Внедрение беспарольных технологий — это тактический ход для поддержки инициатив по укреплению информационной безопасности, основанный на упрощении действий пользователей. Устранив пароль как основной фактор аутентификации, на ноутбуках и ПК можно регистрироваться с помощью биометрических данных, а для веб-приложений это будет, скорее всего, аутентификация на основе спецификации FIDO2.
Введение
Отвлекитесь на минутку и постарайтесь вспомнить ваш первый выход в онлайн или, может быть, первый сеанс за терминалом. Ожидание того, что сейчас что-то произойдёт. Вам предлагают ввести пароль. Ваш первый пароль. Что вы напечатали?
Признаюсь, у меня есть лёгкая ностальгия по моим первым паролям. Ведь они что-то для меня значили. Маленький фрагмент текста, секрет, который знали только я и мой компьютер. Но не только я выбирал подобные пароли. В конце прошлого года энтузиасты нашли и взломали первые пароли операционной системы BSD. Речь идёт о начале 80-х гг. прошлого века. Два пароля меня удивили. Кен Томпсон использовал запись шахматного хода в описательной нотации (p/q2-q4!). Умно. Эрик Шмидт выбрал в качестве пароля имя жены (wendy!!!). Восхитительно.
Обычно я придумывал шутливые пароли. Иногда давал себе обещания (saveMoney! — «экономьДеньги!» — и sleep@ More — «спи@ Дольше»). Готов поспорить, что и вы делали то же самое. Что же изменилось?
Пароль со смыслом целесообразно придумывать, когда он первый. С двумя-тремя следующими можно пошутить. А что делать, когда их сотни? Изобретать очередную неповторимую фразу? Какая скука. Хуже может быть только старый, давно известный пароль (не говорите мне, что вы их не используете). Помните казавшуюся тогда оригинальной идею наклеек с паролями? У кого найдется место на мониторе, чтобы расположить сотню таких наклеек?
Я не варю мыло. Я не ощипываю кур. И я больше не придумываю пароли. Сегодня большинство моих паролей генерируются случайным образом. Если честно, то я жду не дождусь, когда и случайные пароли окажутся там же, где и домашнее мыло, акустические модемы и ЭЛТ-мониторы.
Попробуем заглянуть в беспарольное будущее.
Когда пароли не нужны
Чтобы пароли исчезли, сначала их должно стать меньше. Локально можно в качестве обходного пути установить менеджер паролей. Централизованно — систему единой регистрации (single sign-on, SSO). Суть — в том, чтобы определить используемые процессы аутентификации и затем начать уменьшать сложность.
На этом пути нас подстерегают проблемы. Во-первых, задача не так проста, как кажется. В среднем в корпоративной среде на одного пользователя приходится 191 пароль. На то, чтобы их упорядочить, оценить и консолидировать, нужно время. Во-вторых, пароли при этом всё ещё подвержены компрометации. Хотя их стало меньше, они остались тем же, чем и были — долгосрочным общим секретом как основным фактором аутентификации.
Повысить информационную безопасность можно устранив пароль как основной фактор аутентификации. Например, на ноутбуках и ПК можно регистрироваться с помощью биометрических данных, используя технологии Secure Enclave и Trusted Platform Module (TPM) для приложений Touch ID или Windows Hello. Для веб-приложений это будет, скорее всего, аутентификация на основе спецификации FIDO2, в которой используются стандарты WebAuthn (Web Authentication) и CTAP (Client-to-Authenticator Protocol). В перспективе беспарольный доступ будет реализован для всех корпоративных вариантов (гибридных, облачных, локальных, а также для унаследованных приложений).
Для пользователей жизнь без паролей означает ускоренную аутентификацию с минимальными издержками. Преступники же сталкиваются с информационной технологией, где нет общих секретов, которые можно было бы скопировать, воспроизвести или взломать с помощью грубой силы. А для администраторов жить без паролей — это постепенно находить возможности для применения беспарольных технологий и поэтапно их внедрять к полному удовольствию пользователей.
Быстрые победы и долгосрочные перспективы беспарольности
Стратегия требует стимулировать людей и выделять ресурсы для достижения цели. Как я уже писал в статье «Thinking Strategically About Passwordless», внедрение беспарольных технологий — это тактический ход для поддержки инициатив по укреплению информационной безопасности, основанный на упрощении действий пользователей. Приоритетность бизнес-проектов определяется по указанию руководства, по достигнутым результатам или по необходимым усилиям. Попробуйте найти поддержку своему проекту, предоставив беспарольный доступ ключевым фигурам и адептам информационной безопасности. Рассмотрите предоставление беспарольного доступа рабочим группам, в которых требуется большое число аутентификаций или смен паролей — это сэкономит время и затраты на техподдержку. И, конечно, хорошим вариантом для продвижения будет демонстрация минимума необходимых усилий — как, например, внедрение приложений, которые уже поддерживают FIDO2.
Не везде внедрение беспарольной аутентификации проходит без проблем. Один из примеров — неспособность или нежелание персонала пользоваться биометрией. Как мы недавно видели, это может происходить, когда средства индивидуальной защиты мешают распознаванию лиц или отпечатков пальцев. Кроме того, некоторые испытывают затруднения с регистрацией этих отпечатков. Чаще всего такое случается со старшими сотрудниками. Ещё один камень преткновения ждёт нас там, где совместное использование оборудования является нормой, например в операторских центрах. Многие беспарольные решения привязывают сотрудника к его устройству для строгой аутентификации. Эта модель не работает, когда несколько человек пользуются одним и тем же устройством. В таких случаях лучше сначала поработать с другими моделями в ожидании очередных технических достижений.
Многие стандарты требуют, чтобы для аутентификации использовались пароль и ещё один или несколько дополнительных факторов. Конечно, можно утверждать, что беспарольная аутентификация обеспечивает тот же уровень безопасности, но стандартам и аудиторам необходимо время для восприятия новых веяний. Сейчас лучше всего начать переговоры с внутренним аудитом, доказывая тем временем преимущества беспарольной технологии в других областях.
Выводы
Для того чтобы организации могли подготовиться к внедрению беспарольных технологий, мы издали новый информационный материал: Passwordless: The Future of Authentication («Беспарольные технологии — будущее аутентификации»). В нём вы найдёте описание пяти этапов перехода к беспарольной аутентификации.
Обеспечение беспарольности подразумевает постепенный переход от парольной аутентификации к использованию других методов. Конечная цель — усовершенствовать рабочие процессы сотрудников, избавившись при этом от многих лазеек, которые преступники сегодня используют для получения доступа.
Не везде переход к беспарольным технологиям будет проходить гладко. Мы находимся в самом начале пути, и на то, чтобы инфраструктура и персонал могли подготовиться, необходимо время. Но не всё так плохо: мы в это время можем заняться стратегическим планированием и реализацией этого перехода.
Не знаю, как вам, но мне было бы интересно посмотреть, как через 40 лет станут взламывать мой пароль. «Что же он подразумевал под Wdx8yJGzXXOuobE3?» — будет вопрошать неизвестный хакер, удивляясь временам, когда люди должны были вручную вводить регистрационные данные.
