RIP Всемирный день паролей

6 мая 2023 г.

Хотя 4 мая было Всемирным днем ​​паролей, предыдущий день стал переломным моментом, который может привести к изменению мероприятия в следующем году, которое, возможно, будет называться «Всемирный день без паролей» или «День памяти паролей». Компания Google, намекнувшая на свой переход на пароли на конференции RSA 2023 года, где она запустила обновление для Google Authenticator, 3 мая объявила, что разрешит использовать пароли для учетных записей на всех своих основных платформах.

Операторы управления идентификацией и учетными данными также говорили на RSA об истечении срока действия паролей. Хотя эксперты по безопасности сошлись во мнении, что изменения не произойдут в одночасье, некоторые считают, что заявление Google представляет собой кардинальное изменение в сфере безопасности.

Перейти к:

Отрасль переходит на пароли на разных устройствах Здесь ФИДО2! Введены менеджеры паролей и поставщики IAM Ваше устройство — это ваш отпечаток пальца От менеджеров паролей к менеджерам паролей Ключевой императив: люди — новый периметр

Отрасль переходит на пароли на разных устройствах

Вот некоторые показательные статистические данные от Tech Jury: 52% американцев используют один и тот же пароль для нескольких учетных записей, а 13% используют один пароль для всех.

Объявление Google появилось через год (на следующий день) после того, как компания вместе с Microsoft, Apple и другими заявила, что начнет переход на ключи доступа с расширенной поддержкой общего стандарта входа без пароля, созданного Fast Identity Online Alliance и World. Консорциум широкой сети.

СМОТРЕТЬ: Apple рекламирует пароль (TechRepublic)

«С тех пор Apple и Google подготовили свои операционные системы для поставщиков услуг, чтобы разрешить вход с ключами доступа, которые синхронизируются между устройствами: Windows 10 и 11 уже давно поддерживают ключи доступа, привязанные к устройствам, в Windows Hello, а ключи доступа с устройств iOS или Android могут также можно использовать для входа на сайты в Chrome или Edge для Windows», — написал Эндрю Шикиар, исполнительный директор и директор по маркетингу FIDO Alliance.

Здесь ФИДО2!

Альянс FIDO в сотрудничестве с промышленностью разработал проект ключей доступа FIDO2, платформу многофакторной аутентификации. Он использует аутентификаторы, первоначально похожие на флеш-накопители, которые подключаются к USB-порту, но которые также могут быть, скажем, смартфоном.

Существует три отраслевых спецификации для аутентификации по паролю на основе криптографии с асимметричным ключом или открытых ключей, которые составляют проект FiDO2:

Защищенный от фишинга протокол шифрования с открытым ключом, включающий стандарты FIDO для двухфакторной аутентификации. Универсальная платформа аутентификации FIDO — это открытый стандарт, который поддерживает аутентификацию без пароля на устройствах конечных пользователей. Протоколы Client to Authenticator дополняют спецификацию веб-аутентификации W3C (WebAuthn).

Парольные ключи позволяют высвободить закрытые ключи из устройства, на котором они находятся. Вместо пароля на сервере и секрета в голове пользователя криптография с открытым ключом хранит уникальный ключ на устройстве. Открытый ключ, например отпечаток пальца, шифрует данные. «Закрытый ключ никогда не покидает устройство», — пояснил Шикиар.

«До паролей, скажем, я зарегистрировался на «ecommerceProvider.com» на своем iPhone и перешел на тот же сайт на своем iPad. Мне также придется зарегистрировать свой iPad, компьютер и все остальное», — сказал Шикиар.

«Мне придется запомнить этот пароль и держать его в центре внимания. Это неудобно и противоречит общему направлению, в котором движутся люди. Ключи доступа позволяют синхронизировать закрытый ключ, который затем находится на вашем устройстве, а также синхронизируется в облаке. Это означает, что если я захожу на этот сайт со своего телефона или iPad, он автоматически распознает меня по моему идентификатору пользователя», — добавил он.

Барометр онлайн-аутентификации FIDO Alliance, выпущенный в октябре прошлого года, обнаружил, что ввод паролей в Интернете сократился на 5–9% во всех пяти основных случаях использования, которые он отслеживает, включая доступ к финансовым услугам, рабочим компьютерам и учетным записям, социальным сетям, потоковой передаче. услуги и устройства для умного дома — по сравнению с 2021 годом. Кроме того, 70% людей должны были восстанавливать пароль хотя бы один раз в данном месяце, 59% людей отказались от доступа к онлайн-сервисам в данном месяце, а 43% отказались от покупок, потому что они не могли вспомнить свой пароль.

В своем новом отчете, основанном на опросе, Альянс обнаружил:

пятьдесят семь процентов потребителей в США выразили заинтересованность в использовании паролей для замены паролей, по сравнению с 39%, которые заявили, что просто знакомы с концепцией паролей. Более 47% респондентов заявили, что они хотя бы немного знакомы с ключами доступа, а 57% заинтересованы в использовании ключей доступа для входа в свои учетные записи. Пароли по-прежнему являются наиболее используемым методом входа, но потребители теперь предпочитают использовать биометрические данные вместо паролей (29% против 19%). Почти 60% потребителей отказались от покупок за последние полгода из-за забытого пароля. Девяносто процентов потребителей сообщают, что им приходится сбрасывать или восстанавливать пароли. 13% респондентов заявили, что им приходится восстанавливать пароли ежедневно или несколько раз в неделю, и почти 60% сообщили о нескольких сбросах паролей в квартал. 29% заявили, что предпочитают входить в систему с помощью биометрии. Семьдесят процентов сказали, что используют пароли годичной давности.

Введены менеджеры паролей и поставщики IAM

Фирмы по управлению доступом к идентификационным данным, такие как Duo от Cisco, а также Okta и 1Password, быстро продвигаются в будущее биометрии и паролей. FIDO отметило, что PayPal, Yahoo! Japan, NTT DOCOMO, CVS Health, Shopify, Mercari, Kayak и SK Telecom — среди многих других, которые делают то же самое.

Начиная с этого лета, 1Password, который запустил универсальный вход в начале этого года, позволит клиентам хранить, управлять и использовать ключи доступа для доступа к своим онлайн-аккаунтам через 1Password в браузере. Одна из целей компании — разблокировать пароли от определенных устройств (на случай, если вы попытаетесь войти в учетную запись с нового устройства) с помощью мобильного 2FA-аутентификатора для паролей.

На конференции RSA генеральный директор 1Password Джефф Шайнер сказал TechRepublic, что переход общества на ключи доступа не произойдет в одночасье, потому что пароли, несмотря на все их ограничения, знакомы.

«Чтобы убедить людей перейти на что-то новое, необходимо укрепить доверие к безопасности новых технологий», — сказал он.

«Например, с биометрическими данными людям важно понимать, что данные их отпечатков пальцев, например, остаются на устройстве. Он не отправляется на 1password. Мы должны объяснить им, что биометрия более безопасна», — добавил он.

«Потребуется время, чтобы полностью отказаться от паролей в зависимости от каждой компании и их клиентов. В каждом опросе, посвященном паролям, приходится 20 с лишним процентов людей, предпочитающих их. И из-за этого потребуется время, чтобы полностью отказаться от них», — согласился Шикиар.

Функция Watchtower 1Password позволяет пользователям узнать, когда пароли, хранящиеся в хранилище 1Password, были скомпрометированы, и предупреждает пользователей, когда веб-сайты начинают поддерживать ключи доступа.

Компания также запустила Passkey.directory, который отслеживает веб-сайты, у которых есть пароли, и позволяет пользователям голосовать на сайтах, которые должны иметь доступ к паролям.

ПОСМОТРЕТЬ: Подробнее о будущем 1Password без паролей здесь

С точки зрения Шайнера, внедрение ключей доступа в электронной коммерции неизбежно из-за преимуществ безопасности и маркетинга.

«Например, у Home Depot миллионы клиентов, и она должна хранить и защищать все эти пароли, что создает большой риск для директора по информационной безопасности», — сказал он.

«Со стороны директора по маркетингу это вызывает не меньшую озабоченность, потому что сколько людей в процессе проверки отказываются от своей корзины, потому что проблемы с паролем становятся точкой трения? Ключи доступа более безопасны, обеспечивают гораздо лучший опыт и лучше с точки зрения безопасности, стоимости и риска, и я защищен тем, что владею устройством, поэтому я уменьшаю поверхность атаки».

Ваше устройство — это ваш отпечаток пальца

Флеминг Ши, главный технический директор компании Barracuda Networks, занимающейся безопасностью, сетевыми технологиями и технологиями хранения данных, сказал, что беспарольная защита идеальна, поскольку ваше устройство становится продолжением вашей личности.

«Это модуль TPM: доверенная платформа. Что хорошо в этом, так это то, что ваше устройство является вашей точкой доверия, вместо того, чтобы полагаться на токен или MFA, само устройство является ключом, расширением того, чем вы являетесь. И, как правило, это доверие между вами и устройством хорошо контролируется», — сказал он.

Barracuda работает с фирмой TruU, занимающейся управлением идентификацией сотрудников без пароля, которая использует дополнительные данные и телеметрию для определения личности пользователя на основе таких точек данных, как время входа в систему и местоположение.

«Это становится более утонченным способом идентифицировать себя», — сказал Барракуда.

От менеджеров паролей к менеджерам паролей

Шикиар сказал, что менеджеры паролей или ключей станут важной частью экосистемы управления идентификацией.

«Многие потребители используют менеджеры паролей, потому что живут в мультиплатформенном мире. Менеджеры паролей обеспечивают независимую межплатформенную реализацию. Если вы используете менеджеры паролей сегодня для своих паролей, вы будете делать то же самое со своими паролями. Мы работаем над тем, чтобы формализовать этот процесс», — сказал он.

Ключевой императив: люди — новый периметр

На конференции RSA компания Cisco объявила, что ее приложение для аутентификации удостоверений Duo расширит технологию Trusted Endpoints для всех пользователей с зарегистрированным или управляемым устройством, включая вход без пароля.

Ива Блазина Вукеля, вице-президент по продуктам для нулевого доверия в Cisco, сказала, что проблема с ключами доступа заключается не только в том, что они используются на разных устройствах, но и в том, что они используются людьми. FIDO2 решает эту проблему с помощью протокола роумингового аутентификатора или протокола клиент-аутентификатор, воплощенного в таких устройствах, как YubiKey, или с помощью возможностей смартфона.

«Это позволяет вам использовать свой телефон в качестве роумингового аутентификатора в виде ключа доступа и позволяет вам обмениваться данными между устройствами, не делясь между разными людьми, которые не должны иметь доступ к этим устройствам», — пояснила она.

Она указала, что после COVID, с взрывом удаленной и гибридной работы, императивы безопасности, связанные с необходимостью перехода на пароли, связаны с человеком как с новой поверхностью угрозы.

«За последние 12–18 месяцев мы стали свидетелями беспрецедентного количества атак на протоколы многофакторной аутентификации. Что привело к этому? Удаленный доступ — это номер один», — сказала она, добавив, что сочетание факторов делает людей идеальным пятым колесом в телеге безопасности.

«40% корпоративных приложений — это программное обеспечение как услуга, и 80% наших корпоративных клиентов разрешают использование неуправляемых устройств в своих сетях. Слияние этого устанавливает личную идентичность, пользователя, личность как новый периметр. Злоумышленник, находящийся на расстоянии 4000 миль, может обманом заставить вашего конечного пользователя передать ваше имя пользователя, пароль и токен MFA для доступа к приложению SaaS, и вы в SOC не увидите этого, потому что злоумышленник сделал все это, не пересекая вашу сеть, и они этого не видели, потому что ваша конечная точка тоже не была взломана. Это человек, которого взломали. И этот периметр плохо контролируется и не наблюдается».

---

Оригинал