УправлениеБезопасность

Passwordless: без пароля, без проблем

Михаил Кадер | 01.06.2021

Passwordless: без пароля, без проблем

По мнению компании Cisco, «охота на пароли» входит в пятерку ключевых киберугроз 2020 года

В первый четверг мая принято праздновать Всемирный день паролей. World Password Day, учрежденный ИТ-специалистами, традиционно символизировал важность парольной защиты – надежной преграды на пути киберпреступников. Однако эксперты предрекают, что вероятность исчезновения этого праздника не так уж мала. Традиционные пароли перестают быть основным способом доказательства того, что пользователь – тот, за кого себя выдает.

Переход к альтернативным способам аутентификации обусловлен тем, что пароли легко скомпрометировать, они негативно влияют на пользовательский опыт, и предприятия ежегодно тратят на управление ими большие средства. Использование новых способов аутентификации позволит укрепить информационную безопасность компаний за счет минимального вмешательства пользователя. Концепция беспарольного доступа – Passwordless – в перспективе способна кардинально повлиять на рабочие процессы, усилить защиту корпоративной сети и личных данных, повысить эффективность сотрудников, в том числе работающих дистанционно.

Находка для шпиона

Уязвимость паролей хорошо иллюстрирует пример из детской литературы. Чтобы войти в гостиную Гриффиндора, ученики школы чародейства и волшебства Хогвартс должны были назвать пароль Полной даме, изображенной на картине перед входом. Пароли постоянно менялись – от «свиного пятачка» до «бананового торта», но гостиную так и не удалось обезопасить. Ученики забывали пароли или передавали их в ненадежные руки, Полная дама частенько покидала свой пост, а, будучи в удрученном состоянии духа, могла пропустить посетителей и вовсе без пароля. В итоге потребовалась поддержка нескольких троллей, чтобы охранять ее саму.

Сегодня на одного пользователя приходится 191 пароль. Несмотря на усилия, которые люди прикладывают для того, чтобы их вовремя сменить, запомнить и сохранить в тайне, пароли остаются легкой добычей для злоумышленников. По данным отчета Verizon Data Breach Investigation Report, украденные или слабые идентификационные данные послужили причиной 81% взломов и утечки корпоративной информации: кража паролей занимает второе место среди самых распространенных действий киберпреступников. По мнению компании Cisco, «охота на пароли» входит в пятерку ключевых киберугроз 2020 года. Тенденции, получившие распространение в этой сфере, схожи с применением программ-вымогателей. С помощью техники credential dumping атакующие завладевают идентификационными данными, хранящимися в памяти, в базах данных или в конфигурационных файлах ОС, проникают на компьютеры и копируют пароли.

Хуже того, мошенники могут установить легальные пароли, получить доступ ко всей сети и действовать, оставаясь незамеченными, без применения специальных программ. Это вполне ожидаемо, если учесть что самыми популярными паролями на протяжении многих лет остаются «123456», «password» или «QWERTY». 61% пользователей в каждой из учетных записей создают пароль из одного и того же или похожего набора букв, цифр и символов. Зачастую люди прибегают к стандартным приемам – придумывают секретные комбинации из собственных имен и дат рождения, используют имена близких или питомцев. Как правило, эти данные может вычислить любой желающий благодаря открытым блогам или аккаунтам в социальных сетях.

Постоянная смена паролей ведет к еще большей их шаблонности. Есть и скрытые расходы: за регулярной сменой паролей стоят значительные затраты и масштабное привлечение трудовых ресурсов. Немаловажно, что применение паролей связано с неудобствами для самого пользователя. «Не помню пароль для входа», «не приходит пароль в смс», «не могу восстановить пароль, потому что не помню электронную почту» – эти и другие проблемы, а также связанный с ними стресс, хорошо известны каждому. Ситуацию обостряет растущее число используемых сервисов и приложений, которые вновь и вновь требуют прохождения процедуры аутентификации.

Новое поколение санкционированного доступа

В течение всего периода пандемии Cisco активно работала со своими клиентами, стремясь обеспечивать непрерывность и адаптивность бизнеса. В число шести трендов, которые, по ее мнению, будут определять ближайшее будущее отрасли ИТ, вошло беспарольное будущее.

Массовый переход к удаленной работе в результате пандемии COVID-19 принес немало хороших плодов. Мобильность сотрудников, централизованное управление распределенными коллективами, рост использования облачных технологий позволили легко масштабировать бизнес и сокращать затраты, не теряя эффективности. Однако расширение горизонта атаки стало причиной возникновения новых угроз информационной безопасности. Компаниям приходилось спешно менять политики ИБ и внедрять модернизированные стандарты. Данные пользователей стали новым периметром безопасности.

Средства многофакторной аутентификации помогут справиться с текущей ситуацией. Кастомизация новейших технологий, их адаптация в соответствии с требованиями пользователей делает многофакторную аутентификацию доступной и удобной. Вместе с тем совершенствуются разработанные ранее стандарты, формируются передовые практики.

Одновременно для решения проблем может использоваться методология информационной безопасности на основе принципа нулевого доверия. Это комплексный подход к защите любого доступа в сетях, приложениях и средах. Соблюдая его принципы, можно обеспечить безопасный доступ пользователей, устройств конечных пользователей, API-интерфейсов, устройств «Интернета вещей», микросервисов и т. д. Система обеспечения безопасности по модели нулевого доверия помогает предотвратить несанкционированный доступ и снизить вероятность горизонтального перемещения хакера по сети.

Еще одним шагом в сторону беспарольного будущего является использование единой процедуры регистрации в нескольких ИТ-системах. Различные технологии способны выступить в качестве альтернативного метода аутентификации. Для работы на смартфонах, ноутбуках и ПК сегодня широко распространены криптографические токены и биометрические технологии, для веб-приложений – многофакторная аутентификация на основе спецификации FIDO2. Отчет 2020 Duo Trusted Access Report показал, что 80% используемых для работы мобильных устройств настроены на применение биометрии.

По прогнозам Cisco, в будущем концепцию беспарольного доступа предполагается реализовать для всех корпоративных сценариев: гибридных, облачных, локальных и т. д. Неисключено, что ИБ-специалисты и пользователи столкнутся с рядом сложностей, таких как непонимание сотрудников, несовершенство технологий, необходимость использовать одно и то же устройство для выполнения рабочих задач, законодательные барьеры и т. д. Однако все они – симптомы так называемой болезни роста. Внедрение беспарольного доступа – это возможность пересмотреть принципы аутентификации и создать системы, которые будет столь же легко использовать, как и трудно взломать.

***

Представители компании Duo Security выявили пять главных этапов перехода к беспарольной аутентификации, следуя которым компания может получить немало бизнес-преимуществ, включая удобное взаимодействие с пользователем, сокращение времени и затрат ИТ и более надежную систему безопасности:

  • выявление всех процессов и действий, в которых возможен отказ от введения пароля и замена его на достойную и надежную альтернативу;

  • оптимизация и консолидация всех рабочих процессов аутентификации;

  • достижение доверия пользователей к многофакторной аутентификации;

  • формирование опыта в использовании беспарольных решений;

  • оптимизация существующих наборов инструментов и их усовершенствование.

Cisco Киберугрозы Информационная безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 05/2021], Подписка на журналы

Об авторах

Михаил Кадер

Михаил Кадер

заслуженный системный инженер Cisco


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00
Форум «Цифровое предприятие»
Москва, отель Метрополь, Театральный проезд, 2
26.08.2021 — 27.08.2021
09:30–17:00