Проблема доступа: можно ли жить и работать без паролей

Многочисленные пароли для доступа ко всевозможным IT-сервисам и приложениям сложно запоминать, хранить, защищать. При этом скомпрометировать пароль или забыть его - проще простого. Сегодня эксперты в сфере информационной безопасности говорят о будущем без паролей: они перестанут быть основным фактором аутентификации пользователей-> window.Ya.adfoxCode.createAdaptive({ ownerId: 265431, containerId: 'bn6_83929141', params: { pp: 'g', ps: 'craw', p2: 'fvdg', pk: 'война авария происшествие', pke: '1' } }, ["tablet"], { tabletWidth: 999, phoneWidth: 767, isAutoReloads: false }); Каждый может представить, как неприятно потерять доступ к личной почте или социальной сети, если пароль от них каким-то образом получат интернет-мошенники. Еще неприятнее - остаться без денег из-за скомпрометированного PIN-кода банковской карты. Но что будет, если злоумышленник получит доступ к корпоративной базе данных или жизненно-важным системам предприятия? Сегодня пароли являются основным фактором аутентификации пользователей, но это далеко не самый современный и безопасный способ проверки.

"Я не варю мыло. Я не ощипываю кур. И я больше не придумываю пароли. Сегодня большинство моих паролей генерируются случайным образом. Если честно, то я жду не дождусь, когда и случайные пароли окажутся там же, где и домашнее мыло, акустические модемы и ЭЛТ-мониторы", - пишет он.

Резко отказаться от использования паролей в компании невозможно - для начала необходимо снизить их количество. Локально - можно установить менеджер паролей. Централизованно - систему единой регистрации (single sign-on, SSO). Суть в том, чтобы определить используемые процессы аутентификации и затем начать уменьшать сложность, указывает эксперт. Когда учетные данные регулярно собираются и систематизируются, вырисовывается более понятная картина. Задача не так проста, как может показаться. Согласно отчету 2017 года, на одного сотрудника предприятия в среднем приходится 191 пароль. Чтобы их упорядочить, оценить и консолидировать, нужно время.

Составив общую картину, проще перейти к следующему шагу: устранению пароля как основного способа аутентификации. Например, войти в систему ПК сегодня можно с помощью биометрических данных, используя технологии Secure Enclave и Trusted Platform Module (TPM) для приложений Touch ID или Windows Hello. Для веб-приложений существует аутентификация на основе спецификации FIDO2, в которой используются стандарты WebAuthn (Web Authentication) и CTAP (Client-to-Authenticator Protocol).

Вольфганг Герлих прогнозирует, что в перспективе беспарольный доступ будет реализован для всех корпоративных сценариев: гибридных, облачных, локальных, а также для унаследованных приложений. Для компаний это - путь к повышению информационной безопасности. Для системных администраторов - заметное облегчение. Ну а для пользователей жизнь без паролей означает ускоренную аутентификацию с минимальными издержками. Что касается злоумышленников - им станет несколько сложнее. В предлагаемых технологиях нет некоего общего алгоритма взлома, нельзя "подобрать" отпечаток пальца или скопировать лицо.

Но так ли необходимо отказываться от паролей? По мнению эксперта компании Duo Security внедрение беспарольных технологий - это тактический ход для поддержки инициатив по укреплению информационной безопасности, основанный на упрощении действий пользователей.

"Попробуйте найти поддержку своему проекту, предоставив беспарольный доступ ключевым фигурам и адептам информационной безопасности. Рассмотрите предоставление беспарольного доступа рабочим группам, в которых требуется большое число аутентификаций или смены паролей - это сэкономит время и затраты на техподдержку. И, конечно, хорошим вариантом для продвижения будет демонстрация минимума необходимых усилий, как, например, внедрение приложений, которые уже поддерживают FIDO2", - рекомендует Вольфганг Герлих.

Нельзя сказать, что внедрение беспарольной аутентификации возможно везде и совершенно без проблем. Одним из препятствий может стать непонимание сотрудников или нежелание персонала пользоваться биометрией. Несовершенство технологий, которые призваны упрощать доступ, но на самом деле его усложняют - тоже сдерживающий фактор. Если биометрическая система работает плохо и не позволяет запустить ПК с первого, второго, третьего раза - человек начинает ненавидеть такую систему. Те же затруднения могут возникнуть с регистрацией отпечатков пальцев.

Еще один "подводный камень" скрывается там, где совместное использование оборудования является нормой. Многие беспарольные решения сегодня привязывают сотрудника к его устройству для строгой аутентификации. Эта модель не может работать, когда одним устройством пользуются несколько человек.

Также важный момент, о котором нужно помнить при выборе вариантов перехода к беспарольности, - соответствие требованиям законодательства. Во многих случаях - например, для доступа к банковским приложениям - для аутентификации требуется наличие пароля и еще одного или нескольких дополнительных факторов.

Однако несмотря на перечисленные препятствия, задуматься о внедрении беспарольных технологий стоит уже сейчас. Обеспечение беспарольности для Duo Security и Cisco - дело не одного дня и даже года. Оно подразумевает постепенный переход от парольной аутентификации к использованию других методов. Целью при этом становится повышение защищенности корпоративных систем при упрощении процесса доступа для сотрудников.