1Password стремится к будущему без паролей. Вот почему
12 марта 2023 г.Директор по продуктам 1Password Стив Вон говорит, что кража учетных данных распространена повсеместно и становится все хуже. LastPass может поручиться за это; По мрачной иронии судьбы в декабре 2022 года злоумышленник украл учетные данные инженера LastPass DevOps, предоставив ему доступ к незашифрованному хранилищу.
Перейти к:
- Правило 1-2-3, чтобы избежать кражи учетных данных
Уменьшение угрозы за счет меньшего запоминания
«Непросто» — не решение для учетных данных
Недолгая игра: полное устранение паролей
Ключевой период для паролей
Первичная дорожная карта разработчиков для революции учетных данных
Вон считает, что эта тенденция сохранится, отметив, что в отчете IBM за 2022 год о стоимости утечек данных скомпрометированные учетные данные указаны как основной вектор атаки. В отчете также указано, что украденные учетные данные стали причиной 19% утечек, что обошлось организациям в среднем в 4,5 миллиона долларов, что на 150 000 долларов больше, чем средняя стоимость утечки данных на компанию.
TechRepublic взяла интервью у Вона об уязвимостях учетных данных, зашифрованных ключах, хранилищах и о том, куда все это движется. Эта стенограмма была отредактирована для краткости.
Правило 1-2-3, чтобы избежать кражи учетных данных
Карл Гринберг: Насколько серьезной угрозой сегодня является кража учетных данных?
Стив Вон: Откровенно говоря, фишинг для получения учетных данных — самый простой вектор атаки. Особенно в последние 12–18 месяцев злоумышленникам становилось все проще и легче воспроизводить атаки MFA (многофакторная аутентификация) и коды OTP (одноразовый пароль) от банков.
Карл Гринберг: Как менеджеры паролей защищают от этого или от тех несчастий, с которыми столкнулся LastPass?
Стив Вон: В 1Password у нас есть система с нулевым разглашением, обрабатывающая как можно больше локально на клиенте, нигде не хранящая информацию в незашифрованном состоянии. Клиент локально на вашем устройстве выполняет расшифровку. Кроме того, у нас есть модель секретного ключа, где в дополнение к паролю или биометрии вы получаете уникальный код, сгенерированный машиной во время регистрации, о котором мы ничего не знаем.
ПОСМОТРЕТЬ: Защита мобильных МФА от фишинга с помощью аппаратных ключей (TechRepublic)
Карл Гринберг: Значит, ключевым аспектом безопасности является отсутствие знаний со стороны менеджера паролей?
Стив Вон: Сочетание нулевого знания и уверенности, что мы видим только зашифрованную информацию на нашей стороне, а сгенерированный секретный ключ создает глубину защиты. Если мы стали мишенью, ваша информация в безопасности. С основным документом, который мы передаем подписчикам при регистрации, мы рекомендуем правило 1-2-3 с резервным копированием: локально, в облаке и [на] отдельном физическом устройстве, то же самое для резервного копирования секретного ключа.
Уменьшение угрозы за счет меньшего запоминания, нулевых знаний
Карл Гринберг: Даже при атаках с использованием таких технологий, как кейлоггеры для кражи нажатий клавиш, является ли безопасность в основном проблемой социальной инженерии, а не технической, в большинстве случаев?
Стив Вон: Что ж, позвольте мне сказать следующее: многие политики безопасности могут многому научиться у общественного здравоохранения. И что наиболее эффективно делать в контексте общественного здравоохранения? Хорошая гигиена и мытье рук, а не какой-то эзотерический санитарный режим. Это основы.
В области безопасности, если вы вспомните о происхождении страхов от вирусов в первые дни Windows 95, предполагалось, что атаки были очень изощренными; но на самом деле это обычно просто украденные учетные данные. Люди угадывают пароли, и кража становится проще, если люди повторно используют пароли, например, в наборе сервисов. На самом деле это самый распространенный вектор атаки.
Карл Гринберг: В идеале менеджер паролей поднимает уровень безопасности, не полагаясь исключительно на поведенческие изменения, верно?
Стив Вон: Моя карьера зависела от того, как мы повышаем уровень безопасности. Менеджер паролей предназначен для правильного понимания этих основ: позволяет машинам генерировать ваши пароли, чтобы они гарантированно были уникальными; вы, как пользователь, не знаете об этих паролях и убедитесь, что вы одновременно защищаете все эти учетные данные таким образом, который доступен на всех устройствах, которые вы используете. Это означает, что вам не нужно вручную вводить эти пароли или сохранять их в памяти, что значительно снижает вектор угрозы.
«Непросто» — не решение для учетных данных
Карл Гринберг: Что касается социальной инженерии, что мешает принять меры безопасности тем, кто, в общем и целом, все еще не очень хорош в самозащите?
Стив Вон: Безопасность будет принята только в том случае, если она будет значительно проще, чем то, что было до нее. Мой любимый пример — Touch ID для телефонов. До Touch ID существовали PIN-коды (персональные идентификационные номера), но ими пользовались менее трети пользователей. С появлением биометрии этот показатель изменился до 85%.
Карл Гринберг: Было бы неплохо упростить безопасность для большинства людей, но не один человек предположил, что с развитием угроз пароли должны будут становиться длиннее.
Стив Вон: Не уверен, что согласен. Данные показали, что нет никакой огромной пользы в том, чтобы требовать от людей постоянно менять пароли. Я считаю, что даже NIST (Национальный институт стандартов и технологий) развивает свои рекомендации в этом направлении.
SEE: неправильное использование менеджеров паролей делает людей уязвимыми для кражи личных данных (TechRepublic)
Карл Гринберг: Но, по сути, поскольку злоумышленники находят более быстрые способы перебора паролей для атак методом грубой силы, разве длинные, запутанные пароли не являются обязательными?
Стив Вон: Во-первых, менеджеры паролей — это лучший способ управления паролями: система генерирует их, а наличие на всех устройствах означает, что они широко доступны. Во-вторых, это не игра с нулевой суммой. Конечная цель состоит не в том, чтобы сделать пароли все более и более сложными в использовании, а в том, чтобы полностью их исключить. Прямо.
Недолгая игра: полное устранение паролей
Карл Гринберг: Какие есть варианты учетных данных для паролей и когда это произойдет?
Стив Вон: Концепция общих секретов восходит к римским центурионам с жетонами испытаний, позволяющими им доказать, что они были римскими солдатами.
В определенной степени, по мере того как мы движемся к веб-миру, эта идея общего секрета фактически устаревает. Всю свою карьеру я работал в Альянсе FIDO. Первоначально в центре внимания были USB-ключи безопасности, затем веб-аутентификация, а теперь ключи доступа — уникальный токен, основанный на принципах криптографии с открытым ключом. Совпадение ключей с открытыми ключами позволяет пройти аутентификацию.
Карл Гринберг: С точки зрения взаимодействия с пользователем, как это упрощает проверку?
Стив Вон: Так работала биометрия, и поэтому мы смогли убедить людей использовать блокировку экрана на своих устройствах. Эти учетные данные нельзя переносить, поэтому они исключают вектор фишинга — вы не можете украсть этот токен и использовать его; Я не могу украсть ваши жетоны и притвориться вами. Это позволяет нам исключить наиболее удобный для злоумышленников способ преследовать вас.
Ключевой период для паролей
Карл Гринберг: Каковы, по вашему мнению, сроки перехода к паролям и отказу от паролей?
Стив Вон: Мы медленно движемся к будущему без пароля, и я думаю, что сейчас мы находимся в ключевом 18-месячном окне. Apple недавно объявила и реализовала поддержку паролей в Ventura, iOS 16 и Safari 16. Очень скоро Google в своей следующей [версии] Android будет поддерживать пароли. Microsoft находится в процессе предоставления ключей доступа в экосистемах Edge и Windows, а также на платформах, которые их принимают.
Карл Гринберг: Как вы относитесь к этим движениям гигантов программного обеспечения?
Стив Вон: Именно по этой причине прошлой осенью мы приобрели (рис. B) компанию Passage (компания, специализирующаяся на аутентификации без пароля), цель которой — облегчить людям внедрение учетных данных без пароля в свои схемы. Проблема использования учетных данных в разных экосистемах ОС будет по-прежнему существовать; как мне убедиться, что он связан с моей личностью помимо устройств, которые я использую?
Рисунок Б
Карл Гринберг: Верно, и если этого не произойдет, люди не будут его использовать, что я бы сказал, исходя из личного опыта. Какова проблема со стороны пользователя для широкого внедрения паролей?
Стив Вон: Меня беспокоит то, что пользовательский опыт будет неравномерным для паролей. Представьте себе ситуацию, когда кто-то использует ключ доступа — скажем, пользователь Mac — и переходит на игровой ПК с Windows, а Microsoft его не поддерживает. Это был бы ужасный опыт, поэтому именно здесь мы должны сыграть ключевую роль, помогая людям ориентироваться в этом переходе. Кроме того, по иронии судьбы тот факт, что ключи доступа создают меньше проблем, чем пароли, или MFA сам по себе может быть проблемой — FIDO провела исследование, показывающее, что, поскольку это проще, люди не думают, что это безопасно.
Карл Гринберг: Могут ли быть риски для первопроходца в этом пространстве?
Стив Вон: Первое впечатление — это все, что касается безопасности. За два года до айфона был телефон Матрица с дактилоскопическим датчиком, и не самый лучший. В течение недели кто-то взломал его с помощью распечатки отпечатка пальца. Представьте, если бы у iPhone была такая же проблема — какой непоправимый ущерб нанесло бы доверие к биометрии? Так что нет, у нас не может быть этого с ключами доступа.
Первичная дорожная карта разработчиков для революции учетных данных
Карл Гринберг: Таким образом, длинная игра заключается в полном отказе от паролей. Сколько времени это займет? Это ближайшая возможность
Стив Вон: Это цель, но на самом деле я думаю, что это будет путешествие, которое займет два десятилетия. Я бы хотел, чтобы пароли электронной почты исчезли через пять лет, но это больше половины пользователей электронной почты в мире. Представьте, что этот вектор атаки исчезает, и насколько легче это сделает жизнь.
SEE: новые данные о кибербезопасности выявляют постоянные уязвимости социальной инженерии (TechRepublic)
Карл Гринберг: Каковы ваши планы на год по развитию пространства учетных данных?
Стив Вон: У нас есть довольно амбициозная дорожная карта. В конце прошлого года, когда мы приобрели Passage, мы объявили об открытой службе Passkeys.Directory, которая представляет собой каталог сайтов, которые первыми внедрили ключи доступа, например PayPal. На прошлой неделе мы объявили, что разрешим ключи доступа и биометрические данные для разблокировки учетных записей вместо паролей, что устранит риск кражи ваших учетных данных хранилища.
Мы также рады привлечь разработчиков, поэтому мы будем открывать ящики Rust с открытым исходным кодом для ключей доступа, потому что нам нужно, чтобы вся экосистема мигрировала туда.
Читать дальше: 8 лучших корпоративных менеджеров паролей 2022 года (TechRepublic)
Оригинал