18 ноября 2021 1352

Беспарольная аутентификация

Беспарольная аутентификация: главный тренд будущего кибербезопасности

Беспарольная аутентификация — это подтверждение доступа любыми надежными способами, помимо пароля. Распространенные методы подразумевают проверку через дополнительное персональное устройство или учетную запись пользователя. Сюда же относятся и проверки через уникальные биометрические характеристики: лицо, отпечатки пальцев.

На первый взгляд, идея беспарольной аутентификации звучит прекрасно: снижаются риски угона учетных записей и аккаунтов, работа с устройствами становится удобнее — больше нет необходимости придумывать и запоминать сложные символьные комбинации, необходимые для надежной защиты.

Для компаний беспарольная политика тоже дает ощутимый эффект — самый нещадный вектор атак, связанный с применением методов социальной инженерии, сходит на нет с наступлением беспарольной эры.

Однако несмотря на очевидные преимущества, но массового перехода на беспарольные технологии пока не случилось...

Подводные камни «парольной парадигмы»

Исчезновение паролей предрекали множество раз, но мы по-прежнему защищаем с их помощью всё — от корпоративных приложений и онлайн-банкинга до учетных записей и электронной почты. Загвоздка в том, что в век бесконтрольной генерации учетных данных необходимо все еще управлять всеми этими доступами и запоминать множество ключей.

Тем не менее в 2020 году 20% россиян не могли вспомнить пароли или пин-коды от собственных банковских карт. Из-за нелепого человеческого фактора теряются доступы к крупным суммам. Некоторые случаи особенно обидные — например, в январе 2021 года программист из Сан-Франциско забыл код от кошелька с семью тысячами биткоинами (на тот момент это $240 млн).

Многие платформы предлагают регистрацию на них через создание кросс-связей с популярными соцсетями, почтовыми серверами и другими сервисами. При этом в СМИ регулярно появляются громкие заголовки о самых масштабных утечках.

Менеджеры паролей частично решают проблему, но сами ключи, хоть и предназначены для повышения безопасности, по-прежнему являются узким местом в любой ИБ-системе. Как только заветная комбинация символов оказывается в руках злоумышленников, перед ними открывается доступ к корпоративным системам.

Какую пользу может принести беспарольная аутентификация

Беспарольные доступы помогают решить проблему сразу по нескольким векторам:

    1. Улучшить пользовательский опыт, избавив нас от необходимости каждый раз придумывать и запоминать сложные комбинации символов.

    1. Повысить уровень корпоративной безопасности. Придумав альтернативу паролям, организации избавляются от одной из ключевых уязвимостей ИБ-системы и снижают действие человеческого фактора.

    1. Защититься от репутационных и финансовых рисков, снизив вероятность утечек данных.

    1. Снизить нагрузку на IT- и ИБ-специалистов, в чьи обязанности зачастую входят сброс данных и расследование киберинцидентов.

Сегодня команды крупнейших в мире IT-компаний усердно работают над тем, чтобы пароли ушли в прошлое, как неудобный, уязвимый и дорогостоящий способ защиты информации.

Со стороны бизнеса переход на беспарольные доступы может отпугнуть клиентов и сотрудников, поэтому разработчики стараются сделать этот переход плавным. В качестве альтернатив для традиционных парольных доступов создаются приложения, технологии и сервисы с биометрическими доступами, системы двухфакторной аутентификации и генераторы случайных ключей.

Необходимость использовать разные пароли для разных ресурсов накладывает дополнительную ответственность на каждого пользователя в отдельности и на сотрудников компаний — как пользователей корпоративной сети.

К сожалению, невозможно строго проконтролировать соответствие парольным политикам со стороны каждого сотрудника. Но разработчики создают корпоративные продукты, призванные защищать бизнес от рисков, связанных с человеческим фактором. Примером такого решения является ESET Secure Authentication с системой двухфакторной аутентификации. Подобные инструменты становятся особенно актуальными при гибридном и удаленном форматах работы, когда требуется более защищенное подключение к корпоративной сети. Системы двухфакторной аутентификации с генераторами случайных паролей достоверно снижают риски утечек данных по причине выбора ненадежных паролей сотрудниками.

Отказ от паролей — неизбежное будущее

Сегодня никто не готов отказаться от паролей полностью: принцип «под паролем — значит, в безопасности» крепко укоренился в нашем сознании. Однако утечки происходят все чаще. Сами инциденты с каждым годом становятся масштабнее, а ущерб от взлома корпоративных систем — ощутимее. При этом, когда компании пересматривают подходы к ИБ-системе, они довольно редко смотрят в сторону парольных политик.

Несмотря на все это, мир медленно, но верно движется в сторону отказа от паролей, развиваются биометрические технологии, усложняются генераторы случайных ключей. Рост популярности онлайн-сервисов и гибридного формата работы — вот новые катализаторы перехода к «беспарольной эре».

Комментарии

0
Оставьте комментарий!