Від паролів до ключів: посібник для підприємств

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Паролі. Ми використовуємо їх щодня. Ми любимо їх і ненавидимо. Ми постійно розчаровуємося через них — придумуємо та запам’ятовуємо необхідний рядок великих і малих літер, цифр і спеціальних символів.

Простіше кажучи, «паролі слабкі та незручні», — сказав старший аналітик Gartner Пол Рабінович.

І вони становлять величезну загрозу безпеці: 81% зломів, пов’язаних із хакерством, використовують вкрадені та/або слабкі паролі.

Споживачі визнають це: 68% вважають, що паролі є найменш надійним методом захисту, і 94% готові вжити додаткових заходів безпеки, щоб підтвердити свою особу. При цьому більше половини з нас продовжує користуватися паролями.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Назвіть це звичкою, небажанням змінюватися чи простою байдужістю, паролі закріпилися — але ми повинні позбутися цієї звички, кажуть експерти. Примітно, що багато хто в індустрії безпеки наполягає на безпарольних методах автентифікації та використанні ключів доступу — а деякі навіть планують, щоб вони стали галузевим стандартом.

«Ключі доступу є значним прогресом у індустрії ідентифікації та безпеки», — сказав Ральф Родрігес, президент і CPO компанії Daon, яка займається цифровою ідентифікацією. «Вони є набагато безпечнішою альтернативою паролям, особливо в той час, коли кіберзагрози зростають».

Ключі доступу: рух до широкого впровадження

Ключі доступу — це форма захисту ідентифікаційної інформації без пароля, яка забезпечує автентифікацію FIDO2 (стандарти, встановлені FIDO Alliance, спрямовані на зменшення використання паролів). Гіганти галузі, зокрема Apple, Microsoft і Google, нещодавно підтримали ключі доступу, співпрацюючи з Альянсом FIDO та Консорціумом Всесвітньої павутини.

Цей метод автентифікації використовує криптографічні ключі та зберігає облікові дані для кількох пристроїв у хмарі, пояснив Родрігес. Користувачі поєднують ключ доступу на своєму смартфоні з безпечно збереженими та зашифрованими обліковими даними в хмарі.

«Ключі доступу усувають потребу в паролях, забезпечуючи більш безпечний і швидкий спосіб автентифікації облікового запису», — сказав Родрігес. Їх можна інтегрувати з існуючими програмами та значно зменшити випадки крадіжки особистих даних і спроб фішингу.

Зрештою, за прогнозами Родрігеса, вони стануть галузевим стандартом, а прийняття багатонаціональними гігантами сприятиме їх широкому використанню.

«Використання ключів доступу на підприємствах, особливо в галузях, які відповідають за фінансові та особисті дані, є величезним кроком у правильному напрямку», — сказав Родрігес.

Але справді, це кінець паролям?

Оскільки безпарольні методи автентифікації змушують користувачів використовувати альтернативні облікові дані, вони ще більше зменшать — і, можливо, навіть усунуть — паролі, сказав Рабінович.

Зараз організації можуть мати кілька програм, які покладаються на пароль, в одному каталозі. Але оскільки ці програми переходять на автентифікацію без пароля, «одного разу пароль може більше не знадобитися», сказав він.

Якщо ця точка досягнута, паролі можуть бути повністю вимкнені в каталозі (хоча на даний момент лише кілька каталогів і служб ідентифікації дозволяють адміністраторам це робити). У деяких випадках адміністратори можуть встановлювати для паролів випадкові та безпечні значення, які не повідомляються користувачеві, «фактично виключаючи пароль з усіх користувальницьких завдань», — сказав Рабінович.

Як він зазначив, згенерувати та запам’ятати хороший пароль важко (і ще важче, якщо їх має бути багато). І, якщо ви забудете один або він буде скомпрометований, вам потрібно буде пройти процес скидання пароля. Хоча багато організацій розгортають самообслуговування скидання пароля (SSPR), скидання пароля за допомогою адміністратора може коштувати дорого: від 15 до 70 доларів США за подію.

Тим не менш, усі програми покладаються на паролі, і користувачі звикли до них, «навіть якщо вони люблять їх ненавидіти», сказав Рабінович.

Таким чином, нові методи аутентифікації та нові процеси для отримання, реєстрації, повсякденної аутентифікації та відновлення облікових записів повинні бути ретельно розроблені.

Як і все, плюси і мінуси

За словами Родрігеса, ключі доступу є безпечнішою та швидшою альтернативою паролям, а їх здатність передавати облікові дані між пристроями прискорює та спрощує відновлення облікового запису. Наприклад, якщо користувач втратить свій телефон, він може отримати пароль і використати його на іншому пристрої.

«Якщо ключі доступу використовуються з урахуванням досвіду користувача (UX), вони можуть допомогти споживачам позбутися звички використовувати паролі», — сказав Родрігес.

Проте, зазначив він, вони можуть не підходити для всіх бізнес-сценаріїв або для державних установ, які вимагають дотримання вказівок Національного інституту стандартів і технологій (NIST). Те саме стосується високорегульованих галузей, таких як фінансові послуги, де вимоги дотримання відрізняються залежно від країни чи регіону.

Крім того, ключі доступу не такі надійні, як інші стандарти FIDO, які використовують методи біометричної перевірки, такі як голос, дотик і розпізнавання обличчя, сказав Родрігес. А ключі доступу не можна використовувати для транзакцій із фінансовими установами через стандарти «Знай свого клієнта» (KYC), запроваджені для захисту фінансових установ від шахрайства, корупції, відмивання грошей і фінансування тероризму. Вони не можуть встановити особи користувачів; якщо їх запровадити, вони можуть посилити синтетичне шахрайство.

За його словами, використання лише ключів доступу у фінансових транзакціях все ще може становити певну небезпеку, і слід розглянути додаткову біометричну автентифікацію.

Оскільки регулюючі органи ще не прийняли використання лише ключа доступу для відповідності стандартам безпеки, необхідних у суворо регульованих галузях, таких як банківська справа та страхування, ключі доступу, принаймні на даний момент, повинні поєднуватися з іншим фактором автентифікації.

«Кількість факторів, залучених до автентифікації, — це рішення, яке в кінцевому підсумку буде приймати бізнес або підприємство, але споживачі та кінцеві користувачі матимуть право голосу», — сказав Родрігес.

Не кінець усього, бути всім

Рабінович погодився, що «не всі методи автентифікації без пароля однакові».

«Всі методи страждають від певних недоліків безпеки», — сказав він.

Наприклад, SMS-повідомлення та одноразові паролі (OTP) не такі безпечні, як друга або багатофакторна автентифікація (MFA), сказав він. Таким чином, їх слід використовувати лише в програмах із дуже низьким рівнем ризику.

Подібним чином мобільний push у поєднанні з локальною автентифікацією пристрою страждає від «push bombing» або «push vtogue», зазначив він. Зловмисники можуть скористатися цим, спонукаючи програму бомбардувати користувачів push-повідомленнями, які вони зрештою приймуть.

Крім того, хоча FIDO2 має дуже хороші властивості безпеки — він, наприклад, стійкий до фішингу, — він не визначає допоміжні процеси, такі як захист облікових даних користувача або правила відновлення облікового запису. Це може стати слабкою ланкою. Тому FIDO та всі інші методи автентифікації повинні бути ретельно розроблені.

Підтримка FIDO постачальниками автентифікації та керування доступом є майже універсальною. Деякі існуючі постачальники зазвичай обмежуються лише FIDO2, але деякі, включаючи Microsoft, Okta, RSA та ForgeRock, підтримують додаткові методи автентифікації. Вони можуть включати чарівні посилання (де користувачі входять до облікового запису, натиснувши посилання, надіслане їм електронною поштою, а не вводячи ім’я користувача та пароль) і біометричну автентифікацію.

Нові спеціалісти без паролів, зокрема 1KOSMOS, Beyond Identity, HYPR, Secret Double Octopus, Trusona, Truu та Veridium, підтримують багато випадків корпоративного використання.

FIDO2 є «дуже багатообіцяючим», але його впровадження ускладнюється відсутністю автентифікаторів роумінгу на основі смартфонів, які дозволяють використовувати смартфон як супутній пристрій для користувачів, які працюють на ПК. Однак із запровадженням і стандартизацією ключів доступу це зміниться, сказав Рабінович.

Поступова безпарольна еволюція

У майбутньому певні архітектури додатків спростять впровадження автентифікації без пароля, оскільки постачальник ідентифікаційної інформації/органи автентифікації можуть — або незабаром — підтримуватимуть автентифікацію без пароля.

Однак «для застарілих додатків, що залежать від пароля, це буде повільно», — сказав Рабінович. Він зазначив, що багато нових додатків SaaS все ще використовують пароль.

Зрештою, «це буде поступовий процес», — сказав Рабінович, «оскільки паролі настільки вкорінені».

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment