Пароль «беспарольный» — более безопасное будущее уже почти наступило

Опубликовано: 31 Марта, 2023
Пароль «беспарольный» — более безопасное будущее уже почти наступило

Пароли: дело прошлого

Пароли были с нами веками. В начале 1960-х в Массачусетском технологическом институте исследователи начали изучать возможные способы, позволяющие компьютерным системам определять разницу между пользователями, которые использовали эти системы, или найти способ проверить, являются ли пользователи теми, за кого они себя выдают, — для аутентификации пользователей. В 1961 году сотрудник Массачусетского технологического института напечатал список паролей и раздал его другим пользователям — это была первая известная утечка.

С тех пор пользователи и администраторы боролись с паролями и пытались сделать системы более безопасными. Мы, как пользователи, так и администраторы, не являемся поклонниками паролей, потому что они не идеальны.

Как правило, пароли непросты в использовании и трудны для запоминания — особенно трудно запомнить хорошие и сложные пароли. С другой стороны, легко запоминающиеся пароли не так сложно угадать. Добавьте к сложности паролей нетрадиционную клавиатуру, частую смену паролей, пароли, которые повторно используются в разных местах и на разных устройствах, и вы получите рецепт для забытых или украденных паролей, взломов систем или частых обращений в службу поддержки по смене пароля. Не только звонки стоят значительных денег, но и все, что связано с потерей или взломом пароля, также влечет за собой потерю денег.

Технически атаки на пароли не слишком сложны: злоумышленникам нужно иметь дело только с одним фактором аутентификации. Комбинация имени пользователя и пароля учитывается только как однофакторная аутентификация: имя пользователя идентифицирует пользователя, пытающегося получить доступ к системе, а пароль используется как единственная форма аутентификации.

Как бы мы, пользователи и администраторы, ненавидели пароли и имели с ними проблемы, хакеры и злоумышленники любят пароли из-за всех их ошибок и недостатков.

К счастью, пароли уходят в прошлое. Поскольку пароли делают наши системы более уязвимыми, принудительная постоянная смена паролей и усложнение паролей не помогают повысить безопасность комбинации имени пользователя и пароля. Нам нужна была лучшая защита, и мы добавили второй фактор аутентификации, который сделал комбинацию имени пользователя и пароля более безопасной — так родилась многофакторная аутентификация. Вместе с паролем нам внезапно пришлось предоставить дополнительную информацию для входа: временный одноразовый пароль или, в некоторых случаях, заранее утвержденный список кодов или фраз. К сожалению, многофакторной аутентификации по-прежнему недостаточно, чтобы справиться с растущим числом угроз кибербезопасности. Согласно отчету Verizon о расследовании утечек данных за 2017 год, более 80% нарушений, связанных со взломом, используют либо украденные, либо слабые пароли.

Но затем, даже если мы используем многофакторную аутентификацию, которая по своей сути более безопасна, мы все равно используем пароли, что является небезопасной или неудобной частью этой истории. Что, если мы заменим пароль проверочным фактором, желательно двумя или более проверочными факторами, и сохраним их где-нибудь, например, на устройстве, таком как компьютер, или на физическом ключе. Таким образом, учетные данные никогда не будут покидать устройство, и мы будем защищены от фишинга, потери пароля, несанкционированного слежения или кражи учетных данных.

Преимущества использования беспарольной аутентификации многочисленны: пароли по-прежнему существуют в фоновом режиме, но нам больше не нужно запоминать, хранить, изменять и вводить пароли.

Четыре шага к миру без паролей

На Ignite 2017 Microsoft поделилась своим видением и четырехступенчатым подходом к миру без паролей, рассказала, как отказаться от паролей и как добиться свободы паролей.

  1. Разработайте предложение по замене пароля. Нам нужно что-то для замены паролей, и это «что-то» желательно должно быть более безопасным, чем текущее предложение. Перенесемся в 2021 год. Мы наблюдаем улучшения в этой области, а также разнообразие продуктов и возможностей на выбор. Иметь больше выбора — это хорошо, но я думаю, что некоторые варианты станут более распространенными в будущем, поскольку частные и корпоративные потребители выяснят, что лучше всего подходит для них.
  2. Уменьшите видимую пользователю область пароля. Этот шаг требует стратегии по сокращению использования паролей до минимума или уменьшению «поверхности» паролей. Идеальная ситуация была бы, когда пользователи знают свои пароли, но им никогда не нужно их использовать, им никогда не предлагается использовать их или вводить где-либо. Это значительно снижает утечки паролей и неудачные попытки фишинга.
  3. Переход к беспарольному развертыванию. Этот этап включает в себя переход к беспарольному миру, в котором пользователи:
    1. Никогда не меняйте их пароли.
    2. Никогда не вводите их пароли.
    3. Не знаю своих паролей.

Например, пользователь входит в Windows 10 с помощью Windows Hello для бизнеса и использует единый вход для доступа к ресурсам Azure и Active Directory.

  1. Удалите пароли из каталога идентификации. Последний этап действительно беспарольного мира — это среда, в которой паролей просто не существует.

Настройка беспарольной аутентификации Microsoft

Как перейти без пароля с Microsoft? Вот несколько вариантов замены пароля, которые вы можете рассмотреть: Windows Hello и Windows Hello для бизнеса, приложение Microsoft Authenticator или ключ безопасности, совместимый с FIDO2.

Windows Hello и Windows Hello для бизнеса обеспечивают удобство входа пользователей в систему — они поддерживают биометрическую аутентификацию с использованием отпечатка пальца или лица, а также жестов на экране или PIN-кода для входа в систему.

В Windows 10 перейдите в «Настройки» и «Параметры входа», чтобы управлять параметрами входа на вашем устройстве. Существует множество вариантов на выбор — от Windows Hello Face (вам понадобится камера с ИК-подсветкой), Windows Hello Fingerprint (включается, если у вас есть совместимый считыватель отпечатков пальцев) и Windows Hello PIN до возможности настроить войти с помощью физического ключа безопасности.

В отличие от Windows Hello, Windows Hello для бизнеса настраивается с помощью групповой политики или политики управления мобильными устройствами (MDM) и использует проверку подлинности на основе сертификатов или ключей. В обоих случаях биометрическая информация или PIN-код уникальны для устройства, на котором они были настроены, и никогда не покидают устройство. Во время подготовки Windows Hello пара криптографических ключей привязывается к микросхеме доверенного платформенного модуля (TPM), если она есть на устройстве, или в программном обеспечении. Использование паролей менее безопасно, так как пароли являются общими секретами между пользователем и сервером и передаются по сети и могут быть перехвачены.

Приложение Microsoft Authenticator обеспечивает максимальное удобство, гибкость и экономичность проверки подлинности без пароля как для личных, так и для деловых сценариев. Он поддерживает биометрию, push-уведомления и одноразовые коды доступа с привязкой ко времени (коды TOTP или OTP). Мало того, он поддерживает резервное копирование и восстановление в облаке, импортирует пароли из Google Chrome и других приложений, а также может заполнять сохраненные пароли на сайтах и в приложениях. Кроме того, пароли, сохраненные в Microsoft Edge, будут синхронизироваться с приложением Microsoft Authenticator для бесперебойной работы на мобильных устройствах. Его можно бесплатно загрузить из магазинов приложений Apple Store и Android, и вы можете использовать его практически с любой учетной записью: Google, Amazon, GitHub, Twitter, Facebook, LinkedIn, Instagram и множеством других.

В Azure Active Directory легко настроить приложение Microsoft Authenticator в качестве метода входа и второго фактора проверки подлинности. Это занимает не более двух минут, а пользы приносит множество. После настройки процесс входа удаляет ввод пароля, и вам необходимо открыть приложение Microsoft Authenticator, чтобы утвердить запрос на вход, введя код или подтвердив на экране.

Аутентификация без пароля предлагает дополнительные преимущества, помимо того, что она является просто вторым методом многофакторной аутентификации. Безопаснее войти в систему без ввода пароля.

Вы можете использовать приложение Microsoft Authenticator для входа без пароля, если оно включено в Azure Active Directory. Вместо ввода пароля пользователи получают push-уведомление для проверки законности события входа в систему путем сопоставления числа и предоставления PIN-кода, отпечатка пальца или сканирования лица для завершения процесса аутентификации.

Недавно два варианта аутентификации без пароля завершили предварительную стадию и стали общедоступными — ключ безопасности FIDO2 (элемент 1 на изображении ниже) и Microsoft Authenticator (элемент 2). Еще два варианта все еще находятся в стадии предварительного просмотра — текстовое сообщение и временный пропуск доступа (элемент 3).

Чтобы включить приложение Microsoft Authenticator без пароля, откройте портал Azure, перейдите в Azure Active Directory и выберите Безопасность. Щелкните запись Microsoft Authenticator и включите (элемент 4) использование для всех пользователей или выбранных пользователей. При необходимости настройте режим аутентификации (пункт 5) и выберите режим без пароля, push-уведомления или любой (пункт 6).

Ключ безопасности FIDO2 — это второй метод аутентификации без пароля, который дает несколько преимуществ. Он предлагает улучшенное удобство использования, поскольку использование аппаратного ключа безопасности является простым и быстрым, а также надежную защиту учетной записи, поскольку он заменяет пароли надежной аппаратной аутентификацией с использованием криптографии с закрытым / открытым ключом. Более того, один ключ безопасности может работать с несколькими учетными записями без общих секретов.

FIDO2 расшифровывается как Fast ID Entity Online и представляет собой беспарольную эволюцию FIDO U2F. FIDO2 состоит из двух компонентов: веб-API (WebAuthn) и протокола Client to Authenticator (CTAP), каждый из которых отвечает за вход без пароля. Старый протокол FIDO U2F был переименован в CTAP1 в спецификации WebAuthn и использовался для работы с внешними аутентификаторами.

Ключи безопасности FIDO2 обычно используют форм-фактор USB, но также могут использовать NFC или Bluetooth (или BLE — Bluetooth с низким энергопотреблением).

Процесс настройки ключа безопасности FIDO2 (элемент 1 ниже) в качестве варианта без пароля в Azure Active Directory аналогичен настройке приложения Microsoft Authenticator. Предприятия будут приветствовать параметр политики ограничения ключей, чтобы ограничить определенные ключи (пункт 2) либо разрешить, либо заблокировать использование определенных ключей. Спецификация FIDO2 требует, чтобы во время аттестации был предоставлен GUID аттестации аутентификатора (AAGUID). AAGUID — это 128-битный идентификатор, указывающий тип аутентификатора. Аутентификаторы с одинаковыми возможностями и прошивкой могут использовать один и тот же AAGUID.

Вот как выглядит процесс входа без пароля с использованием ключа безопасности:

На экране входа выберите Войти с помощью ключа безопасности, вставьте ключ безопасности, если вы еще этого не сделали, коснитесь ключа безопасности, и все! Быстро, просто, а главное — безопасно.

Путь долгий, но отрасль движется в правильном направлении. Я не могу дождаться, чтобы насладиться будущим без паролей, где паролей больше не существует.