Почему беспарольная система зашла в тупик



Среднестатистический пользователь имеет более 100 паролей для различных сайтов и приложений. Это число, столкнувшееся с ограничениями человеческой памяти, является причиной того, что аутентификация без пароля так многообещающа. Но ограничения текущего подхода к идентификации и аутентификации сдерживают это многообещающее развитие.

Возможность безопасного входа пользователей в сеть без необходимости запоминать пароли может иметь большое значение для устранения одного элемента, который постоянно способствует утечке данных и другим эксплойтам: скомпрометированные учетные данные. Если пользователям необходимо запомнить сотни комбинаций имени пользователя и пароля и регулярно менять их, они будут полагаться на повторное использование одних и тех же знакомых комбинаций. Это облегчает работу киберпреступников, как видно из последнего «Отчета о расследованиях утечки данных» Verizon, в котором говорится, что 61% нарушений были связаны с скомпрометированными учетными данными.

Замена аутентификации на основе пароля на вход без пароля, который использует такой фактор, как биометрическая идентификация, для входа в систему, считается сильным решением для недавнего всплеска кибератак. Но согласно одному опросу, почти половина опрошенных организаций до сих пор не используют пароль, а 22% пока не убеждены в его эффективности.

Некоторые серьезные препятствия на пути внедрения связаны не с технологическими недостатками, а с состоянием идентификации и аутентификации. Многие широко используемые сегодня приложения не созданы для поддержки входа в систему без пароля, поскольку идентификация и аутентификация остаются разрозненными.

Устранение путаницы с идентификацией
Идентификацию и аутентификацию часто путают, но это разные понятия. Идентификация — установление того, кто есть кто — это один процесс, в то время как аутентификация включает в себя проверку того, что личность принадлежит пользователю, пытающемуся получить доступ к сети, приложению, ресурсу и т. д., а не какому-то хакеру, который украл или купил эти учетные данные в даркнете.

Подтверждение личности часто является частью процесса адаптации в организации — когда новые сотрудники фотографируются для своих идентификаторов и получают свои первые пароли — что часто выполняется отделом кадров или отделом кадров с помощью ИТ. Именно отдел кадров занимается ручным процессом проверки этих новых сотрудников теми, кем они себя называют, посредством физического сходства, проверки удостоверения личности, выданного государством, и т. д.

Это все хорошо, когда речь идет о сотрудниках компании, но процесс усложняется, когда имеешь дело с подрядчиками, поставщиками или пользователями машин, которым нужен доступ к сетевым ресурсам. Некоторые новые стандарты упростили идентификацию пользователей без материальных учетных данных, таких как паспорта или водительские права. Например, первая часть стандарта NIST 800-63-3 обеспечивает стандартизированный подход к проверке личности, а вторая часть стандарта NIST 800-63-3 и FIDO2 помогает оптимизировать использование биометрических данных для аутентификации.

Процесс подтверждения личности, который подтверждает личность человека на основе документов, выданных государством, и биометрических данных лица, имеет важное значение для процесса аутентификации. Но он остается отделенным от рабочих процессов аутентификации после завершения регистрации в системе или приложении. Каждый раз, когда пользователь входит в защищенный ресурс, этому человеку запрашивается какая-либо форма аутентификации, такая как пароль, PIN-код или биометрические данные, которые больше не связаны с его фактической личностью.

Например, вопреки распространенному мнению, биометрическая аутентификация не заменяет пароли. Это абстрагирует сложность ручного ввода их в систему. Это означает, что в случае кражи пароля киберпреступник может обойти биометрический аутентификатор. Кроме того, если биометрические идентификаторы хранятся в базе данных аутентификации, они тоже становятся уязвимой мишенью для хакеров.

Новая концепция, известная как распределенное цифровое удостоверение, объединяет данные регистрации удостоверения и аутентификацию и делает их неразделимыми. Вместо того, чтобы просто запрашивать у пользователя фактор аутентификации (пароль, PIN-код, биометрические данные), который сверяется с учетными данными, хранящимися в центральной базе данных, принадлежащей поставщику удостоверений, такому как Energetic Listing или Google, распределенная цифровая идентификация контролируется пользователем.

Например, FIDO2 и NIST хранят закрытый ключ в чипе защищенного анклава/модуля доверенной платформы (TPM), что делает его доступным только в случае совпадения живого биометрического показателя с биометрическим, полученным при регистрации, для безопасного обмена, когда они решат это сделать. так. Другие подходы хранят закрытый ключ пользователя в зашифрованном блокчейне для дополнительного уровня безопасности.

Вход без пароля — это ответ на вопросы безопасности, конфиденциальности и удобства пользователей. Но это станет возможным только в том случае, если будет реализована новая модель распределенной идентификации, которая устраняет разрыв между обеспечением идентификации и аутентификацией.

https://cyberxhack.org/