29 декабря, 2020

Будущее без паролей. О непрерывном беспарольном едином входе

Традиционная, основанная на пользовательских паролях, аутентификация безнадежно устарела. Усиление пароля с помощью многофакторной аутентификации в современных гибридных корпоративных информационных средах имеет свои недостатки. Самой перспективной представляется идея непрерывного беспарольного единого входа, реализованная в продуктах компании Thales.

 

ЧЕМ ПЛОХИ ПАРОЛИ?

Пользовательские пароли хорошо подходили для первого поколения вычислительных систем. Но уже в эпоху клиент-серверных архитектур проявились его неудобства, которые решались с помощью сетевых служб каталогов и механизма однократного входа. В современных же корпоративных вычислительных средах такой подход уже неадекватен. Нам приходится запоминать десятки паролей, мы устаем от них, и 10 % пользователей используют хотя бы один из 25 наихудших паролей. А все попытки навязать пользователям жесткие политики длины, сложности и повторяемости паролей приводят к тому, что всё чаще стали использовать один и тот же пароль на разных ресурсах, причем свыше 70 % людей используют те же самые пароли для рабочих и личных учетных записей. Ну и нарушения правил хранения паролей никуда не исчезли. Как следствие, пароли остаются главной мишенью для атак злоумышленников (рис. 1).

Рисунок 1. Ситуация с пользовательскими паролями

 

Поэтому использование многофакторной аутентификации стало хорошим тоном. Современные нормативы безопасности явно или неявно требуют ее использования. Из релевантных для банковской сферы — PCIDSS и новая директива Евросоюза PSD2. Разумеется, нужно вспомнить и про отечественный стандарт ГОСТ Р 57580 и ссылающиеся на него положения Банка России.

По-прежнему самыми популярными технологиями для многофакторной аутентификации для усиления пользовательских паролей остаются токены PKI (в виде смарт-карт и USB-ключей), SMS и одноразовые пароли, но у каждой из них есть ограничения. PKI неудобен для использования в публичных облачных средах. SMS считаются довольно уязвимыми, особенно для социальной инженерии. Одноразовые пароли на базе отдельных устройств или пуш-уведомлений в мобильном приложении пока остаются самым удобным решением, хотя и не обещают абсолютной стойкости. К сожалению, идея усилить пароль дополнительным фактором не устраняет присущих паролям неудобств, а из-за дополнительного фактора жизнь пользователей становится еще сложнее, так что нужен какой-то выход.

Еще одна область проблем — это управление доступом. Опять же корни существовавшего долгое время подхода тянутся из прошлого века. Предприятия могли контролировать среду пользователя внутри периметра, в которой фактора знания пароля было достаточно, ну а если требовался доступ из-за его пределов, то можно было включить дополнительные методы аутентификации и (или) ограничить уровень доступа. В девяностые и нулевые годы все только так и работали, миллионы сотрудников привыкли к VPN и устройствам-токенам. Но, как известно, периметр «умер», и такой подход больше не работает, он живет только в привычках и нормативах.

 

БЕСПАРОЛЬНАЯ АУТЕНТИФИКАЦИЯ

Как следует из названия, беспарольная аутентификация использует для подтверждения учетных данных вместо пароля иные надежные и простые в использовании методы. Такой способ аутентификации представляется перспективным, так как он исключает присущие текстовым паролям недостатки, и благодаря этому значительно упрощает вход в систему для пользователей. Есть несколько моделей беспарольной аутентификации.

При ноль-факторной аутентификации вообще не используется ни один из привычных факторов, а для подтверждения личности пользователя используются только косвенные признаки, например, контрольные вопросы или «отпечаток» пользователя (например, идентификаторы его устройств, местоположение, время суток). К сожалению, пока невозможно уверенно положиться на чистую ноль-факторную аутентификацию, и поэтому такое решение подойдет только для не слишком ответственных приложений, или же в сочетании с другими факторами.

При однофакторной беспарольной аутентификации вместо пароля используется более удобный и (или) более стойкий фактор. Один из самых популярных — это PIN-код, привязанный к устройству и использующий его защищенное хранилище. Во-вторых, это биометрия. В-третьих, это дополнительные устройства аутентификации, но использующие стандарты, ориентированные на публичные облачные среды и веб-приложения (в первую очередь это семейство FIDO).

Наконец, многофакторная аутентификация, при которой два или более перечисленных выше фактора используются совместно. При этом такая схема может быть даже удобнее одиночного пароля при несоизмеримо более высоком уровне безопасности.

А когда беспарольная аутентификация комбинируется с единым входом, мы получаем беспарольный единый вход. Он позволяет сохранить удобство беспарольной аутентификации при доступе к нескольким приложениям, но с ростом их числа растет его уязвимость. Подход «проверили и забыли» здесь не подходит, так как необходимо соразмерять уровень доступа (и связанный с ним риск) с удобством для пользователя. Для доступа к критически важным ресурсам может потребоваться эскалация, повышение строгости, и от пользователя может потребоваться, например, повторить аутентификацию или задействовать еще один фактор. И сюда очень хорошо вписывается тот самый нулевой фактор, который будет обеспечивать контекстно-зависимую аутентификацию (рис. 2). И тут мы приходим к идее непрерывного беспарольного единого входа.

Рисунок 2. Модели беспарольной аутентификации

 

НЕПРЕРЫВНЫЙ БЕСПАРОЛЬНЫЙ ЕДИНЫЙ ВХОД

Непрерывная аутентификация позволяет убедиться в подлинности пользователя в течение времени, даже если пользователь меняет свой контекст, то есть переходит от устройства к устройству, переключается между сетями и обращается к разным приложениям. Служба управления доступом будет подтверждать личность пользователя непрерывно и незаметно, требуя от пользователя пройти дополнительную аутентификацию только тогда, когда сработает какая-нибудь политика или будет обнаружена аномалия в его поведении. Благодаря прозрачной аутентификации пользователю больше не нужно явным образом аутентифицироваться во всех ситуациях, так как решение адаптивно и учитывает контекст пользователя. Стойкость и удобство можно повысить с помощью мобильного устройства, которое служит хорошим датчиком поведения пользователя. Прозрачная аутентификация дает возможность детализировать доступ к приложениям и данным путем установки пороговых значений: действия пользователя в приложении непрерывно оцениваются, и при достижении какого-то порогового значения потребуется дополнительная аутентификация. Например, если пользователь начитает скачивать через приложение большой объем данных, сработает правило, которое потребует от пользователя подтвердить свою личность с помощью дополнительного фактора.

Красота этих схем заключается в том, что они дают возможность поддерживать очень высокий уровень защиты, при этом существенно уменьшая неудобства пользователей при входе. Они также обеспечивают гибкость использования разных методов аутентификации в разных сценариях в зависимости от критичности приложений и данных, профиля пользователя и других условий. Представляется, что непрерывный беспарольный единый вход отлично подходит именно для финансовых организаций, которые привыкли принимать решения на основе оценки рисков. Ведь сама идея непрерывной аутентификации заключается в поддержке определенного уровня риска, которому соответствует определенный уровень доверия, и который, в свою очередь, диктует строгость аутентификации.

Ожидается, что в течение нескольких лет большинство организаций перейдут к беспарольной аутентификации. Эти организации могут начать с внедрения единого входа к нескольким наиболее часто используемым приложениям и данным. Со временем они смогут оценивать критичность приложений и связанный с ними риск, и затем установить подходящий уровень строгости аутентификации для каждого набора данных. И исходя из этого можно будет назначить политики доступа в рамках беспарольного единого входа так, чтобы обеспечить баланс между надежностью защиты и удобством пользователей.

* * *

Компания Thales предлагает передовые решения, которые помогают защитить доступ к ИТ-инфраструктуре предприятия и облачным приложениям. Safe Net Trusted Access — это облачная служба Thales для управления доступом и аутентификацией, которая позволяет реализовать непрерывный беспарольный единый вход. Она предотвращает утечки данных, помогает организациям соблюдать нормативные требования и делает переход в облако простым и безопасным.

Смотрите также