Аутентификация: следующий рубеж

Аутентификация — это процесс подтверждения чьей-либо личности. (Не путать с авторизацией — процессом проверки того, что пользователю разрешено делать). Хотя эти термины использовались взаимозаменяемо, между ними есть небольшие различия.

Аутентификация — это процесс, который десятилетиями бросал вызов ИТ-специалистам. Пароли всегда были стандартом де-факто при аутентификации пользователей практически в любой среде. Пароли используются для обеспечения безопасности наших систем и во многих случаях являются единственным средством контроля между несанкционированным доступом и доступом к особо конфиденциальным данным. Когда введены правильные пароли, предоставляется право входа в рассматриваемую систему.

За последние несколько лет был достигнут консенсус в отношении того, что необходимо сделать больше для обеспечения большей безопасности систем и данных. Специалисты по безопасности обнаруживают, что пароли легко взламываются, и если они слишком сложные, пользователи записывают их, а затем для получения доступа необходимо прочитать их и ввести заново.

Но сколько систем на самом деле скомпрометировано с помощью взлома паролей? Чтобы нарисовать картину, после посещения ежегодной конференции по безопасности, на которой обсуждаются подобные темы, было обнаружено, что почти все системы, защищенные паролем, при достаточном количестве усилий и времени будут взломаны, даже если пароли установлены для блокировки пользователя после несколько попыток, так как есть методы, которые можно использовать для преодоления этого ограничения. Международные исследования показали, что пароли являются основной причиной уязвимости на всех платформах.

Какие проблемы с паролями?

• Пароли можно записать.
  
• Пароли могут быть перехвачены по сети, поскольку они отправлены в виде простого текста (обычно это так).
  
• Пароли могут быть перехвачены локально с помощью таких инструментов, как кейлоггеры.
  
• Несколько паролей заставляют пользователей использовать один и тот же пароль в нескольких системах, что приводит к компрометации одного пароля и доступности всей системы.
  
• SOX, HIPPA, GLB и другие требования соответствия теперь предусматривают более строгий контроль, который не выполняется средствами управления паролями.
  

Что может быть сделано?

Теперь, когда мы знаем об уязвимости паролей, что можно сделать для более надежной аутентификации в вашей организации?

Что-то, что вы не можете записать. Одноразовый пароль или двухфакторная аутентификация.

Какой пароль нельзя нюхать? Зашифрованный пароль, или вы можете попробовать зашифровать свою локальную сеть, а затем Интернет, но это займет много времени, однако одноразовый пароль поможет.

Локальный захват паролей трудно предотвратить, особенно с помощью доступных сегодня физических кейлоггеров. Их трудно обнаружить с помощью инструментов обнаружения программного обеспечения, и в большинстве случаев их трудно обнаружить, если не проводится подробный аудит безопасности оборудования. Здесь помогут одноразовые пароли.

Одноразовые пароли — это пароли, которые выдаются только для одноразового использования, после чего они не имеют значения. Эти пароли часто генерируются устройствами с токенами, которые синхронизируются с сервером, сервер запрашивает у пользователя пароль, и пользователь использует токен для создать пароль, этот одноразовый пароль затем используется для аутентификации как часть обычного механизма проверки учетных данных имени пользователя и пароля.

Единая точка входа

Несколько систем, к которым необходимо получить доступ, и разные учетные данные требуются для каждой платформы или приложения. Следует использовать единый вход (SSO). Эти системы SSO обычно собирают ваши учетные данные, а затем изменяют их на уникальные очень сложные строки, которые отправляются при запросе ваших учетных данных. Затем ваши учетные данные хранятся централизованно на сервере единого входа, а также локально в зашифрованном виде. Вместе со вторым фактором аутентификации вы находитесь на пути к более безопасному механизму аутентификации.

Зачем использовать систему единого входа?

Единый вход упрощает доступ к системе и уменьшает количество учетных данных, которые необходимо запомнить пользователю. Имейте в виду, хотя SSO звучит как утопия, неудачная реализация SSO может привести к нежелательным результатам. Существует экономия средств, которую организация может получить при использовании SSO, но она должна быть тщательно оценена третьей стороной или внутренним экспертом, у которого нет конфликта интересов. Правильно развернутая система единого входа действительно экономит время, а это приводит к деньгам.

Что такое многофакторная аутентификация?

Многофакторная или строгая аутентификация обычно состоит из двух или более механизмов аутентификации. Думайте о строгой или многофакторной аутентификации, как о замках на двери. Несколько замков = дополнительная безопасность. Уровни безопасности, но эти уровни эффективны только в определенных случаях. Детальный проект должен быть тщательно спланирован и продуман, чтобы эффективно внедрить эффективное решение для многофакторной аутентификации.

Что-то вы знаете

Термин «что-то, что вы знаете», относится к последовательности символов, такой как пароль или щелчки мышью на экране или код, например, на клавиатуре.

Что-то ты

То, чем вы являетесь, относится к тому, чем является пользователь, например, отпечатки пальцев, шаблоны сетчатки и восстановление голоса, пользователь на самом деле является паролем.

Что-то у вас есть

Что-то, что у вас есть, относится к тому, что на самом деле есть у пользователя, например токен, который выдает одноразовые пароли или одноразовые пароли, или смарт-карта, которую пользователь вставит, когда потребуется аутентификация. Эти механизмы становятся очень популярными и часто используются в сочетании с чем-то, что вы знаете, например, с паролем или PIN-кодом.

Если используются два или более из этих механизмов аутентификации, достигается двухфакторная или строгая аутентификация.

Уже более 15 лет банки используют механизмы многофакторной аутентификации, такие как банковская карта с магнитной полосой и PIN-кодом, для получения доступа к вашим средствам. и PIN-код для завершения транзакции.

Почему существует нежелание переходить на более надежные механизмы аутентификации?

Интеграция

Традиционно реализация более надежных механизмов аутентификации не поддерживалась должным образом, и их было трудно интегрировать и внедрять, но ситуация изменилась, и многие поставщики начинают использовать свои навыки и технологии, чтобы помочь организациям с надежной аутентификацией. По мере того, как эти решения будут использоваться все шире, пользователи познакомятся с технологией, и технологии станут нормой. Везде, где контроль доступа является ключевым элементом безопасности, будь то логическое или физическое решение, предпочтительна строгая аутентификация. Как и страховка, она не важна, пока она вам не понадобится. Ключевыми элементами, на которые следует обратить внимание, являются интеграция LDAP и каталогов, а также совместимость системы и приложений, поскольку они являются ключевыми элементами эффективности и управления решением.

Пароли просты, это то, что мы знаем

Люди используют то, с чем они знакомы, если мы не знаем о чем-то, мы более склонны использовать то, что знаем, пока не обнаружим, что делать что-то по-другому действительно лучше. Многие организации и лица, принимающие решения, просто счастливы, используя пароли и только пароли. Новое решение будет означать больше изменений и, возможно, расходов. Существует более широкая картина, если вы защищаете конфиденциальные данные клиентов и есть компрометация, компания может понести репутационный и финансовый ущерб. В сегодняшней конкурентной среде это последнее, что нужно любой компании, и тогда внезапно кривая обучения и дополнительные расходы кажутся незначительными.

Поддержка и знание альтернативных систем

Как будет поддерживаться решение и какое новое решение нам следует использовать — это вопрос, который чаще всего задают организации, стремящиеся внедрить более надежные решения для аутентификации. Мой типичный ответ: попробуй использовать уже имеющуюся у тебя технологию. Это снижает не только стоимость, но и внедрение и интеграцию решения. Детализируйте список требований, а затем сопоставьте список с набором функций, предоставляемых программным обеспечением. Это лучший способ начать. Если не все требования выполняются, ищите аналогичный продукт, который может соответствовать этим требованиям.

Соответствие не является строгим

Вплоть до 2007 года несколько человек были заключены в тюрьму за несоблюдение принятых законов и законов. По мере ужесточения законов и законопроектов к ответственности будет привлечено больше людей. Такие системы, как строгая аутентификация и многофакторная аутентификация, помогают в судебных делах, поскольку решения предлагают уровень неотказуемости, который трудно внедрить и проверить, когда используются только пароли. Особенно там, где используются биометрические данные, трудно доказать, что кто-то видел ваше глазное яблоко, когда пропали 5 000 000 долларов, и что вас на самом деле не было на месте происшествия.

Резюме

Сейчас больше, чем когда-либо, разрабатывается и продается все больше оборудования с функциями безопасности в качестве стандарта. Поставщики разрабатывают интересные решения, такие как динамика клавиатуры, динамика подписи, распознавание тепла тела и многие другие интересные уникальные биометрические решения. Биометрические считыватели отпечатков пальцев интегрируются в клавиатуры и портативные компьютеры. Сканеры сетчатки используются в международных аэропортах, таких как Хитроу, для ускорения проверок безопасности, а распознавание голоса используется в банках для подтверждения вашей личности при звонке в службу поддержки.

Это только начало, паранойя отслеживания и вторжения в нашу конфиденциальность должна быть решена, но наши ресурсы и данные должны быть в безопасности, многофакторная аутентификация — это начало многоуровневого подхода к глубокоэшелонированной защите.