Passwordless: без пароля, без проблем
В первый четверг мая принято праздновать Всемирный день паролей. World Password Day, учрежденный ИТ-специалистами, традиционно символизировал важность парольной защиты – надежной преграды на пути киберпреступников. Однако эксперты предрекают, что вероятность исчезновения этого праздника не так уж мала. Традиционные пароли перестают быть основным способом доказательства того, что пользователь – тот, за кого себя выдает.
Переход к альтернативным способам аутентификации обусловлен тем, что пароли легко скомпрометировать, они негативно влияют на пользовательский опыт, и предприятия ежегодно тратят на управление ими большие средства. Использование новых способов аутентификации позволит укрепить информационную безопасность компаний за счет минимального вмешательства пользователя. Концепция беспарольного доступа – Passwordless – в перспективе способна кардинально повлиять на рабочие процессы, усилить защиту корпоративной сети и личных данных, повысить эффективность сотрудников, в том числе работающих дистанционно.
Находка для шпиона
Уязвимость паролей хорошо иллюстрирует пример из детской литературы. Чтобы войти в гостиную Гриффиндора, ученики школы чародейства и волшебства Хогвартс должны были назвать пароль Полной даме, изображенной на картине перед входом. Пароли постоянно менялись – от «свиного пятачка» до «бананового торта», но гостиную так и не удалось обезопасить. Ученики забывали пароли или передавали их в ненадежные руки, Полная дама частенько покидала свой пост, а, будучи в удрученном состоянии духа, могла пропустить посетителей и вовсе без пароля. В итоге потребовалась поддержка нескольких троллей, чтобы охранять ее саму.
Сегодня на одного пользователя приходится 191 пароль. Несмотря на усилия, которые люди прикладывают для того, чтобы их вовремя сменить, запомнить и сохранить в тайне, пароли остаются легкой добычей для злоумышленников. По данным отчета Verizon Data Breach Investigation Report, украденные или слабые идентификационные данные послужили причиной 81% взломов и утечки корпоративной информации: кража паролей занимает второе место среди самых распространенных действий киберпреступников. По мнению компании Cisco, «охота на пароли» входит в пятерку ключевых киберугроз 2020 года. Тенденции, получившие распространение в этой сфере, схожи с применением программ-вымогателей. С помощью техники credential dumping атакующие завладевают идентификационными данными, хранящимися в памяти, в базах данных или в конфигурационных файлах ОС, проникают на компьютеры и копируют пароли.
Хуже того, мошенники могут установить легальные пароли, получить доступ ко всей сети и действовать, оставаясь незамеченными, без применения специальных программ. Это вполне ожидаемо, если учесть что самыми популярными паролями на протяжении многих лет остаются «123456», «password» или «QWERTY». 61% пользователей в каждой из учетных записей создают пароль из одного и того же или похожего набора букв, цифр и символов. Зачастую люди прибегают к стандартным приемам – придумывают секретные комбинации из собственных имен и дат рождения, используют имена близких или питомцев. Как правило, эти данные может вычислить любой желающий благодаря открытым блогам или аккаунтам в социальных сетях.
Постоянная смена паролей ведет к еще большей их шаблонности. Есть и скрытые расходы: за регулярной сменой паролей стоят значительные затраты и масштабное привлечение трудовых ресурсов. Немаловажно, что применение паролей связано с неудобствами для самого пользователя. «Не помню пароль для входа», «не приходит пароль в смс», «не могу восстановить пароль, потому что не помню электронную почту» – эти и другие проблемы, а также связанный с ними стресс, хорошо известны каждому. Ситуацию обостряет растущее число используемых сервисов и приложений, которые вновь и вновь требуют прохождения процедуры аутентификации.
Новое поколение санкционированного доступа
В течение всего периода пандемии Cisco активно работала со своими клиентами, стремясь обеспечивать непрерывность и адаптивность бизнеса. В число шести трендов, которые, по ее мнению, будут определять ближайшее будущее отрасли ИТ, вошло беспарольное будущее.
Массовый переход к удаленной работе в результате пандемии COVID-19 принес немало хороших плодов. Мобильность сотрудников, централизованное управление распределенными коллективами, рост использования облачных технологий позволили легко масштабировать бизнес и сокращать затраты, не теряя эффективности. Однако расширение горизонта атаки стало причиной возникновения новых угроз информационной безопасности. Компаниям приходилось спешно менять политики ИБ и внедрять модернизированные стандарты. Данные пользователей стали новым периметром безопасности.
Средства многофакторной аутентификации помогут справиться с текущей ситуацией. Кастомизация новейших технологий, их адаптация в соответствии с требованиями пользователей делает многофакторную аутентификацию доступной и удобной. Вместе с тем совершенствуются разработанные ранее стандарты, формируются передовые практики.
Одновременно для решения проблем может использоваться методология информационной безопасности на основе принципа нулевого доверия. Это комплексный подход к защите любого доступа в сетях, приложениях и средах. Соблюдая его принципы, можно обеспечить безопасный доступ пользователей, устройств конечных пользователей, API-интерфейсов, устройств «Интернета вещей», микросервисов и т. д. Система обеспечения безопасности по модели нулевого доверия помогает предотвратить несанкционированный доступ и снизить вероятность горизонтального перемещения хакера по сети.
Еще одним шагом в сторону беспарольного будущего является использование единой процедуры регистрации в нескольких ИТ-системах. Различные технологии способны выступить в качестве альтернативного метода аутентификации. Для работы на смартфонах, ноутбуках и ПК сегодня широко распространены криптографические токены и биометрические технологии, для веб-приложений – многофакторная аутентификация на основе спецификации FIDO2. Отчет 2020 Duo Trusted Access Report показал, что 80% используемых для работы мобильных устройств настроены на применение биометрии.
По прогнозам Cisco, в будущем концепцию беспарольного доступа предполагается реализовать для всех корпоративных сценариев: гибридных, облачных, локальных и т. д. Неисключено, что ИБ-специалисты и пользователи столкнутся с рядом сложностей, таких как непонимание сотрудников, несовершенство технологий, необходимость использовать одно и то же устройство для выполнения рабочих задач, законодательные барьеры и т. д. Однако все они – симптомы так называемой болезни роста. Внедрение беспарольного доступа – это возможность пересмотреть принципы аутентификации и создать системы, которые будет столь же легко использовать, как и трудно взломать.
***
Представители компании Duo Security выявили пять главных этапов перехода к беспарольной аутентификации, следуя которым компания может получить немало бизнес-преимуществ, включая удобное взаимодействие с пользователем, сокращение времени и затрат ИТ и более надежную систему безопасности:
-
выявление всех процессов и действий, в которых возможен отказ от введения пароля и замена его на достойную и надежную альтернативу;
-
оптимизация и консолидация всех рабочих процессов аутентификации;
-
достижение доверия пользователей к многофакторной аутентификации;
-
формирование опыта в использовании беспарольных решений;
-
оптимизация существующих наборов инструментов и их усовершенствование.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 01.06.2021