Растущий спрос на надежную аутентификацию

Спрос на лучший способ защиты данных организаций растет.

Рынок управления идентификацией и доступом (IAM) продолжает значительно расти, и исследовательские организации прогнозируют ежегодные темпы роста где-то между 13% и 26%.

Для ИТ-руководителей организаций всех форм и размеров никогда не было так важно защитить данные, которые они хранят, и тем не менее многие сотрудники по-прежнему могут получить доступ к защищенным данным с помощью пароля.

Поскольку данные, которыми владеют компании, растут в геометрической прогрессии вместе с местами, в которых мы работаем, и устройствами, которые мы используем как сотрудники, крайне важно, чтобы организации располагали решениями, гарантирующими, что нужные люди имеют доступ к нужным данным.

Пароль: pR0tEct3D

Но мы используем пароли для всего. Мы защищены, верно?

Пароли, даже одноразовые пароли (OTP), являются слабыми методами аутентификации и небезопасны. Киберпреступники и хакеры национальных государств используют многочисленные фишинговые схемы, методы социальной инженерии и грубой силы для кражи данных из организаций, использующих слабую аутентификацию сотрудников.

Как организация, мы выступаем за строгую аутентификацию в качестве стандарта. Но многие по-прежнему убеждены, что строгая аутентификация предназначена для крупного бизнеса и больших бюджетов.

Это не так, и мы работаем над тем, чтобы повысить осведомленность о том, что строгая аутентификация достижима для организаций любого размера.

Пирамида аутентификации

Вы можете думать об иерархии управления цифровой идентификацией и доступом скорее как о пирамиде, хотя больше похожей на иерархию потребностей Маслоу, чем на Хуфу и Гизу.

Эта пирамида обеспечивает простой способ визуализации того, как фрагмент аутентификации ландшафта IAM разбивается и классифицирует технологии, которые в настоящее время доступны на рынке.

Существует бесчисленное множество поставщиков многофакторной аутентификации, но знать, где они все подходят, а также знать преимущества и недостатки их технологий, не так уж сложно.

В основе пирамиды находится метод аутентификации с низким уровнем безопасности; пароли, являющиеся причиной более 80% утечек данных, небезопасные по своей сути, причиняющие боль конечным пользователям и в равной степени разочаровывающие ИТ-специалистов.

Далее у нас есть одноразовые пароли (OTP). OTP обеспечивают лучшую защиту, чем одни только пароли, но они все еще уязвимы по сравнению с другими, более надежными методами аутентификации. Например, OTP по SMS, созданный сервером и отправленный на мобильное устройство, требует от конечного пользователя ввода короткого кода, полученного по SMS, для подтверждения своей личности на сервере аутентификации. Слабость здесь связана с тем, что SMS не является безопасным каналом связи; Мошеннические приложения могут перехватывать и пересылать SMS хакеру, нет прямой привязки учетных данных к личности пользователя, а пользовательский опыт оставляет желать лучшего. Токены OTP более надежны, часто основаны на симметричной криптографии, однако обычно это зависит от общего секретного ключа, который может быть скомпрометирован.

Продвигаясь дальше по пирамиде, у нас есть биометрия. Существует мнение, что если я могу получить доступ к этим данным только с помощью своего отпечатка пальца, они должны быть безопасными, верно? Не совсем.

Хотя биометрические данные поддерживаются на огромном количестве устройств и обеспечивают удобство работы пользователей, централизованные биометрические данные могут быть скомпрометированы. Существует риск ложных совпадений, в зависимости от используемого аппаратного и программного обеспечения, а биометрия по-прежнему является единственным фактором аутентификации. Для ИТ-политик, требующих среды с высоким уровнем безопасности, безопасность платформы биометрического устройства часто не соответствует требованиям.

Push-уведомления обеспечивают более высокий уровень безопасности аутентификации — в отличие от SMS механизм push-уведомлений обычно зашифрован и поэтому устойчив к атакам. Это требует некоторых инвестиций — обычно в сервер аутентификации, и важно учитывать безопасность триггера для механизма аутентификации. Хотя push-уведомление является безопасным, механизм аутентификации, запускаемый им, может быть менее безопасным.

Faster Identity Online, более известная как FIDO, находится почти на вершине пирамиды аутентификации. Основанный на стандартах и ​​использующий криптографию с закрытым/открытым ключом, это растущий метод аутентификации. PIN-код, отпечаток пальца и идентификатор лица поддерживаются FIDO, поэтому пользовательский опыт удобен. Ограничения FIDO заключаются в том, что это безопасная цифровая идентификация, но не цифровая идентификация, привязанная к человеку. Поскольку открытый ключ не связан напрямую с личностью пользователя, трудно доказать неотказуемость. Это означает, что элемент аутентификации ограничен входом в систему — пользователь не может безопасно подписать или зашифровать без дополнительных решений. Инвестиции в сервер аутентификации также необходимы для FIDO.

На самом верху пирамиды аутентификации находится инфраструктура открытых ключей (PKI). PKI объединяет закрытый ключ с открытым ключом и сертификатом, выданным доверенным органом. На основе криптографии, с использованием асимметричной криптографии, после регистрации пользователя сертификат привязывает ключ к устройству (устройствам) этого человека, с которого они аутентифицируются с помощью многофакторной аутентификации - что-то, что у них есть (устройства с учетными данными, плюс что-то, что они знают ( PIN-код) и/или чем-то, чем они являются (биометрическими).

Этот метод многофакторной аутентификации (MFA) управляется собственными политиками безопасности организации, поэтому PKI поддерживает PIN-код, отпечаток пальца и идентификатор лица. PKI привязывает ключ к удостоверению пользователя и, таким образом, обеспечивает неотказуемость, позволяя выполнять аутентификацию и авторизацию с помощью цифровой подписи, а пользователям выполнять шифрование. Кроме того, транзакции могут быть проверены любой системой, так как открытый ключ содержится в сертификате, а PKI легко интегрируется в среды Microsoft с помощью встроенных функций безопасности Windows.

Несмотря на то, что PKI обеспечивает оптимальную безопасность, среди ИТ-руководителей уже давно сложилось мнение, что это сложное решение. В результате предприятия часто склонны смотреть вниз по пирамиде и выбирать менее безопасные, но более простые в реализации решения. Благодаря усовершенствованным технологиям конечных пользователей, таким как смартфоны и USB-токены, такие как YubiKey, и предустановленным технологиям, таким как Microsoft Windows Hello для бизнеса, защита на уровне шифрования стала гораздо более доступной для организаций любого размера.

Ориентированные на решения

Такие организации, как Intercede, находятся в авангарде криптореволюции и в ответ разработали программную платформу для управления учетными данными, позволяющую большему количеству предприятий внедрить надежную систему безопасности аутентификации.

Объединив технологию Microsoft Active Directory и служб сертификации, которые многие организации уже внедрили в свою ИТ-инфраструктуру, с предопределенными бизнес-процессами, основанными на передовом опыте, мы разработали простое и доступное управление учетными данными для целого ряда новых предприятий, чтобы достичь вершин пирамиды аутентификации.

Без программного обеспечения для управления учетными данными управление смарт-картами и USB-токенами при количестве сотрудников, превышающем 500, становится сложным и отнимает много времени у ИТ-специалистов.

Однако эта новая возможность устранить сложности управления учетными данными PKI делает самую надежную форму аутентификации пользователей гораздо более доступной для предприятий, которые не хотят идти на компромисс с безопасностью данных.

Благодаря решениям, интегрированным в их ИТ-инфраструктуру, организации могут начать выдачу сертификатов для смарт-карт сотрудников различных производителей и USB-токенов, таких как YubiKey. Они также могут централизованно управлять жизненным циклом учетных данных сотрудников для повторной выдачи, отзыва, разблокировки, продления, удаления и обновления.

Будь то безопасный вход в Windows и сеть, VPN и удаленный доступ, подпись и шифрование электронной почты или защита доступа к облачным ресурсам, эти новые доступные решения позволяют предприятиям любого размера и структуры легко перейти к наиболее безопасному методу из двух. -факторная аутентификация среди своих сотрудников.

В результате на рынке наблюдается значительный рост спроса со стороны организаций, которым нужен лучший способ защиты данных, за которые они несут ответственность. Это обнадеживающий знак не только для поставщиков решений для кибербезопасности, но и для сотрудников, граждан, потребителей и общества в целом.

___
Аллен Стори
источник: ITProPortal