 Одна из наиболее заметных уязвимостей, которые обеспечивают успешные
кибератаки – это плохое управление паролями. Независимо от того, есть ли у
сотрудника компании один очень простой пароль для входа во все информационные системы, или сотрудники постоянно забывают свой сложный пароль
и часто его сбрасывают, плохое управление паролями является основной
причиной мошенничества с идентификацией.
Специалисты по кибербезопасности вынуждены взвешивать баланс между
удобством и надёжностью защиты своих клиентов, не жертвуя при этом
удобством для сотрудников. Трата нескольких минут каждый раз, когда кто-то
входит в свою электронную почту или во внутреннюю сеть компании, означает
потерю рабочего времени. Сегодня предприятия, вне зависимости от своего
размера, сталкиваются с серьезными уязвимостями в системе безопасности,
особенно в связи с растущим числом сотрудников, работающих с цифровой
информацией. Изменить ситуацию в лучшую сторону можно при помощи
подтверждения личности биометрическими данными.
Когда слышат выражение «биометрическая идентификация», обычно вспоминают про Face ID и Touch ID, которые обеспечивают достаточный уровень
безопасности для потребителя, но для предприятий, хранящих секретную
информацию или конфиденциальные данные, эти методы идентификации не
имеют критически важной поддержки. Face ID и Touch ID поддерживаются
только паролем, который пользователь предоставляет при настройке. Если
кто-то получает пароль и устанавливает собственный Face ID или Touch ID,
то они становятся бесполезными для защиты информации, и организации
возвращаются к исходной точке с теми же уязвимостями.
Проблема с паролем: выявление уязвимостей с помощью систем SSO и MFA
Чтобы понять, почему использование правильных биометрических данных
является ответом на киберуязвимости, нужно с самого начала понять, почему
пароли представляют собой проблему. Более 81% утечек данных8 вызваны
неправильным управлением паролями. Многие организации считают, что
систем единого входа и многофакторной аутентификации (MFA) достаточно,
чтобы обеспечить надёжную защиту, но это является заблуждением. Хакеры
могут легко взломать эти системы, обманывая конечных пользователей
(например, при помощи фишинг-атак) или выявляя пароли с общедоступной
информацией. Например, взлом SolarWinds был результатом использования
SSO в обход систем MFA.
Зачастую организации признают уязвимость, присущую паролям, но надеются, что риски их использования не будут реализованы. Совместное
использование паролей и повторное их использование – две основные
причины компрометации паролей. В мире нет системы, которая могла бы
гарантировать, что компрометация паролей не случится.
Биометрические идентификаторы, которые изначально полагаются на пароли,
по сути, бесполезны. Что можно сделать, чтобы защитить себя от этих препятствий? Достижения в области биометрических технологий и принятие строгих
отраслевых стандартов сделали защиту биометрических идентификаторов
без пароля жизнеспособным вариантом для организаций любого размера.
Важно, что данные технологии внедрить проще, чем многие думают.
«Настоящая» биометрия без пароля
Есть несколько способов смягчить недостаток идентификации для биометрических устройств.
Один из распространенных методов – это использование
камеры на смартфонах. Изображения с камеры связывает получаемые с её
помощью изображения с личностью владельца. В 2017 году правительство
США выпустило стандарт «подтверждения личности» под названием NIST
800-63-3, который определяет, как доверять кому-либо дистанционно.
Концепция проста: пользователь представляет учетные данные (включая
изображение, например, фотографию на водительском удостоверении), и
они сопоставляются с лицом пользователя с помощью «селфи» камеры.
Документы проверены, изображения должны совпадать. Эти документы
являются ключом к точной аутентификации. Вместо того чтобы полагаться
на пароль, лица пользователей сравниваются с реальными, поддающимся
проверке документами, что повышает защиту. Важным шагом в этом процессе
является шифрование «селфи» пользователя (или короткого видео для предотвращения спуфинга) с помощью ключа шифрования, который есть только
у пользователя. Это позволяет запрашивать подтверждение личности каждый
раз, когда пользователь входит в систему. Использование ключей шифро вания становится все более популярным, благодаря работе
альянса FIDO, который использует аналогичные принципы.
Каждый раз, когда требуется подтвердить, кто выполняет
аутентификацию, необходимо просто посмотреть в камеру и
сопоставить это изображение с зарегистрированным ранее.
Конечным результатом является процесс, столь же простой,
как традиционный Face ID или Touch ID, но значительно более
безопасный.
Игра в догонялки: где внедрять биометрию сейчас
На уровне предприятия и потребителя стандартизированная
проверка биометрических идентификаторов и аутентификация без пароля могут решить значительное количество
проблем с безопасностью. Например, многие системы и
приложения используют TOFU, отраслевую аббревиатуру,
которая расшифровывается как «доверие при первом
использовании». Традиционно, когда устанавливается
новое приложение или новый компьютер, он запрашивает
имя пользователя и пароль, а затем разрешает работу без
пароля. Аутентификация без пароля на основе FIDO в сочетании со стандартом проверки подлинности NIST 800-63-3
устраняет недостатки TOFU на основе пароля. Обычно это
делается путем того, что пользователь сканирует QR-код в
запрашивающей системе или на веб-странице. Это запускает
безопасный канал, с использованием которого пользователь
предоставляет свои настоящие биометрические данные и
входит в систему, не касаясь клавиатуры.
А что дальше?
Задача внедрения новой технологии, основанной на стандартах биометрии, состоит в том, чтобы разрушить десятилетия
веры в то, что пароли и имена пользователей можно постоянно улучшать, вместо того, чтобы признать, что они изначально
уязвимы. Специалисты по кибербезопасности часто пытаются
найти баланс между надежной защитой и простым доступом.
Многие сотрудники хорошо осведомлены о необходимости
указывать имя пользователя и пароль, получать по SMS или
другим способом одноразовый пароль. Для полного перехода к биометрии в этом направлении потребуется время, но
этот процесс уже идет.
Gartner сообщает, что 80% организаций9 будут проводить
проверку документов и личности как часть процесса адаптации, 60% крупных предприятий10 и 90% предприятий
среднего размера11 будут внедрять методы идентификации
без пароля в ближайшем будущем. Даже недавний указ президента США Байдена призывает к более строгим формам
аутентификации, поощряя частный сектор сделать это своим
главным приоритетом для собственной кибербезопасности.
Пришло время, когда наличие продвинутых биометрических
средств контроля позволит создать надлежащую стратегию
предотвращения кибератак, мошенничества с идентификационными данными. Без внедрения современных биометрических технологий организации подвержены большему
риску кибератак.
1https://www.securitymagazine.com/articles/87787-hackers-attack-every-39-seconds
2 https://www.cybintsolutions.com/cyber-security-facts-stats/
3 https://www.prweb.com/releases/new_study_reveals_one_in_three_smbs_use_free_consumer_cybersecurity_and_one_in_five_use_no_endpoint_security_at_all/prweb16921507.htm
4 https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf
5 https://www.alliantcybersecurity.com/the-flight-to-remote-working-cybersecurity/
6 https://sterlingidentity.com/
7 https://offers.sterlingcheck.com/en-us/the-state-of-identity-verification.
8 https://bnd.nd.gov/81-of-company-data-breaches-due-to-poor-passwords/#:~:text=According%20to%20the%20recent%20Verizon,weak%20passwords.%E2%80%9D%20The%20solution%3F
9 https://www.forbes.com/sites/jumio/2021/03/01/predicting-a-seismic-shift-in-the-identity-proofing-space/?sh=10c260c66f91
10 https://www.forbes.com/sites/forbestechcouncil/2021/04/20/why-ispasswordless-authentication-met-with-reluctance/?sh=59d39cc266d0
11 https://www.forbes.com/sites/forbestechcouncil/2021/04/20/why-ispasswordless-authentication-met-with-reluctance/?sh=2a23fdbc66d0
| 
