Устали запоминать несколько слов, которые вы создали шесть месяцев назад, по крайней мере, с 8 символами, одной заглавной буквой, одной цифрой и специальным символом? Переход к аутентификации без пароля становится все ближе.
Никого не радует перспектива очистки файлов cookie для решения ИТ-проблемы. Это потому, что этот процесс означает, что они потеряют автоматический вход на все веб-сайты и приложения в Интернете, и кто может запомнить все эти разные пароли?
У вас ведь они везде разные, верно?
Во Всемирный день паролей 5 мая эксперты по безопасности и технологические компании воспользовались возможностью, чтобы проинформировать отрасль об инициативах, которые они предпринимают для создания будущего, которое защитит нас без паролей. Это не может произойти достаточно скоро.
Проблема с паролями
Согласно ежегодному отчету SpyCloud о раскрытии личных данных за 2022 год, повторно используемые пароли были основным направлением кибератак за последние несколько лет. В отчете также отмечается 64% повторного использования пароля для пользователей с более чем одним паролем за последний год.
Но как запомнить все эти пароли? Исследование NordPass за 2021 год показывает, что самым популярным паролем в этом году был «123456», а пятым по популярности паролем было слово «пароль».
Понятно, что в мире паролей что-то сломалось, и давно. И хотя многофакторная проверка подлинности обеспечивает дополнительный уровень безопасности для организаций, она также снижает производительность, заставляя сотрудников прерывать работу, чтобы ввести код или предоставить отпечаток пальца. Чем неудобнее меры безопасности, тем больше вероятность того, что пользователи будут искать способ их обойти. Например, пользователи повторно используют пароли.
Переход к сбросу паролей
«Полное устранение паролей когда-то звучало как смелая идея», — говорит Грег Стьюклин, вице-президент и генеральный менеджер в Северной Америке компании WSO2, которая, помимо прочего, создает сервер идентификации. «Это уже не так, особенно если учесть отчет Verizon о расследованиях утечки данных за 2021 год. Было отмечено, что уязвимости с учетными данными, такими как имя пользователя и пароль, составляют более 84% всех утечек данных».
Стьюклин говорит, что существуют более простые и эффективные способы аутентификации пользователей, включая альтернативные варианты входа в систему, такие как стандарт Fast ID Online 2.0 (FIDO2) или биометрические данные, ключи безопасности и подключаемые аутентификаторы.
Марк Ручи, директор по информационным технологиям в Entrust, компании, занимающейся цифровой безопасностью и защитой данных, говорит, что мобильные push-токены, учетные данные на основе сертификатов и различные формы биометрии могут обеспечить более облегченную работу сотрудников и более мощную инфраструктуру безопасности с меньшей поверхностью атаки для широкого спектра угроз.
«Поскольку кибератаки становятся все более изощренными, а новых технических талантов становится все меньше и меньше, предприятия понимают, что пароли создают головную боль не только для ИТ-отделов, но и для сотрудников. Они — проклятие в жизни каждого директора по информационной безопасности», — говорит Ручи.
Apple, Google, Microsoft расширяют поддержку FIDO
На этой неделе в честь Всемирного дня паролей три технологических гиганта пообещали расширить поддержку FIDO. Согласно заявлению, опубликованному Альянсом FIDO, Apple, Google и Microsoft объявили об ускорении доступности входа без пароля. Эти три технологических гиганта уже поддерживают стандарты Альянса, но объявление на этой неделе добавляет две новые возможности — позволяя пользователям автоматически получать доступ к своим учетным данным для входа в FIDO или «парольным ключам» на устройствах без необходимости повторной регистрации каждой учетной записи; и предоставление пользователям возможности использовать аутентификацию FIDO на своих мобильных устройствах для входа в приложение или веб-сайт на ближайшем устройстве, независимо от используемой платформы ОС или браузера.
Премьер-министр Google по безопасной аутентификации Сампат Сринивас заявил в своем блоге Google, что компания внедрит беспарольную поддержку стандартов входа FIDO в Android и Chrome.
На своем сайте Microsoft Tech Community Алекс Саймонс, вице-президент по управлению продуктами в подразделении идентификации и доступа к сети, написал, что компания представляет несколько новых возможностей, в том числе беспарольный доступ для Windows 365, Azure Virtual Desktop и инфраструктуру виртуальных рабочих столов. По словам Саймонса, эти функции в настоящее время находятся в предварительной версии с инсайдерами Windows 11.
Windows Hello для бизнеса Cloud Trust — это новая модель развертывания, которая может устранить прежние требования к инфраструктуре открытых ключей и синхронизации открытых ключей между Azure Active Directory и локальными контроллерами домена. Microsoft Authenticator теперь позволяет использовать несколько учетных записей вместо одной, начиная с конца этого месяца на устройствах iOS, а позже появится Android. Кроме того, со следующего месяца Microsoft добавит временный пропуск доступа в Azure AD. Это ограниченный по времени пароль, который позволяет организациям использовать временный пропуск доступа для настройки новых устройств Windows вместо использования пароля для этого.
Эти достижения должны стать долгожданным изменением для пользователей как в корпоративной, так и в потребительской сфере, которые разочаровываются в попытках запомнить несколько паролей.
«Во Всемирный день паролей давайте возьмем на себя обязательство освободить потребителей от паролей и вместо этого предоставить им передовые альтернативы, которые сделают защиту их и ваших данных проще, чем когда-либо», — говорит Стьюклин.
Перевод статьи «Apple, Google, Microsoft Move Closer to a Password-free Future»