Распространение паролей ускоряется в странах Азиатско-Тихоокеанского региона — за исключением Австралии

Пароли предлагают защищенный от фишинга режим аутентификации. При поддержке технологических гигантов Microsoft, Apple и Google пароли используют зашифрованные учетные данные, хранящиеся на цифровом или аппаратном устройстве, для замены паролей и более слабых методов многофакторной аутентификации — основных векторов кибератак.

Несмотря на рост в Азиатско-Тихоокеанском регионе, внедрение паролей в Австралии было относительно медленным. В государственном секторе MyGov только недавно ввел входы с паролем для своих онлайн-сервисов. В банковском секторе одноразовый пароль или многофакторная аутентификация OTP по-прежнему остается фактическим методом аутентификации на австралийском рынке.

Джефф Шомбургк, вице-президент по Азиатско-Тихоокеанскому региону и Японии компании Yubico, предлагающей аппаратные ключи доступа, отметил, что препятствиями для внедрения являются низкий уровень зрелости кибербезопасности в государственном секторе, обеспокоенность качеством обслуживания клиентов в банковском секторе и необоснованное мнение о том, что внедрение ключей доступа технически сложно.

Технология Passkey и продукт YubiKey демонстрируют рост в Азиатско-Тихоокеанском регионе

Бизнес Yubico пошел в гору, когда компания работала с Google над интеграцией криптографии с открытым ключом в YubiKeys и разработкой нового протокола аутентификации. Когда Google решила распространять YubiKeys среди всех сотрудников, другие мировые технологические игроки последовали ее примеру, включая Amazon, Facebook, Uber и Microsoft.

«Практически все мировые технологические компании используют их в больших масштабах в своем бизнесе», — сказал Шомбургк.

В Азиатско-Тихоокеанском регионе глобальный аутсорсинг стимулирует некоторое внедрение YubiKeys в Индии и на Филиппинах. По словам Шомбургка, внедрение в Японии, Юго-Восточной Азии, Сингапуре и Австралии «ускоряется», поскольку такие организации, как австралийская Atlassian, ищут улучшенные преимущества безопасности по сравнению с традиционными методами аутентификации.

СМ.: Что, как и почему нужны пароли

Крупные технологии являются посредниками для более широкого внедрения паролей. В 2024 году Microsoft запустила доступность паролей пользователей на таких сервисах, как Bing, Microsoft 365 и Xbox.com, присоединившись к таким мировым брендам, как Adobe, Amazon, Apple, Google, Hyatt, Nintendo, PayPal, PlayStation, Shopify и TikTok.

По данным FIDO Alliance, открытого отраслевого альянса, создающего и продвигающего открытые стандарты для ключей доступа, в июле 2024 года охват ключей доступа расширился и охватил 13 миллиардов учетных записей.

Однако использование технологии паролей в Австралии не выросло. Ожидается, что техническая доступность паролей приведет к более раннему развертыванию и замене паролей, чтобы остановить эпидемию фишинга, но пока прогресс в Австралии медленный.

Внедрение государственных паролей обусловлено зрелостью кибербезопасности

MyGov был одним из первых цифровых государственных сервисов в мире, который внедрил опцию ключа доступа для пользователей. Как центральный портал государственных услуг в Австралии, этот шаг стал важным шагом в повышении осведомленности о ключах доступа. Этот шаг также соответствует Стратегии кибербезопасности Австралии на 2023–2030 годы.

Правительство заявило, что начало работы было успешным: в течение недели 20 000 человек установили пароли.

Другим агентствам есть над чем поработать. Пароли, устойчивые к фишингу, теперь требуются на уровне зрелости 2 австралийской структуры кибербезопасности Essential Eight после обновлений в ноябре 2023 года для борьбы со слабыми реализациями MFA, которые подвержены фишингу в реальном времени или атакам социальной инженерии.

Однако в последнем отчете Содружества о состоянии кибербезопасности, опубликованном в ноябре 2023 года, было установлено, что только 25% агентств достигли уровня зрелости 2, хотя в 2022 году этот показатель составлял всего 19%.

Шомбургк объяснил, что уровень кибербезопасности в государственном секторе различается на трех уровнях власти, причем лидируют федеральные правительственные агентства. Местные органы власти, которые, как правило, меньше и более автономны, больше полагаются на имена пользователей и пароли без более сильной MFA.

Внутренняя МФА банковского сектора лидирует в потребительском предложении

Банковский сектор в Австралии продвинулся в своих усилиях по кибербезопасности, но он еще не сделал коллективного перехода на пароли для аутентификации клиентов. Сектор по-прежнему полагается на одноразовые пароли, форму MFA, которая, хотя и более эффективна, чем пароли, все еще уязвима для фишинга.

Примечательным исключением является цифровой банк Ubank, который запустил пароли в августе 2024 года. Банк сослался на 2,7 миллиарда долларов, которые австралийцы потеряли из-за мошенничества в 2023 году, в качестве причины своего решения и заявил, что пароли «затруднят преступникам доступ к счетам с использованием украденных имен пользователей и паролей».

СМ.: 5 преимуществ аутентификации без пароля

Шомбургк сказал, что банки, как правило, продвинулись в развертывании некоторой формы MFA внутри для своих сотрудников. Однако растет понимание того, что MFA должна быть устойчивой к фишингу, чтобы достичь более высокого уровня зрелости безопасности. Yubico работает над следующими шагами с некоторыми крупными австралийскими банками.

Препятствия к принятию и внедрению паролей

Государственным учреждениям и банкам придется преодолеть некоторые препятствия для внедрения паролей.

Воспринимаемая сложность и удобство: восприятие паролей и физических ключей безопасности, таких как YubiKeys, как более сложных и менее удобных по сравнению с традиционными методами аутентификации.

Управление изменениями: руководители ИТ-отделов и служб безопасности, внедряющие пароли, должны адаптироваться к организационным изменениям, что часто приводит к сопротивлению сотрудников.

Обучение и осведомленность пользователей: необходимо информировать пользователей о преимуществах и удобстве паролей, в том числе о том, что они более безопасны и удобны, чем традиционные методы аутентификации.

Интеграция с устаревшими системами: в банковской сфере интеграция поддержки паролей в существующие онлайн-платформы и приложения может показаться технической проблемой, поскольку многие из них были разработаны независимо.

Клиентский опыт: Банки очень чувствительны к клиентскому опыту и неохотно вводят новые требования к аутентификации, когда клиенты согласны с существующими процессами.

Как эффективно реализовать пароли

Шомбургк сказал, что организациям, внедряющим пароли, следует:

Не отпугивать кажущиеся барьеры

По словам Шомбургка, воспринимаемые препятствия для внедрения паролей часто больше, чем фактические технические проблемы. Он призвал организации не сдерживаться и не беспокоиться о потенциальных проблемах. Вместо этого им следует «начать путешествие», и технические решения станут очевидными.

Сосредоточьтесь на преимуществах

Преимущества паролей — включая улучшенную безопасность и удобство для сотрудников и клиентов — часто перевешивают предполагаемые барьеры. Шомбургк утверждает, что как только организации начнут внедрять пароли, они обнаружат, что преимущества могут ускорить принятие.

Отдайте приоритет образованию и повышению осведомленности

Важно информировать как ИТ-персонал, так и конечных пользователей о преимуществах паролей по сравнению с устаревшими методами аутентификации. Постоянное общение и обучение, как внутри компании, так и с широкой общественностью, со временем будут способствовать более широкому внедрению.

Начните с малого и наращивайте темп

Ознакомление с технологией и ее преимуществами может привести к более широкому внедрению. Поскольку такие агентства, как MyGov, продолжают продвигать пароли, а использование паролей или аппаратных аутентификаторов, таких как YubiKeys, растет в компаниях, ранние последователи, вероятно, будут поощрять других пользователей использовать пароли.