Устали вспоминать несколько слов, созданных вами шесть месяцев назад, состоящих как минимум из 8 символов, одной заглавной буквы, одной цифры и специального символа? Переход к аутентификации без пароля становится все ближе.

Никто не доволен перспективой очистки файлов cookie для решения ИТ-проблемы. Это потому, что этот процесс означает, что они потеряют автоматический вход на все веб-сайты и приложения в сети, и кто сможет запомнить все эти разные пароли?

Вы же сделали все эти пароли разными, верно?

Во Всемирный день паролей, 5 мая, эксперты по безопасности и технологические компании воспользовались возможностью проинформировать отрасль об инициативах, которые они предпринимают для создания будущего, которое защитит нас без необходимости использования паролей. Это не может произойти достаточно скоро.

Проблема с паролями

Согласно ежегодному отчету SpyCloud по раскрытию идентификационных данных за 2022 год , повторно используемые пароли были основным вектором кибератак за последние несколько лет . В отчете также отмечается, что за последний год 64% пользователей повторно использовали пароли с более чем одним паролем.

Но как запомнить все эти пароли? Исследование NordPass за 2021 год показывает, что самым популярным паролем в этом году был «123456», а пятым по популярности паролем был «пароль».

Понятно, что в мире паролей что-то сломалось, и это уже давно. И хотя многофакторная аутентификация обеспечивает дополнительный уровень безопасности для организаций, она также снижает производительность, заставляя сотрудников прекращать свои действия, чтобы ввести код или предоставить отпечаток пальца. Чем неудобнее меры безопасности, тем больше вероятность, что пользователи будут искать способ их обойти. Например, пользователи повторно используют пароли.

Переход к дампу паролей

«Когда-то полный отказ от паролей казался смелой идеей», — говорит Грег Стуклин, вице-президент и генеральный директор Северной Америки компании WSO2, которая, помимо других решений, производит серверы идентификации. «Это уже не так, особенно если принять во внимание отчет Verizon о расследовании утечек данных за 2021 год. Было отмечено, что на уязвимости учетных данных, таких как имя пользователя и пароль, приходится более 84% всех утечек данных».

Стюклин говорит, что существуют более простые и эффективные способы аутентификации пользователей, включая альтернативы входа в систему, такие как стандарт Fast ID Online 2.0 (FIDO2) или биометрические данные, ключи безопасности и подключаемые аутентификаторы.

Марк Ручи, директор по информационной безопасности компании Entrust, компании по цифровой безопасности и защите данных, говорит, что мобильные push-токены, учетные данные на основе сертификатов и различные формы биометрии могут создать более удобный опыт работы сотрудников и более простую и надежную инфраструктуру безопасности с меньшими атаками. поверхность для широкого спектра угроз.

«Поскольку кибератаки становятся все более изощренными, а новых технических специалистов становится все меньше и реже, компании понимают, что пароли создают головную боль не только для ИТ-отделов, но и для сотрудников. Они — проклятие жизни каждого директора по информационной безопасности», — говорит Ручи.

Apple, Google и Microsoft расширяют поддержку FIDO

В честь Всемирного дня паролей трио технологических гигантов на этой неделе пообещали расширить поддержку FIDO. Согласно заявлению FIDO Alliance, Apple, Google и Microsoft объявили об ускорении доступности входа в систему без пароля . Эти три технологических гиганта уже поддерживают стандарты Альянса, но объявление на этой неделе добавляет две новые возможности — позволяя пользователям автоматически получать доступ к своим учетным данным FIDO или «ключам доступа» на устройствах без необходимости повторной регистрации каждой учетной записи и позволяя пользователям использовать Аутентификация FIDO на своих мобильных устройствах для входа в приложение или веб-сайт на ближайшем устройстве независимо от используемой ими платформы ОС или браузера. Новые возможности станут доступны на платформах Apple, Google и Microsoft в течение следующего года.

Директор Google PM по безопасной аутентификации Сампат Шринивас заявил в своем блоге Google, что компания внедрит поддержку без пароля для стандартов входа FIDO в Android и Chrome.

На своем сайте Microsoft Tech Community Алекс Саймонс, вице-президент по управлению продуктами отдела идентификации и доступа к сети, написал, что компания представляет несколько новых возможностей, включая беспарольное управление для Windows 365, виртуальный рабочий стол Azure и инфраструктуру виртуальных рабочих столов. По словам Саймонса, эти функции в настоящее время находятся в предварительной версии у инсайдеров Windows 11.

Windows Hello для бизнеса Cloud Trust — это новая модель развертывания, которая позволяет устранить прежние требования к инфраструктуре открытых ключей и синхронизации открытых ключей между Azure Active Directory и локальными контроллерами домена. Microsoft Authenticator теперь будет разрешать использование нескольких учетных записей вместо одной, начиная с конца этого месяца на устройствах iOS, а после этого появится Android. Кроме того, начиная со следующего месяца, Microsoft добавит временный пропуск доступа в Azure AD. Это ограниченный по времени код доступа, который позволяет организациям использовать временный пропуск доступа для настройки новых устройств Windows вместо использования для этого пароля.

Эти достижения должны стать долгожданным изменением для пользователей как в корпоративной, так и в потребительской сфере, которые разочарованы попытками запомнить несколько паролей.

«Во Всемирный день паролей давайте пообещаем освободить потребителей от паролей и вместо этого предоставить им передовые альтернативы, которые сделают защиту их и ваших данных проще, чем когда-либо», — говорит Стюклин.