Актуальные проблемы корпоративной многофакторной аутентификации

Актуальные проблемы корпоративной многофакторной аутентификации

В середине августа мы провели онлайн-конференцию AM Live «Выбор корпоративной системы многофакторной аутентификации (MFA)», в ходе которой спросили зрителей прямого эфира о том, какие подходы к аутентификации применяются в их компаниях, что они думают о безопасности современных аппаратных ключей и стоит ли выпускать специальные версии токенов для женщин.

 

 

 

 

  1. Какой подход к аутентификации лежит в основе системы защиты в вашей компании?
  2. Должны ли производители выпускать специальные версии токенов для женщин?
  3. Возможно ли извлечение неизвлекаемого ключа из токена?

 

13 августа состоялась очередная онлайн-конференция AM Live, посвящённая на этот раз выбору корпоративной системы многофакторной аутентификации (MFA).  Приглашённые эксперты — лидеры отрасли в течение двух часов обсуждали актуальные вопросы, связанные с необходимостью и применимостью MFA, использованием биометрии, преимуществами отечественных и зарубежных решений. По традиции мы предложили зрителям принять участие в опросах, связанных с заданной темой, и представляем вашему вниманию анализ полученных результатов.

 

Какой подход к аутентификации лежит в основе системы защиты в вашей компании?

В первую очередь мы спросили зрителей онлайн-конференции о том, как решается вопрос с аутентификацией в их организациях. Более половины респондентов выбрали вариант «Пользователи что-то знают», описывающий классическую аутентификацию на базе секретных кодов. Так ответил 51 % опрошенных, подтвердив мнение экспертов конференции, что несмотря на очевидные проблемы с безопасностью парольная защита остаётся одним из самых распространённых способов аутентификации.

Треть участников опроса отметили, что используют токены, смарт-карты и другие средства многофакторной аутентификации: ответ «Пользователи чем-то владеют» выбрали 33 % респондентов. Классическая многофакторная аутентификация значительно снижает риск взлома: специалисты Microsoft утверждают, что атак с обходом MFA крайне мало.

Ещё 4 % выбрали вариант «Пользователи чем-то обладают», который подразумевал неотъемлемые черты личности — биометрические параметры. Разумность использования биометрии как основного способа аутентификации на корпоративном уровне вызывает сомнения — особенно если речь идёт о «бытовых» устройствах: сканерах отпечатков пальцев в мобильных телефонах и о системах распознавания лиц. К сожалению, точность работы таких систем не позволяет применять их для строгой аутентификации, а значит, биометрию правильнее использовать как дополнительный фактор.

Ответ «Другое» выбрали 12 % опрошенных. Возможно, это зрители, затруднившиеся ответить, или представители компаний, где средства аутентификации используются в незначительной степени.

 

Рисунок 1. Используемые подходы к аутентификации

 Используемые подходы к аутентификации

 

Должны ли производители выпускать специальные версии токенов для женщин?

Во второй части беседы мы спросили у зрителей, должны ли, на их взгляд, производители токенов учитывать половую принадлежность пользователей и делать красивые токены для женщин. Несмотря на провокационный подтекст, такая постановка вопроса не лишена смысла — ведь внешний вид токена в ряде случаев может повлиять на то, насколько охотно владелец будет им пользоваться. Например, существует гипотеза, что обладательница красивого «женского» токена будет реже забывать его в компьютере.

Тем не менее аудитория онлайн-конференции оказалась настроенной весьма скептично — только 8,64 % одобрили выпуск специальных токенов для женщин. Больше половины, 55,56 % респондентов, выбрали вариант «Нет, у нас все равны», подчеркнув гендерное равноправие пользователей систем многофакторной аутентификации. Ещё 35,8 % опрошенных заявили, что не стоит ограничиваться только женщинами, очевидно подразумевая необходимость выпуска токенов и для других гендерных, социальных или даже религиозных групп.

Спикеры онлайн-конференции, среди которых были и производители токенов, подтвердили тенденции, отражённые в результатах опроса. Массовый спрос на индивидуализированные носители, по мнению экспертов, невысок, однако вендоры готовы его удовлетворить. Так, если заказчик потребует сделать золотой токен или носитель со стразами, это не вызовет затруднений у продавцов соответствующих решений.

Отметим также, что отечественная корпоративная культура не настолько чувствительна к вопросам выделения гендерных и социальных групп, поэтому спрос на уникальные токены подобного рода ожидаемо невысок.

 

Рисунок 2. Должны ли производители сделать красивый токен для женщин?

 Должны ли производители сделать красивый токен для женщин?

 

Возможно ли извлечение неизвлекаемого ключа из токена?

В заключение мы решили выяснить, что думают зрители по поводу возможности взлома токена через анализ его электромагнитного излучения. Можно ли извлечь неизвлекаемый ключ посредством аппаратной атаки?

По мнению участников опроса, такая возможность существует. Этой позиции придерживается 56,67 % зрителей онлайн-конференции, принявших участие в голосовании. Более того, 5 % высказавшихся утверждают, что выполняли подобные манипуляции с токеном.

Необходимо помнить, что устройство, призванное обеспечивать безопасность, по умолчанию само должно быть безопасным. Иными словами, разработчики должны принимать меры для противодействия взлому ключевого носителя на аппаратном уровне. Однако проектирование защищённого токена — сложный и дорогостоящий процесс, в ходе которого могут быть допущены ошибки. В результате разные модели ключей, созданные разными производителями, могут содержать те или иные уязвимости.

Поэтому невозможно согласиться с 38,33 % участников опроса, которые считают, что взлом токена через электромагнитное излучение принципиально невозможен. Скорее, необходимо добавить, что отдельные модели носителей лучше других защищены от этого типа атак.

 

Рисунок 3. Возможен ли взлом токена через его электромагнитное излучение?

 Возможен ли взлом токена через его электромагнитное излучение?

 

Если вы не согласны со зрителями конференции или выступавшими экспертами, то можете высказать свое мнение о надёжности современных токенов в комментариях под записью эфира. Не забудьте подписаться на канал и настроить уведомления о новых видео, чтобы не пропустить наши новые онлайн-конференции и другие материалы.

Вы также можете узнать, как отвечали на наши вопросы зрители конференций AM Live «Выбор эффективной DLP-системы» и «Параметры выбора коммерческого SOC».

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru