Руководство покупателя по беспарольной аутентификации

Скорее всего, вы уже давно не оценивали свои решения для аутентификации пользователей.

В конце концов, не каждый день компании ищут новое решение для аутентификации пользователей. Некоторые никогда не использовали ничего, кроме простого пароля для аутентификации своих пользователей. Другие, возможно, развернули традиционное решение многофакторной аутентификации для решения конкретных проблем безопасности, связанных с аутентификацией подключений удаленного доступа, или в ответ на нормативные требования для более строгой аутентификации. В этом кратком руководстве представлен текущий обзор современных подходов к аутентификации пользователей.

Отчет Verizon о расследовании утечек данных (DBIR), опубликованный в 2017 году, стал своего рода водоразделом для восприятия аутентификации пользователей. Отчет попал в заголовки ИТ-мира, когда выяснилось, что 81 процент утечек данных был результатом скомпрометированных паролей.

Именно тогда многие предприятия поняли, что пароли не решают их проблемы с безопасностью, а вызывают многие из них, и когда они начали искать альтернативные варианты аутентификации. Это момент, когда беспарольная аутентификация превратилась из нишевой альтернативы, которую преследуют дальновидные компании, в то, о чем все говорили.

Что такое беспарольная аутентификация?

Проверка подлинности без пароля определяет класс решений проверки подлинности, которые проверяют личность пользователя без использования пароля. Подтверждение личности основано на других факторах, которые однозначно идентифицируют пользователя, таких как наличие чего-либо, уникально связанного с пользователем (например, генератор одноразовых паролей, зарегистрированное мобильное устройство или аппаратный токен), или биометрическая подпись пользователя (например, отпечаток пальца, отпечаток лица, сканирование сетчатки глаза и т. д.). Аутентификация на основе того, что известно пользователю (т. е. аутентификация на основе знаний), также возможна, если это что-то не является паролем.

4 типа беспарольных методов аутентификации

Вот несколько часто используемых методов аутентификации без пароля, которые люди часто выбирают:

Одноразовые коды

Одноразовый код отправляется на зарегистрированное мобильное устройство или адрес электронной почты. Обычно это используется предприятиями для аутентификации своих клиентов (B2C). Он реже используется для аутентификации предприятия, т.е. для аутентификации сотрудников.

Биометрия

Этот метод аутентификации без пароля стал нормой для аутентификации пользователей на их мобильных устройствах с популярными реализациями технологии в Apple Face ID, а аутентификация по отпечатку пальца повсеместно доступна даже на самых дешевых мобильных устройствах. Биометрия в основном используется для аутентификации пользователя на самом устройстве и реже на ресурсах, доступ к которым осуществляется с устройства.

Выделенные аппаратные токены безопасности

Выделенные аппаратные токены безопасности, обычно хранящие учетные данные инфраструктуры открытых ключей (PKI). В последние годы устройства, совместимые с FIDO, такие как YubiKeys, становятся все более популярными в качестве надежной альтернативы паролям для аутентификации пользователей. Эти устройства обеспечивают хороший уровень безопасности, поскольку их трудно подделать и требуют физического владения, но они также довольно дороги и громоздки для пользователей, чтобы носить их с собой и использовать.

Учетные данные аутентификации, прикрепленные к хост-устройству

Эти учетные данные (т. е. сертификат аутентификации клиента PKI, прикрепленный к персональному компьютеру) в основном используются для аутентификации рабочих станций сотрудников в бизнес-сетях и ресурсах. И здесь снова набирают популярность решения, совместимые с FIDO, наиболее ярким примером которых является Microsoft Windows Hello для бизнеса. Windows Hello доступна в более новых версиях Windows и сочетает учетные данные, совместимые с FIDO, вместе с PIN-кодом пользователя или биометрической печатью, чтобы разблокировать доступ к учетным данным.

Многофакторная аутентификация (MFA) и аутентификация без пароля

Сочетание нескольких форм проверки подлинности для подтверждения личности приводит к многофакторной проверке подлинности (MFA). Исторически MFA использовался как способ повысить безопасность проверки подлинности на основе пароля. Использование пароля (что-то, что вы знаете) вместе со специальным брелоком или зарегистрированным мобильным устройством (что-то, что у вас есть) обеспечит несколько факторов аутентификации, которые труднее подделать, взломать или взломать, и, следовательно, обеспечит более высокий уровень гарантии.

Сегодня можно использовать несколько факторов аутентификации без паролей в качестве одного из факторов, что приводит к беспарольной MFA. Наиболее часто используемые факторы аутентификации для беспарольной MFA — это зарегистрированное мобильное устройство пользователя вместе с PIN-кодом пользователя или отпечатком пальца, полученным с помощью встроенного в устройство датчика отпечатков пальцев.

Что следует учитывать при оценке решения для аутентификации без пароля

Итак, на что следует обратить внимание предприятию при поиске подходящего решения для аутентификации? Есть много соображений при покупке нового решения для аутентификации пользователей, но три самых важных из них:

Поддерживает ли решение для аутентификации все варианты использования аутентификации пользователей?

Наиболее важным соображением является то, поддерживает ли решение для проверки подлинности полномасштабные варианты использования проверки подлинности, с которыми пользователи сталкиваются в течение своего рабочего дня. Если определенные варианты использования не поддерживаются, доступен один из двух вариантов: оставить существующее решение для аутентификации — обычно простое имя пользователя и пароль — или ввести второе решение для аутентификации.

Возврат к именам пользователей и паролям лишает смысла инвестиции в лучшее и более безопасное решение для аутентификации, поскольку это означает, что уязвимые пароли по-прежнему могут быть использованы злоумышленниками, оставляя бизнес незащищенным. Это похоже на возведение укрепленной стены вокруг вашего дома и оставление черного хода с навесным замком.

Приобретение второго решения для аутентификации, которое может обрабатывать неподдерживаемые варианты использования, означает развертывание другого решения и, что более важно, требование от пользователей носить с собой другие учетные данные/аутентификатор. Это дорогое предложение, которое также обеспечивает опыт, который, вероятно, разочарует пользователей.

Поддержка всего спектра вариантов использования аутентификации пользователей может составить довольно много сценариев для типичного предприятия. Общие варианты использования предприятия включают:

• Вход в систему на рабочих станциях, включая хосты Windows и Mac, а в некоторых компаниях и Linux также является важным фактором. Часто это самый сложный вариант использования многих решений для аутентификации, поскольку он требует тонкой интеграции с операционными системами и решениями по управлению сетевыми доменами.
• VPN с удаленным доступом была основной технологией, позволяющей мобильным и удаленным сотрудникам оставаться на связи со своей работой. Существует несколько используемых технологий и множество поставщиков, предлагающих решения. К счастью, за прошедшие годы появился набор стандартов, обеспечивающих прямую интеграцию с системами аутентификации.
• Доступ к облачным приложениям стал основным даже для самых традиционных предприятий. Хотя существуют некоторые стандарты для облегчения взаимодействия между корпоративными системами аутентификации и облачными сервисами, они не полностью готовы. Конкурирующие стандарты и частые пересмотры существующих стандартов означают, что поддержка доступа к облачным службам была движущейся целью.
• Автономная аутентификация была ахиллесовой пятой многих систем аутентификации в целом и многофакторной аутентификации (MFA) в частности. Это представляет собой сложную задачу, поскольку большинство решений для аутентификации были разработаны для подключенного мира. Поэтому, когда сетевое соединение не работает или недоступно, а сервер аутентификации недоступен, требуются сложные обходные пути, чтобы гарантировать, что пользователи могут продолжать аутентификацию на своем компьютере и локально размещенных ресурсах.
• Утерянный аутентификатор создает огромную головную боль, особенно если это аппаратный аутентификатор. Физическая доставка заменяющего токена удаленному сотруднику требует больших затрат и времени. Поэтому для предотвращения длительного простоя для некоторых аппаратных решений MFA были разработаны программные решения для восстановления.

Вообще говоря, современное корпоративное решение для аутентификации должно быть универсальным игроком, который может обрабатывать широкий спектр вариантов использования аутентификации. Выбор точечного решения, которое хорошо подходит для конкретных случаев использования, скорее всего, приведет к необходимости развертывания нескольких решений для аутентификации, что дорого и сложно для пользователей.

Будет ли решение для аутентификации работать с тем, что у вас уже есть?

Реальность для большинства предприятий такова, что они приобрели разнообразный набор систем и приложений за годы инвестиций в ИТ. Эти системы являются реальностью, которую необходимо признать, и любое новое решение для аутентификации должно работать со всем, что уже существует. Подход «разорвать и заменить» слишком болезненный и дорогой.

Поэтому следует ожидать, что современные решения для аутентификации будут разработаны для поддержки устаревших систем и приложений и легко интегрируются с существующими инвестициями в ИТ. Поддержка существующих пользовательских каталогов (например, Active Directory), работа с устаревшими системами, работа с существующими решениями для аутентификации и т. д. — все это должно быть встроено в решение, а не требует дорогостоящих проектов по настройке и интеграции.

Также должна потребоваться работа с существующими решениями для аутентификации, такими как USB-токены, OTP-токены, аутентификаторы FIDO, мобильные аутентификаторы и многое другое. Многие предприятия вложили средства в надежные решения для аутентификации, а это означает, что почти нет новых возможностей, где не развернуто ничего другого. Таким образом, работа в гармонии с существующими решениями аутентификации, упрощение операций в гетерогенной среде аутентификации и предоставление средств для постепенного отказа от старых решений и перехода на более современные стали сами по себе важными соображениями.

Соответствует ли решение требованиям аудиторов и регулирующих органов?

В наши дни большинство предприятий работают в регулируемых отраслях и предъявляют строгие требования к защите данных и аутентификации пользователей. Поэтому соблюдение нормативных требований и отраслевых стандартов, таких как PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR и т. д., является важным фактором и часто является основным стимулом для инвестиций в новое решение для аутентификации пользователей.

Преимущества беспарольной аутентификации

Аутентификация без пароля — один из тех редких случаев в жизни, когда новое решение явно лучше во всех аспектах. Его выбор не требует каких-либо компромиссов или взвешивания «за» и «против». Аутентификация без пароля обеспечивает лучшую безопасность, лучший пользовательский интерфейс и дешевле в владении и эксплуатации по сравнению с решениями для аутентификации на основе пароля.

Улучшает пользовательский опыт

Аутентификация без пароля обеспечивает лучший пользовательский интерфейс, поскольку пользователям не нужно вспоминать и вводить пароли. Это означает более быстрый вход в систему и меньше неудачных попыток. И пароли никогда не забываются и их не нужно сбрасывать, что означает меньшее время простоя из-за утерянных или забытых паролей и меньше раздражения.

Улучшает общую безопасность

Замена уязвимых паролей хорошо продуманным решением для аутентификации без пароля на самом деле повышает безопасность, поскольку беспарольная защита устойчива к фишингу и обеспечивает лучшую защиту от других форм атак с доступом к учетным данным, включая атаки типа «злоумышленник посередине», кейлоггинг, подстановку учетных данных, распыление паролей и другие. .

Это дешевле в долгосрочной перспективе

Беспарольная аутентификация дешевле в использовании и эксплуатации по сравнению с паролями. Пароли требуют дорогостоящего управления, поскольку они требуют поддержки систем управления паролями, чтобы пользователи могли выполнять периодическое обновление пароля и случайный сброс пароля.

Пароли также создают значительную нагрузку на службы поддержки, когда пользователи забывают свои пароли или теряют свой аутентификатор и обращаются в службу поддержки за помощью в восстановлении. Дальнейшая экономия средств может быть достигнута за счет закрытия программ предотвращения фишинга, созданных для обучения пользователей и защиты их от фишинга. Хорошо продуманная беспарольная аутентификация защищена от фишинга.

Проблемы с аутентификацией без пароля

Проблемой номер один для компаний, решивших внедрить аутентификацию без пароля, обычно являются их устаревшие системы и приложения, которые не были предназначены для аутентификации без пароля. Таким образом, несмотря на то, что легко согласиться с концепцией беспарольного рабочего места, добиться этого может быть непросто, когда имеешь дело с гетерогенной ИТ-средой, сочетающей новые и устаревшие системы.

Один из подходов — развернуть аутентификацию без пароля только для систем и приложений, которые ее поддерживают. Обычно это приводит к развертыванию проверки подлинности без пароля для облачных приложений, а иногда и в более новых операционных системах (например, в последних версиях Windows 10). Но переход без пароля на самом деле требует усилий по принципу «все или ничего»: вы либо избавляетесь от паролей, либо нет.

Таким образом, чтобы успешно внедрить беспарольную аутентификацию для пользователей, обычно недостаточно решить, что беспарольная аутентификация — лучший, более дешевый и безопасный вариант. Важно выбрать технологию, которая поможет вам развернуть беспарольное развертывание в существующей и разнородной ИТ-среде, а также решить все ваши варианты использования аутентификации.

Решения для беспарольной аутентификации

Почти все поставщики решений для аутентификации на рынке утверждают, что предлагают аутентификацию без пароля. Действующие поставщики средств аутентификации адаптировали свои предложения MFA, чтобы разрешить некоторые формы аутентификации без пароля для некоторых случаев использования. Новые игроки в области аутентификации делают ставку на беспарольную систему, ориентируясь на клиентов с современной инфраструктурой и приложениями, которые будут хорошо работать с беспарольной системой — устаревшие системы и приложения остаются позади.

Но универсальное развертывание аутентификации без пароля по-прежнему невозможно для большинства предприятий, потому что все еще существует множество систем и приложений, которые не предназначены для работы без пароля. Оставлять пароли на месте для некоторых систем почти невозможно, потому что для того, чтобы воспользоваться беспарольной системой, вам действительно нужно избавиться от всех паролей.

Успешный переход на решение для аутентификации без пароля требует решения, которое может работать во всех системах и приложениях, предоставляя аутентификацию без пароля там, где это возможно, и создавая работу без пароля там, где без него невозможно. Преимущество этого подхода заключается в том, что с точки зрения UX пользователям не нужно создавать, вспоминать или вводить пароль.

С точки зрения безопасности пароли либо полностью удаляются, либо просто неизвестны пользователям, что делает их защищенными от фишинга. Кроме того, при реализации беспарольного опыта пароли управляются машинами, а это означает, что они выигрывают от высокой сложности и частой ротации, что, в свою очередь, делает их более устойчивыми ко многим формам атак на пароли.