Пользователи не могут отказаться от паролей, несмотря на все риски и стресс
10 мая 2023 г.Согласно новому исследованию, специалисты по облачным технологиям должны переосмыслить свою зависимость от паролей для защиты своих систем.
Недавний опрос, проведенный Beyond Identity, показал, что более четырех пятых уверены в эффективности и безопасности паролей, при этом более в-третьих, они очень уверены в себе.
Тем не менее, Beyond Identity считает, что эта уверенность неуместна, поскольку пароли имеют «внутренне присущие уязвимости безопасности, ценность в качестве цели для злоумышленников и [существует] широко распространенное разочарование в отношении требований к гигиене паролей».
Излишняя уверенность
Фирма также сослалась на исследование, которое обнаружило этот неверный пароль. злоумышленники регулярно используют эти привычки, и 80 % всех взломов совершаются с использованием скомпрометированных учетных данных.
Несмотря на уверенность, опрос также выявил недовольство профессионалов в области облачных вычислений гигиеническими требованиями к системам на основе паролей. Их разочарование было вызвано необходимостью запоминать несколько паролей (60%), регулярно менять их (52%) и выбирать длинные и сложные строки (52%).
Четверть использует от 4 до 5 паролей в день, а десятая — 10 и более. Более трети организаций также рекомендуют менять пароли ежеквартально, чуть менее трети — ежемесячно, а 6% — ежедневно или еженедельно. И, несмотря на приложенные усилия, Beyond Identity утверждает, что такие методы приводят к «минимальным преимуществам безопасности».
Несмотря на то, что использование диспетчера паролей и лучшего генератора паролей может значительно решить эти проблемы, другая серьезная проблема безопасности с паролями является их уязвимость к фишингу. Более трети профессионалов в области облачных вычислений заявили, что они помечали от одного до трех полученных ими фишинговых писем, в то время как 18% помечали от четырех до шести и почти четверть помечали семь или более.
Более тревожным был тот факт, что 11% заявили, что не помечали фишинговые электронные письма, полученные ими, а пятая часть не была уверена, что они по ошибке нажали на вредоносную ссылку в электронном письме. Пятая часть также сообщила, что знает коллег, которые нажимали на них, а четверть сказали, что нажимали на них сами, причем некоторые делали это регулярно.
Что касается многофакторной аутентификации (MFA), то ее использовали 82% облачных компаний, причем наиболее популярным методом было использование мобильного приложение для аутентификации. Более половины также были очень уверены в МИД как в мере безопасности.
Опять же, Beyond Identity утверждает, что MFA может быть не таким безопасным, как считают профессионалы, ссылаясь на нарушения, от которых пострадали подобные Reddit и Uber, где был скомпрометирован MFA.
Таким образом, решение заключается в использовании беспарольных систем, таких как ключи доступа, которые устойчивы к фишингу, поскольку никаких учетных данных, чтобы пойти после. Криптографический ключ хранится на пользовательском устройстве и в сочетании с открытым ключом данной службы обеспечивает доступ пользователя. Никто — даже пользователь — не знает, что такое закрытый ключ.
«Если вы хотите устранить риск взлома, вам нужны эти базовые системы. Это исследование подчеркивает острую потребность облачных организаций в обновлении своих доисторических систем и сосредоточении внимания на аутентификации без пароля и устойчивой к фишингу MFA», — сказал Патрик Макбрайд, соучредитель Beyond Identity.
- Мы также выбрали лучший менеджер паролей для бизнеса
Оригинал