Пароли мертвы. Какое ваше оправдание все еще их использует?
6 августа 2025 г.Если вы генеральный директор, CISO или бедная душа, пытаясь сразиться с охраной на полпути, наполовину отколоченном мире мира, вот ваш тревожный звонок: земля сдвигается, а пароли-это провальная скважина.
Давайте переоценим его - 88% нарушений веб -приложений
Пароли - это безопасность, эквивалентное скрытию ключа дома под ковриком. И злоумышленники точно знают, где искать.
Нарушения, шумиха и та же старая история
Пару недель назад появилась статья - и была вновь размесчена повсюду - из -за того, что исследователи обнаружили обширную утечку данных, содержащую 16 миллиардов имен пользователей и пароли, связанные с такими платформами, как Apple, Google, Facebook, правительственные услуги и многое другое. Правда в том, что большая часть этих данных была скомпрометирована в предыдущих нарушениях, и эти «новости», возможно, были попыткой привить страха или получить представления страниц. К сожалению, раскачивание нарушений безопасности приводит не к действию, а к апатии по поводу гигиены пароля. Сколько раз вы читали о нарушении, а затемнетприняли меры по своим собственным паролям?
Тем не менее, реальность такова: скомпрометированные полномочия постоянно собирают и используются для фишинга, поглощения счетов и кражи личности. После того, как они были обнародованы, такие меры, как гигиена пароля и 2FA падают опасно короткими. Продолжающиеся нарушения безопасности втягивают нас в новую эру кибер -риска, когда злоумышленникам не нужно взрываться - они просто входят в систему.
Сразу после того, как «новости» разразились массовым нарушением, включающим 16 миллиардов счетов, AFLAC раскрыл реальную атаку. Это пострадала от кибератаки, где хакеры использовали социальную инженерию, чтобы
Пароли не остановили это. Они включили это.
Почему безопасность на основе паролей подвела нас
Массовые полномочия по краже и управляемым фишингам подчеркивают системную слабость:
Проблема | Влияние |
|---|---|
Инфостаоры | Немного молча |
Повторное использование пароля | Одно нарушение может домино в несколько скомпрометированных счетов |
Фишинг | Помощь пользователям в предоставление учетных данных - вход в систему |
2FA ограничения | SMS -коды, уязвимые для SIM -карты, социальной инженерии и сессии |
Мы продолжаем наслоение на сложности - менеджеры по словам, MFA, вращающиеся политики - и злоумышленники все равно продолжают войти в систему. Вы не можете обеспечить систему, основанную на чем -то, что это хрупкое.
Представьте себе мир без паролей
Ответ на наши коллективные проблемы безопасности заключается в старом решении с современной аутентификацией без пароля.
Аутентификация на основе сертификатов устраняет необходимость в паролях, немедленно уменьшая поверхность вашей атаки. Почему? Потому что, даже если люди - ваши сотрудники, подрядчики и поставщики - непреднамеренно нажимают на фишинговое письмо, нет пароля для кражи. Они не будут повышать уязвимость, используя один и тот же пароль для всех своих приложений и устройств. Решения без пароля используют цифровые сертификаты - автономные и надежно входящие в систему, исключая воздействие кражи учетных данных.
Преимущества, которые на самом деле имеют значение:
- Фишинговая. Нет паролей, нет одноразовых паролей (OTP), нет проблем.
- Нет общих секретов. Частные ключи остаются на устройстве. Период.
- Пользователям это нравится. Нет забытых паролей. Нет сброса. Нет гимнастики MFA. Просто быстрый доступ.
- Построен для масштаба. Сертификаты могут быть выданы, отозваны и управляются централизованно - и они подключаются к структуру условного доступа.
Звучит дорого или сложно? Это не. Давайте сбиваем несколько оправданий, пока мы в этом.
Общие оправдания (и почему они не держатся)
«Трудно интегрироваться с тем, что у нас есть».
Используйте гибкое, облачное решение, которое хорошо играет со стеком. Не требуется вилочный погрузчик.
«Наши пользователи оттолкнут».
Нет, если опыт входа в систему быстрее и проще. Люди не лояльны к паролям - они лояльны к тому, что работает.
«У нас уже есть MFA».
MFA - это не то же самое. СПОЙЛЕР: Атакующие знают, как его обойти, и пользователи устают от этого.
«Это не в бюджете».
Ни один из них не является нарушением. Или иск. Или потерять доверие клиента. Ваши данные - это ваше дело. Прекратите азартные игры с этим.
CISOS: Пора возглавить
Лидеры безопасности уже знают, что пароли являются ответственностью. Вопрос в том, что вы с этим делаете?
Вот ваш короткий список:
- Официально поддерживает без пароля в своей стратегической дорожной карте. Поднять его принятие с «приятного иметь» в приоритетный план, который поддерживается бюджетами и вехами.
- Запустите пилотные программы, используя аутентификацию на основе сертификатов. Тестируемые варианты использования в конечной точке, сети и доступе к облаку для проверки удобства использования и взаимодействия. Облачные решения могут заставить вас работать очень быстро.
- Охватите Frameworks Zero Trust Security. Принципы нулевого доверия требуют строгой проверки идентификации для каждогопользователь и устройство, независимо от местоположения.
- Обучать и евангелизировать. Тренируйте его и помогают командам. Подготовить сотрудников к бесшовному переходу, чтобы усилить, что улучшенная безопасность не требует ухудшения пользовательского опыта.
Конец пароля (наконец)
Пароли хорошо пробежали - для злоумышленников. Учебная начинка. Инфостаоры. Выкуп. Фишинг. Все приводятся в действие одной и той же устаревшей реликвией безопасности.
Как лидеры, мы не просто реагируем на угрозы - мы направляем будущее. Аутентификация без пароля не является экспериментом. Это требование. И сейчас это готово.
Эра пароля закончилась. Давайте не будем вытаскивать это.
Оригинал