Ghidul cumpărătorului pentru autentificarea fără parolă

Probabil că a trecut foarte mult timp de când nu v-ați evaluat soluțiile de autentificare a utilizatorilor.

La urma urmei, nu în fiecare zi companiile caută o nouă soluție de autentificare a utilizatorilor. Unii nu au folosit niciodată altceva decât o simplă parolă pentru a-și autentifica utilizatorii. Este posibil ca alții să fi implementat o soluție tradițională de autentificare multifactor pentru a aborda preocupările specifice de securitate legate de autentificarea conexiunilor de acces la distanță sau ca răspuns la o cerință de reglementare pentru o autentificare mai puternică. Acest scurt ghid oferă o revizuire actuală a abordărilor moderne de autentificare a utilizatorilor.

Raportul de investigare a încălcării datelor (DBIR) al Verizon, publicat în 2017, a reprezentat oarecum un moment decisiv pentru percepțiile cu privire la autentificarea utilizatorilor. Raportul a făcut titluri în întreaga lume IT, când a dezvăluit că 81% din încălcările de date au fost rezultatul parolelor compromise.

Acesta este momentul în care multe companii și-au dat seama că parolele nu le rezolvă problemele de securitate și, în schimb, cauzează multe dintre ele și au început să se uite la opțiuni alternative de autentificare. Acesta este momentul în care autentificarea fără parolă a trecut de la a fi o alternativă de nișă urmărită de companiile cu gândire avansată la ceva despre care toată lumea vorbea.

Ce este autentificarea fără parolă?

Autentificarea fără parolă definește o clasă de soluții de autentificare care verifică identitatea unui utilizator fără utilizarea unei parole. Dovada identității se bazează pe alți factori care identifică în mod unic utilizatorul, cum ar fi deținerea a ceva asociat în mod unic cu utilizatorul (de exemplu, un generator de parole unice, un dispozitiv mobil înregistrat sau un token hardware) sau semnătura biometrică a utilizatorului (de ex. amprentă digitală, amprentă facială, scanare retiniană etc.). Autentificarea bazată pe ceva ce utilizatorul știe (adică autentificarea bazată pe cunoștințe) este de asemenea posibilă, atâta timp cât acel ceva nu este o parolă.

4 tipuri de metode de autentificare fără parolă

Iată câteva metode frecvent utilizate de autentificare fără parolă dintre care oamenii le aleg adesea:

Coduri unice

Cod unic trimis către un dispozitiv mobil înregistrat sau pe o adresă de e-mail. Acesta este de obicei implementat de companii pentru a-și autentifica clienții (B2C). Este mai puțin folosit pentru autentificarea întreprinderii, adică pentru autentificarea angajaților.

Biometrie

Această metodă de autentificare fără parolă a devenit norma pentru autentificarea utilizatorilor pe dispozitivele lor mobile, cu implementări populare ale tehnologiei în Apple Face ID și autentificarea cu amprentă digitală disponibilă în mod omniprezent chiar și pe cele mai ieftine dispozitive mobile. Biometria este folosită în principal pentru a autentifica utilizatorul la dispozitivul în sine și mai rar la resursele care sunt accesate de pe dispozitiv.

Jetoane de securitate hardware dedicate

Token-uri de securitate hardware dedicate, care stochează, de obicei, o acreditări PKI (Public Key Infrastructure). În ultimii ani, dispozitivele compatibile cu FIDO, cum ar fi YubiKeys, au crescut în popularitate ca o alternativă de autentificare a utilizatorilor de înaltă asigurare la parole. Aceste dispozitive oferă un nivel bun de securitate, deoarece sunt greu de falsificat și necesită posesie fizică, dar sunt, de asemenea, destul de scumpe și greoaie de transportat și de utilizat de către utilizatori.

Acreditări de autentificare atașate la un dispozitiv gazdă

Această autentificare (adică un certificat de autentificare a clientului PKI fixat pe un computer personal) este folosită în principal pentru a autentifica stațiile de lucru ale angajaților la rețelele și resursele de afaceri. Din nou, soluțiile compatibile cu FIDO câștigă popularitate, cel mai notabil exemplu fiind Microsoft Windows Hello for Business. Windows Hello este disponibil pe versiunile mai noi de Windows și combină o autentificare conformă FIDO împreună cu un PIN de utilizator sau o imprimare biometrică pentru a debloca accesul la acreditări.

Autentificare multifactor (MFA) vs. autentificare fără parolă

Combinarea mai multor forme de autentificare pentru verificarea identității are ca rezultat autentificarea cu mai mulți factori (MFA). Din punct de vedere istoric, MFA a fost folosit ca o modalitate de a îmbunătăți securitatea autentificării bazate pe parole. Folosirea unei parole (ceva pe care îl cunoașteți) împreună cu o cheie dedicată sau un dispozitiv mobil înregistrat (ceva pe care îl aveți) ar oferi mai mulți factori de autentificare care sunt mai greu de phishing, spart sau spart și, prin urmare, oferă un nivel mai ridicat de asigurare.

Astăzi, este posibil să folosiți mai mulți factori de autentificare fără parole ca unul dintre factori, rezultând în MFA fără parolă. Factorii de autentificare cei mai des utilizați pentru MFA fără parolă sunt dispozitivul mobil înregistrat de utilizator, împreună cu un PIN utilizator sau amprenta digitală furnizată prin senzorul de amprentă încorporat al dispozitivului.

Considerații la evaluarea unei soluții de autentificare fără parolă

Deci, la ce ar trebui să se uite o întreprindere atunci când caută soluția de autentificare potrivită? Există multe considerente atunci când cumpărați o nouă soluție de autentificare a utilizatorilor, dar cele mai importante trei sunt:

Soluția de autentificare acceptă întreaga gamă de cazuri de utilizare a autentificării utilizatorilor?

Considerentul cel mai fundamental este dacă o soluție de autentificare acceptă toate cazurile de utilizare de autentificare întâlnite de utilizatori pe parcursul zilei lor de lucru. Când anumite cazuri de utilizare nu sunt acceptate, atunci este disponibilă una dintre cele două opțiuni: lăsați soluția de autentificare existentă – de obicei nume de utilizator și parolă simple – sau introduceți o a doua soluție de autentificare.

Revenirea la nume de utilizator și parole înfrânge scopul de a investi într-o soluție de autentificare mai bună și mai sigură, deoarece înseamnă că parolele vulnerabile pot fi încă exploatate de atacatori, lăsând afacerea expusă. Este asemănător cu construirea unui zid fortificat în jurul casei tale și cu lăsarea în loc a unei uși din spate cu lacăt.

Achiziționarea unei a doua soluții de autentificare care poate gestiona cazurile de utilizare neacceptate înseamnă implementarea unei alte soluții și, mai important, solicitarea utilizatorilor să aibă în jur o altă autentificare/autentificare. Aceasta este o propunere costisitoare care oferă, de asemenea, o experiență care probabil va frustra utilizatorii.

Sprijinirea întregii game de cazuri de utilizare a autentificării utilizatorilor poate adăuga destul de multe scenarii pentru o întreprindere tipică. Cazurile de utilizare comune ale întreprinderilor includ:

• Conectarea la stația de lucru, inclusiv gazdele Windows și Mac și, în unele companii, Linux este, de asemenea, un aspect important. Acesta este adesea cel mai dificil caz de utilizare pentru multe soluții de autentificare, deoarece necesită integrări delicate cu sisteme de operare și soluții de gestionare a domeniilor de rețea.
• Remote access VPN a fost o tehnologie de bază care le permite angajaților mobili și de la distanță să rămână conectați la locul de muncă. Există mai multe tehnologii în uz și o mulțime de furnizori care oferă soluții. Din fericire, de-a lungul anilor, a apărut un set de standarde care să permită integrarea simplă cu sistemele de autentificare.
• Accesul la aplicațiile cloud a devenit obișnuit chiar și pentru cele mai tradiționale întreprinderi. Deși există unele standarde pentru a facilita interoperabilitatea între sistemele de autentificare a întreprinderilor și serviciile cloud, acestea nu sunt toate complet elaborate. Standardele concurente și revizuirile frecvente ale standardelor existente înseamnă că sprijinirea accesului la serviciile cloud a fost o țintă în mișcare.
• Autentificarea offline a fost călcâiul lui Ahile pentru multe sisteme de autentificare în general și pentru autentificarea multifactor (MFA) în special. Prezintă o provocare dificilă, deoarece majoritatea soluțiilor de autentificare au fost concepute pentru o lume conectată. Deci, atunci când conexiunea la rețea este întreruptă sau indisponibilă, iar serverul de autentificare nu este accesibil, sunt necesare soluții de soluționare elaborate pentru a se asigura că utilizatorii pot continua să se autentifice pe computerul lor și pe resursele găzduite local.
• Autentificatorul pierdut creează o mare durere de cap, mai ales când este un autentificator hardware. Expedierea fizică a unui jeton de înlocuire către un angajat de la distanță este costisitoare și necesită timp. Așadar, pentru a preveni perioadele de nefuncționare prelungite, au fost dezvoltate soluții de recuperare bazate pe software pentru unele dintre soluțiile MFA bazate pe hardware.

În general, o soluție de autentificare de întreprindere modernă trebuie să fie un jucător complet care poate gestiona o mare varietate de cazuri de utilizare a autentificării. Alegerea unei soluții punctuale care abordează bine anumite cazuri de utilizare va duce probabil la necesitatea implementării mai multor soluții de autentificare, ceea ce este costisitor și greu pentru utilizatori.

Soluția de autentificare va funcționa cu ceea ce aveți deja în vigoare?

Realitatea pentru majoritatea întreprinderilor este că au achiziționat o combinație variată de sisteme și aplicații de-a lungul anilor de investiții în IT. Aceste sisteme sunt o realitate care trebuie să fie recunoscută și orice soluție nouă de autentificare trebuie să poată funcționa cu tot ceea ce este deja în vigoare. O abordare de tip rip-and-replace este pur și simplu prea dureroasă și costisitoare.

Prin urmare, ar trebui de așteptat ca soluțiile moderne de autentificare să fie concepute pentru a sprijini sistemele și aplicațiile vechi și să se integreze cu ușurință cu investițiile IT existente. Sprijinirea directoarelor de utilizatori existente (de exemplu, Active Directory), lucrul cu sistemele moștenite, colaborarea cu soluțiile de autentificare existente etc. ar trebui să fie integrate în soluție și nu ceva care necesită proiecte costisitoare de personalizare și integrare.

Lucrul cu soluții de autentificare existente, cum ar fi jetoane USB, jetoane OTP, autentificatoare FIDO, autentificatoare mobile și multe altele ar trebui, de asemenea, să fie necesară. Multe întreprinderi au investit în soluții puternice de autentificare, ceea ce înseamnă că aproape că nu există oportunități greenfield în care nu este implementat nimic altceva. Astfel, lucrul în armonie cu soluțiile de autentificare existente, simplificarea operațiunilor unui mediu de autentificare eterogen și oferirea unui mijloc de a retrage treptat soluțiile mai vechi și de a migra la altele mai moderne a devenit un aspect important în sine.

Soluția abordează cerințele auditorilor și autorităților de reglementare?

Majoritatea întreprinderilor din zilele noastre operează în industrii reglementate și sunt supuse unor cerințe stricte privind protecția datelor și autentificarea utilizatorilor. Respectarea reglementărilor și standardelor din industrie precum PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR etc. este, prin urmare, o considerație semnificativă și adesea principalul motor pentru investiția într-o nouă soluție de autentificare a utilizatorilor.

Beneficiile autentificării fără parolă

Autentificarea fără parolă este unul dintre acele cazuri rare în viață în care noua soluție este net superioară, sub fiecare aspect. Alegerea acestuia nu necesită efectuarea de compromisuri sau cântărirea argumentelor pro și contra. Autentificarea fără parolă oferă o securitate mai bună, o experiență de utilizator mai bună și este mai ieftin de deținut și de operat în comparație cu soluțiile de autentificare bazate pe parole.

Îmbunătățește experiența utilizatorului

Autentificarea fără parolă oferă o experiență mai bună pentru utilizator, deoarece utilizatorii nu trebuie să-și amintească și să introducă parole. Aceasta înseamnă conectări mai rapide și mai puține încercări eșuate. Și parolele nu sunt niciodată uitate sau trebuie resetate, ceea ce înseamnă mai puțin timp de nefuncționare din cauza parolelor pierdute sau uitate și mai puțină agravare.

Îmbunătățește securitatea generală

Înlocuirea parolelor vulnerabile cu o soluție de autentificare fără parolă bine concepută îmbunătățește de fapt securitatea, deoarece fără parolă este rezistentă la phishing și oferă o protecție mai bună împotriva altor forme de atacuri de acces la acreditări, inclusiv man-in-the-middle, înregistrarea tastelor, completarea acreditărilor, pulverizarea parolelor și altele. .

Este mai ieftin pe termen lung

Autentificarea fără parolă este mai ieftin de deținut și de operat în comparație cu parolele. Parolele necesită o gestionare costisitoare, deoarece necesită sisteme de gestionare a parolelor compatibile pentru a permite utilizatorilor să efectueze reîmprospătări periodice ale parolei și resetarea ocazională a parolei.

Parolele creează, de asemenea, o sarcină semnificativă pentru birourile de asistență atunci când utilizatorii își uită parolele sau își pierd autentificatorul și apelează biroul de asistență pentru asistență în recuperare. Economii suplimentare de costuri pot fi realizate prin închiderea programelor de prevenire a phishing-ului puse în aplicare pentru a educa utilizatorii și a-i proteja de phishing. Autentificarea fără parolă bine concepută este rezistentă la phishing.

Provocări cu autentificarea fără parolă

Provocarea numărul unu pentru companiile care decid să implementeze autentificarea fără parolă sunt de obicei sistemele și aplicațiile lor vechi care nu au fost concepute pentru autentificare fără parolă. Așadar, deși este ușor să vă integrați în viziunea unui loc de muncă fără parolă, ajungerea acolo poate fi descurajantă atunci când aveți de-a face cu un mediu IT eterogen care combină sisteme noi și vechi.

O abordare este de a implementa autentificarea fără parolă numai pentru sistemele și aplicațiile care o acceptă. Acest lucru se traduce, în general, în implementarea autentificării fără parolă pentru aplicațiile cloud și, uneori, și pe sisteme de operare mai noi (adică cele mai recente versiuni de Windows 10). Dar să devină fără parolă este într-adevăr un efort totul sau nimic: fie scapi de parole, fie nu.

Deci, pentru a implementa cu succes autentificarea fără parolă pentru utilizatori, de obicei nu este suficient să decideți că fără parolă este o opțiune mai bună, mai ieftină și mai sigură. Este important să alegeți tehnologia care vă va ajuta să implementați fără parolă într-un mediu IT existent și eterogen și să vă adresați tuturor cazurilor de utilizare a autentificării.

Peisajul soluției de autentificare fără parolă

Aproape fiecare furnizor de soluții de autentificare de pe piață pretinde că oferă autentificare fără parolă. Furnizorii de autentificare actuali și-au adaptat oferta MFA pentru a permite anumite forme de autentificare fără parolă pentru unele cazuri de utilizare. Jucătorii mai noi de autentificare fac totul fără parolă, vizând clienții cu infrastructură și aplicații moderne care vor funcționa bine cu fără parolă – sistemele și aplicațiile vechi rămân în urmă.

Dar implementarea universală a autentificării fără parolă nu este încă posibilă pentru majoritatea întreprinderilor, deoarece există încă o mulțime de sisteme și aplicații care nu sunt proiectate să funcționeze fără parolă. Lăsarea parolelor pentru unele sisteme aproape învinge scopul, deoarece pentru a beneficia de parola fără parolă, chiar trebuie să scăpați de toate parolele.

Migrarea cu succes la soluția de autentificare fără parolă necesită o soluție care să funcționeze în toate sistemele și aplicațiile, oferind autentificare fără parolă acolo unde este posibil și creând o experiență fără parolă în care fără parolă nu este posibilă. Avantajul acestei abordări este că, din perspectiva UX, utilizatorii nu trebuie să creeze, să-și amintească sau să introducă o parolă.

Din punct de vedere al securității, parolele fie sunt complet eliminate, fie pur și simplu nu sunt cunoscute de utilizatori, ceea ce le face rezistente la phishing. În plus, atunci când se implementează o experiență fără parolă, parolele sunt gestionate de mașini, ceea ce înseamnă că beneficiază de o complexitate ridicată și de rotații frecvente, ceea ce le face, la rândul său, mai rezistente la multe forme de atac asupra parolelor.