Распространение паролей ускоряется в странах Азиатско-Тихоокеанского региона — за исключением Австралии

Распространение паролей ускоряется в странах Азиатско-Тихоокеанского региона — за исключением Австралии

3 сентября 2024 г.

Пароли предлагают защищенный от фишинга режим аутентификации. При поддержке технологических гигантов Microsoft, Apple и Google пароли используют зашифрованные учетные данные, хранящиеся на цифровом или аппаратном устройстве, для замены паролей и более слабых методов многофакторной аутентификации — основных векторов кибератак.

Несмотря на рост в Азиатско-Тихоокеанском регионе, внедрение паролей в Австралии было относительно медленным. В государственном секторе MyGov только недавно ввел входы с паролем для своих онлайн-сервисов. В банковском секторе одноразовый пароль или многофакторная аутентификация OTP по-прежнему остается фактическим методом аутентификации на австралийском рынке.

Джефф Шомбургк, вице-президент по Азиатско-Тихоокеанскому региону и Японии компании Yubico, предлагающей аппаратные ключи доступа, отметил, что препятствиями для внедрения являются низкий уровень зрелости кибербезопасности в государственном секторе, обеспокоенность качеством обслуживания клиентов в банковском секторе и необоснованное мнение о том, что внедрение ключей доступа технически сложно.

Технология Passkey и продукт YubiKey демонстрируют рост в Азиатско-Тихоокеанском регионе

Бизнес Yubico пошел в гору, когда компания работала с Google над интеграцией криптографии с открытым ключом в YubiKeys и разработкой нового протокола аутентификации. Когда Google решила распространять YubiKeys среди всех сотрудников, другие мировые технологические игроки последовали ее примеру, включая Amazon, Facebook, Uber и Microsoft.

«Практически все мировые технологические компании используют их в больших масштабах в своем бизнесе», — сказал Шомбургк.

В Азиатско-Тихоокеанском регионе глобальный аутсорсинг стимулирует некоторое внедрение YubiKeys в Индии и на Филиппинах. По словам Шомбургка, внедрение в Японии, Юго-Восточной Азии, Сингапуре и Австралии «ускоряется», поскольку такие организации, как австралийская Atlassian, ищут улучшенные преимущества безопасности по сравнению с традиционными методами аутентификации.

СМ.: Что, как и почему нужны пароли

Крупные технологии являются посредниками для более широкого внедрения паролей. В 2024 году Microsoft запустила доступность паролей пользователей на таких сервисах, как Bing, Microsoft 365 и Xbox.com, присоединившись к таким мировым брендам, как Adobe, Amazon, Apple, Google, Hyatt, Nintendo, PayPal, PlayStation, Shopify и TikTok.

По данным FIDO Alliance, открытого отраслевого альянса, создающего и продвигающего открытые стандарты для ключей доступа, в июле 2024 года охват ключей доступа расширился и охватил 13 миллиардов учетных записей.

Однако использование технологии паролей в Австралии не выросло. Ожидается, что техническая доступность паролей приведет к более раннему развертыванию и замене паролей, чтобы остановить эпидемию фишинга, но пока прогресс в Австралии медленный.

Внедрение государственных паролей обусловлено зрелостью кибербезопасности

MyGov был одним из первых цифровых государственных сервисов в мире, который внедрил опцию ключа доступа для пользователей. Как центральный портал государственных услуг в Австралии, этот шаг стал важным шагом в повышении осведомленности о ключах доступа. Этот шаг также соответствует Стратегии кибербезопасности Австралии на 2023–2030 годы.

Правительство заявило, что начало работы было успешным: в течение недели 20 000 человек установили пароли.

Другим агентствам есть над чем поработать. Пароли, устойчивые к фишингу, теперь требуются на уровне зрелости 2 австралийской структуры кибербезопасности Essential Eight после обновлений в ноябре 2023 года для борьбы со слабыми реализациями MFA, которые подвержены фишингу в реальном времени или атакам социальной инженерии.

Однако в последнем отчете Содружества о состоянии кибербезопасности, опубликованном в ноябре 2023 года, было установлено, что только 25% агентств достигли уровня зрелости 2, хотя в 2022 году этот показатель составлял всего 19%.

Шомбургк объяснил, что уровень кибербезопасности в государственном секторе различается на трех уровнях власти, причем лидируют федеральные правительственные агентства. Местные органы власти, которые, как правило, меньше и более автономны, больше полагаются на имена пользователей и пароли без более сильной MFA.

Внутренняя МФА банковского сектора лидирует в потребительском предложении

Банковский сектор в Австралии продвинулся в своих усилиях по кибербезопасности, но он еще не сделал коллективного перехода на пароли для аутентификации клиентов. Сектор по-прежнему полагается на одноразовые пароли, форму MFA, которая, хотя и более эффективна, чем пароли, все еще уязвима для фишинга.

Примечательным исключением является цифровой банк Ubank, который запустил пароли в августе 2024 года. Банк сослался на 2,7 миллиарда долларов, которые австралийцы потеряли из-за мошенничества в 2023 году, в качестве причины своего решения и заявил, что пароли «затруднят преступникам доступ к счетам с использованием украденных имен пользователей и паролей».

СМ.: 5 преимуществ аутентификации без пароля

Шомбургк сказал, что банки, как правило, продвинулись в развертывании некоторой формы MFA внутри для своих сотрудников. Однако растет понимание того, что MFA должна быть устойчивой к фишингу, чтобы достичь более высокого уровня зрелости безопасности. Yubico работает над следующими шагами с некоторыми крупными австралийскими банками.

Препятствия к принятию и внедрению паролей

Государственным учреждениям и банкам придется преодолеть некоторые препятствия для внедрения паролей.

Воспринимаемая сложность и удобство: восприятие паролей и физических ключей безопасности, таких как YubiKeys, как более сложных и менее удобных по сравнению с традиционными методами аутентификации.

Управление изменениями: руководители ИТ-отделов и служб безопасности, внедряющие пароли, должны адаптироваться к организационным изменениям, что часто приводит к сопротивлению сотрудников.

Обучение и осведомленность пользователей: необходимо информировать пользователей о преимуществах и удобстве паролей, в том числе о том, что они более безопасны и удобны, чем традиционные методы аутентификации.

Интеграция с устаревшими системами: в банковской сфере интеграция поддержки паролей в существующие онлайн-платформы и приложения может показаться технической проблемой, поскольку многие из них были разработаны независимо.

Клиентский опыт: Банки очень чувствительны к клиентскому опыту и неохотно вводят новые требования к аутентификации, когда клиенты согласны с существующими процессами.

Как эффективно реализовать пароли

Шомбургк сказал, что организациям, внедряющим пароли, следует:

Не отпугивать кажущиеся барьеры

По словам Шомбургка, воспринимаемые препятствия для внедрения паролей часто больше, чем фактические технические проблемы. Он призвал организации не сдерживаться и не беспокоиться о потенциальных проблемах. Вместо этого им следует «начать путешествие», и технические решения станут очевидными.

Сосредоточьтесь на преимуществах

Преимущества паролей — включая улучшенную безопасность и удобство для сотрудников и клиентов — часто перевешивают предполагаемые барьеры. Шомбургк утверждает, что как только организации начнут внедрять пароли, они обнаружат, что преимущества могут ускорить принятие.

Отдайте приоритет образованию и повышению осведомленности

Важно информировать как ИТ-персонал, так и конечных пользователей о преимуществах паролей по сравнению с устаревшими методами аутентификации. Постоянное общение и обучение, как внутри компании, так и с широкой общественностью, со временем будут способствовать более широкому внедрению.

Начните с малого и наращивайте темп

Ознакомление с технологией и ее преимуществами может привести к более широкому внедрению. Поскольку такие агентства, как MyGov, продолжают продвигать пароли, а использование паролей или аппаратных аутентификаторов, таких как YubiKeys, растет в компаниях, ранние последователи, вероятно, будут поощрять других пользователей использовать пароли.

Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться
Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться

Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE