Мы движемся к Федерации управления идентификацией? (Часть 1)
Введение
Способ, которым мы аутентифицируемся в Интернете, остается практически неизменным в течение многих лет. Каждый раз, когда пользователь регистрируется, чтобы получить доступ к веб-сайту, он создает имена пользователей и пароли, чтобы подтвердить свою личность при входе в систему. Этот процесс прост в использовании, но проблематичен и небезопасен. Силы, доминирующие сегодня в нашей жизни, мобильные устройства (смартфоны и планшеты), социальные сети и наше постоянное онлайн-подключение к всемирной паутине, продолжают инициировать изменения в аутентификации и управлении доступом. Мы продолжаем использовать более безопасный, но удобный подход к аутентификации и управлению доступом. Глобальный переход к облачным вычислениям также способствует быстрому развитию методов аутентификации, поскольку облачные приложения и решения требуют более эффективной аутентификации в облачных ресурсах, что приводит к предположению, что мы увеличиваем требования к технологиям объединения удостоверений. Прогнозируется, что к 2017 году более половины компаний выберут облачные сервисы в качестве варианта доставки для аутентификации пользователей, что на 40 % больше, чем сегодня.
Знакомые нам способы аутентификации
- Аутентификация на основе пароля
Аутентификация на основе пароля ограничена и не так надежна, как должна быть. Чтобы пароли оставались эффективными, они должны оставаться в секрете. В наши дни хакеру не только легко получить доступ к источникам паролей, но и пользователи добровольно передают свои пароли друзьям, родственникам и коллегам. Тенденция пользователей повторно использовать одни и те же пароли на разных сайтах делает использование паролей еще более проблематичным. Мы все делали это, и недавние исследования показывают, что тенденция использовать один и тот же пароль для большинства учетных записей, которые у нас есть, очень высока.
Лидеры в области безопасности всегда отказывались от паролей как формы эффективной аутентификации, но найти приемлемую альтернативу оказалось непросто. Альтернатива должна быть доступной, повсеместно распространенной и несложной. Пароли больше не могут в достаточной степени защитить нынешнее количество пользователей, подключенных через облако, а также с помощью альтернативных средств. Кроме того, то, что мы сейчас защищаем паролем, значительно выросло в цене за последние 7 лет и будет продолжать расти в будущем.
Вот краткий пример того, что мы защищаем, что представляет ценность: банковские счета, корпоративный доступ, личная и корпоративная налоговая информация, коммерческая тайна и личная информация, а также многие другие вещи, которые могут оказать существенное влияние на человека и компанию в случае взлома.
- Строгая или двухфакторная аутентификация
Загадка решается путем добавления других элементов, которые учитываются в процессе аутентификации.
Самый простой способ запомнить решение заключается в следующем: два фактора или 2FA — это использование любых двух из следующих в комбинации.
- Что-то, что вы знаете (PIN-код, пароль, кодовая фраза)
- Что-то, что у вас есть (токен, OTP, телефон, сертификат на устройстве)
- Что-то, чем вы являетесь (Ваш голос, ваш отпечаток пальца, любые уникальные характеристики, которые относятся только к вам)
- * Новый фактор аутентификации, который появляется, это то, что вы делаете.
- Методы аутентификации аппаратного токена
Мысль об аппаратных гаджетах, которые мы берем с собой, куда бы мы ни пошли, для аутентификации и неудобстве ввода пароля каждый раз, является проблемой для некоторых. Этот метод основан на предположении, что токены не могут быть украдены или что алгоритмическая информация не может быть скомпрометирована. История говорит нам, что вероятность компрометации алгоритмической информации низка, но возможна, но поставщики двухфакторной аутентификации в настоящее время принимают строгие меры, чтобы избежать компрометации в будущем. Я работаю в этой отрасли около 15 лет, и мой совет: лучше и надежнее использовать 2FA, чем просто пароль, пароли для многих решительных злоумышленников — это просто временные задержки.
Эта форма аутентификации работает в бизнес-среде и стала широко распространенной, однако она становится более сложной и неудобной для личного использования, особенно когда многие используют этот метод, а также для использования в Интернете, поскольку устройство необходимо постоянно держать при себе., представьте, что у вас есть 20 онлайн-аккаунтов и вам нужно носить с собой токен для десяти из этих аккаунтов.
- Системы аутентификации вызов и ответ
Пользователь устанавливает вопросы и ответы для аутентификации. Метод основан на идее, что только пользователь будет знать правильный ответ на поставленный вопрос. Однако в мире социальных сетей, в который мы сегодня бросаемся, многие из этих ответов очень легко найти.
- Многофакторная аутентификация
Аутентификация, которая включает в себя множество методов аутентификации. Ряд методов аутентификации используется в сочетании с аутентификацией на основе пароля. Дополнительные методы могут включать:
- Вызов и ответы на вопросы
- Биометрические считыватели (отпечатки пальцев, изображение на сетчатке и распознавание голоса)
- Аппаратные токены
- Механизмы аутентификации на основе контекста…
Что мы требуем от аутентификации
Пользователи ищут метод аутентификации, который был бы безопасным и конфиденциальным, гибким, удобным и простым в использовании.
Многие онлайн-компании предпочитают держаться подальше от более дорогого метода многофакторной аутентификации, поскольку его стоимость и неудобства неоправданны. Для многих из этих предприятий учетные записи, которые они защищают, не стоят той суммы, которую им стоила бы аутентификация таким образом.
Мобильные устройства помогают упростить многофакторную аутентификацию. Потому что у каждого есть мобильный телефон. Добавление программных токенов к мобильным телефонам избавляет от необходимости носить с собой аппаратное токен-устройство и становится более удобным для пользователя, мобильное устройство удваивается как аппаратное токен-устройство. Мобильный телефон все равно везде с собой. Проблема по-прежнему остается в том, что эта форма аутентификации настолько безопасна, насколько безопасна мобильное устройство. Когда мобильное устройство скомпрометировано, токен тоже.
В связи с глобальным распространением использования мобильных устройств аутентификация по аппаратному форм-фактору больше не является единственным вариантом. Внеполосная аутентификация и программная реализация заменяют традиционную аппаратную аутентификацию устройств. Шаг к использованию мобильного телефона в качестве токена является заметным прогрессом, пользователи становятся лучше, а затраты снижаются.
Другой подход заключается в использовании асимметричной криптографии на вашем мобильном устройстве. Аутентификация возможна благодаря цифровым подписям, которые основаны на ключах шифрования, хранящихся на мобильном устройстве. Этот метод устраняет проблемы внутриполосных методов, представленных с помощью программных токенов на мобильных устройствах, поскольку ключевая информация находится на отдельном устройстве по сравнению с устройством, которое используется для входа в систему. Поскольку мобильное устройство также содержит токен, устройство, на котором хранится токен, также используется для входа в систему.
Мобильные устройства также можно использовать для биометрической аутентификации за счет интеграции биометрических приложений и функций.
Облачные технологии обеспечивают доставку аутентификации из облака. Эта модель службы облачной проверки подлинности усиливает проверку подлинности с повышенной гибкостью.
Глядя в будущее аутентификации, необходимо решить следующее:
- Использование методов контекстной аутентификации
- Прозрачное распознавание и поведенческие подходы
- Аутентификация, которая представляет собой комбинацию разнообразной аутентификации с контекстной аутентификацией, достигающей положительных качеств обоих методов.
- Аутентификация обеспечивается с гибкостью в облаке
Вывод
Очевидно, что срок службы паролей подошел к концу, и теперь их легко обойти. Более надежная аутентификация растет, и по мере того, как это происходит, пользователям приходится носить с собой все больше и больше типов токенов, поэтому объединение этих токенов в одно решение для аутентификации становится все более важным, поскольку удобство пересекается с безопасностью. В следующей статье мы рассмотрим, что появляется в этой области и как федерация обещает сделать вещи проще и удобнее, сохраняя при этом высокий и приемлемый уровень безопасности.