоустойчивой аутентификации. Это сигнализирует о растущем тренде: по мере того как инструменты ИИ интегрируются в критическую инфраструктуру и конфиденциальные рабочие процессы, уровень безопасности базовых платформ станет первостепенным. Речь идёт не просто о защите разговора с чат-ботом, а о защите цифрового каркаса потенциально меняющих мир технологий.
Достаточно ли этого? На данный момент это значительный шаг вперёд. Архитектура безопасности аккаунтов смещается с парольной на ключевую, обусловленная возрастающей изощрённостью угроз. Принятие OpenAI этой модели, даже в качестве опции, позиционирует её как зрелую функцию безопасности, а не просто нишевое предложение. Реальным испытанием станет то, насколько широко она будет принята и насколько эффективно выдержит будущие, пока ещё невообразимые векторы атак. Но для тех, кому это нужно, такая опция наконец-то появилась.
Базовый архитектурный сдвиг здесь неоспорим. Мы вынужденно движемся к миру, где ваша цифровая личность на критически важных платформах защищена не тем, что вы знаете (пароль), а тем, что вы имеете (физический ключ или passkey). Это тот же парадигменный сдвиг, который произошёл, когда мы перешли от физических ключей к картам-ключам, а затем к биометрии. Только ставки сейчас выше, а противники — более решительны.
В некотором смысле, это также признание OpenAI присущих рисков её собственного стремительного расширения. Чем больше интегрируются её инструменты, тем привлекательнее становится цель. Эта «Расширенная безопасность аккаунта» — не просто функция продукта; это стратегия управления рисками на уровне бренда, необходимое признание того, что их платформа, как и любая другая, может и будет подвергаться атакам.
Обновление безопасности, но какой ценой?
Хотя усиленная безопасность вызывает одобрение, компромисс очевиден: снижение уровня поддержки клиентов при восстановлении аккаунта. Это создаёт обоюдоострый меч. Пользователи получают крепость, но теряют свою спасительную нить, если потеряют ключи. Это шаг, который ставит целостность безопасности выше удобства пользователя при сценариях восстановления — прагматичный выбор, учитывая ландшафт угроз, но который, несомненно, вызовет разочарование у некоторых пользователей, если они потеряют свои учётные данные.
Запуск «Расширенной безопасности аккаунта» от OpenAI — это больше, чем просто новая функция; это сигнальная ракета для всей технологической индустрии. По мере того как ИИ всё глубже встраивается в нашу жизнь и работу, безопасность платформ, которые его обеспечивают, перейдёт из разряда второстепенных проблем в разряд главных. Этот шаг — необходимая эволюция, ответ на растущее осознание того, что защита аккаунтов ИИ требует более надёжного, физически подтверждённого подхода, чем когда-либо мог предоставить простой пароль.
Станет ли это трендом для ИИ-сервисов?
Весьма вероятно. По мере того как всё больше ИИ-сервисов становятся неотъемлемой частью профессиональных рабочих процессов и хранят конфиденциальную информацию, аналогичные расширенные опции безопасности станут стандартом. Компании будут вынуждены предлагать более надёжные средства защиты от угона аккаунтов, чтобы сохранить доверие пользователей и соответствовать развивающимся нормам безопасности. Переход от аутентификации на основе паролей к аппаратным ключам или passkey для критически важных сервисов — это тренд, который ускоряется повсеместно.
Почему это важно для разработчиков?
Для разработчиков, которые используют или интегрируют инструменты OpenAI, это критическое обновление. Если ваша работа или данные ваших пользователей зависят от ChatGPT или Codex, включение «Расширенной безопасности аккаунта» — разумный шаг. Это также подчёркивает важность защиты API-ключей и интеграции лучших практик безопасности в ваши собственные приложения, взаимодействующие с ИИ-сервисами, поскольку базовые платформы начинают относиться к этим мерам серьёзно.
🧬 Связанные материалы
- Читать далее: Скрытая ловушка GCP Vertex AI: как ИИ-агенты становятся корпоративными двойными агентами
- Читать далее: Что такое уязвимость нулевого дня?
Часто задаваемые вопросы
Что на самом деле делает «Расширенная безопасность аккаунта» от OpenAI?
Она добавляет опциональный, более высокий уровень безопасности к вашим аккаунтам ChatGPT и Codex, требуя физические ключи безопасности или passkey вместо паролей и ограничивая способы восстановления аккаунта для предотвращения атак социальной инженерии.
Смогу ли я по-прежнему получить помощь от службы поддержки OpenAI, если включу эту функцию?
Нет, если вы включите «Расширенную безопасность аккаунта», служба поддержки OpenAI больше не сможет помочь с восстановлением аккаунта, поскольку у них не будет доступа к вашим методам восстановления.
Будет ли это обязательным для всех пользователей OpenAI?
Нет, «Расширенная безопасность аккаунта» — это опциональная функция, хотя она станет обязательной для членов программы Trusted Access for Cyber от OpenAI к 1 июня.
