Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)

Опубликовано: 7 Апреля, 2023

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)

Введение

В первой части этой серии статей, посвященной вопросам планирования безопасности BYOD и консьюмеризации ИТ, мы рассмотрели проблемную область «Принеси свое собственное устройство» (BYOD) и обсудили ключевые аспекты планирования и проектирования. Мы завершили статью рассмотрением структуры структуры планирования, которую вы можете использовать для принятия решений по планированию. Во второй части мы обсудили ряд требований к решениям, применимым ко всем безопасным развертываниям BYOD. Это включает в себя технические возможности, которые требуются во всех решениях BYOD. В части 3 мы продолжили рассмотрение требований BYOD, а также их истории и намерений.

Поддержка современных механизмов аутентификации

Мы потратили много времени на изучение многих аспектов управления идентификацией, но основой идентификации является возможность проверки подлинности управляемых идентификаций. Кража личных данных является серьезной проблемой сегодня, поэтому должен быть какой-то механизм для подтверждения того, что пользователь (или компьютер), входящий в нашу сеть, действительно является тем или тем, за кого себя выдает. Как мы подтверждаем личность?

Мы верим, что «бумажные документы», такие как водительские права и паспорта, законно идентифицируют человека, который их предъявляет, потому что:

  • Мы знаем, что орган, выдавший документ, прошел установленный процесс проверки перед выдачей документов, и
  • Эти документы, удостоверяющие личность, включали фотографии человека, которые мы можем сравнить с человеком, который их предъявляет.

Традиционная аутентификация: пароль/пин-код

Установить подлинность личности в Интернете сложнее, потому что ее гораздо проще «подделать», чем при транзакциях между людьми. Традиционно общепринятым средством аутентификации пользователей компьютеров была комбинация имени пользователя с паролем или PIN-кодом (персональным идентификационным номером). Это простой способ подтвердить личность. Теоретически, только человек, связанный с именем пользователя, знает, что такое пароль/PIN-код, так что знание подтверждает личность.

На практике возникают проблемы с аутентификацией по паролю, и по мере того, как компьютеры становятся более мощными, эти проблемы усиливаются. Метод грубой силы атакует пароли, «взламывая» их, просто угадывая все возможные комбинации символов, пока им не повезет и они не наткнутся на правильный пароль. Человеку было бы чрезвычайно сложно вручную взломать даже четырехзначный PIN-код, но быстрые процессоры могут перепробовать сотни или тысячи за считанные минуты. Атаки по словарю сужают возможные комбинации символов, полагаясь на склонность большинства людей использовать «настоящие» слова в качестве паролей.

Аутентификация по паролю усиливается за счет использования более длинных и сложных паролей (или, лучше, фраз-паролей). Пароли не обязательно должны быть словами; они могут быть случайными комбинациями символов — как и многие компьютерные пароли. Единственная проблема заключается в том, что чем длиннее и бессмысленнее пароль, тем меньше вероятность того, что пользователь сможет его запомнить. Это приводит к тому, что пользователи записывают свои пароли, что создает еще одну угрозу безопасности.

Прошло более 10 лет с тех пор, как Билл Гейтс предсказал смерть паролей на конференции по безопасности RSA в феврале 2004 года. Несмотря на разработку новых и бесспорно более безопасных методов аутентификации, пароли все еще с нами. Человеческая природа такова, что многие пользователи по-прежнему, когда им предоставляется выбор, выбирают короткие, легко угадываемые пароли. Хорошая новость заключается в том, что в прошлом году слово «пароль» наконец-то было исключено из списка самых распространенных неверных паролей. Новый победитель — «123456». Я не уверен, что это свидетельствует о каком-либо прогрессе в обучении и повышении осведомленности пользователей.

Конечно, у администраторов есть технологические возможности для принудительного использования более длинных и сложных кодов доступа, но затем мы возвращаемся к тому, что пользователи расстраиваются из-за невозможности их запомнить и записать. Возможно, Билл был чересчур оптимистичен в своих прогнозах, он был абсолютно прав в своей основной предпосылке: пароль — это устаревший метод аутентификации, и от него нужно отказаться.

Современная аутентификация

Если пароль умирает, пусть и медленно, что его заменяет? Современные методы аутентификации направлены на то, чтобы создать больше проблем для потенциальных хакеров/взломщиков, в то же время уделяя особое внимание простоте использования для пользователей. Интересно, что в то время как пользователи настольных компьютеров по-прежнему в подавляющем большинстве входят в систему с одной и той же старой комбинацией имени пользователя и пароля, именно устройства BYOD лидируют в предоставлении своим пользователям новых способов аутентификации.

Таким образом, ваша стратегия BYOD должна включать поддержку этих современных методов аутентификации. Некоторые из них более безопасны, чем другие, поэтому ваша организация должна определить, какие из них соответствуют вашим стандартам безопасности, а какие вы будете поддерживать.

Некоторые современные методы аутентификации пользователей включают следующее:

  • Контрольные вопросы
  • Распознавание образов
  • Смарт-карта/токен
  • Динамика нажатия клавиш
  • Распознавание голоса
  • Биометрическая аутентификация

Любой или все из них можно использовать в сочетании с паролями или PIN-кодами как часть реализации многофакторной аутентификации. Многофакторная аутентификация сочетает в себе два или более из четырех следующих факторов:

  • Что-то пользователю (например, пароль или PIN-код)
  • Что-то пользователя (физическая вещь, находящаяся в его/ее владении, например, смарт-карта или ключ)
  • Что-то, пользователь (то, как он говорит или печатает, что иногда называют поведенческой биометрией)
  • Что-то, чем пользователь (биологическая/физиологическая черта, такая как отпечаток пальца, структура сетчатки или ДНК)

В свете этого давайте рассмотрим каждый из вышеупомянутых методов аутентификации более подробно.

Контрольные вопросы

Многие веб-сайты начали включать, наряду с именем пользователя и паролем, контрольные вопросы, такие как «Как зовут вашего любимого питомца?» или «на какой улице вы жили в детстве?» Вопрос может быть связан со случайным изображением, которое выбирает пользователь. Это добавляет немного больше безопасности, потому что неавторизованный пользователь, который, например, нашел пароль, который пользователь написал на липком блокноте и оставил в верхнем ящике стола, по-видимому, также не знал бы ответов на эти личные вопросы. Обратите внимание, что сочетание имени пользователя/пароля/ответа на запрос является подлинной многофакторной аутентификацией.

Распознавание образов

Многие смартфоны и планшеты теперь позволяют пользователям разблокировать их, проводя пальцами по заданному шаблону на сетке точек. Это намного проще, чем печатать на крошечной экранной клавиатуре. Как и в случае шаблонов, безопасность этого метода зависит от сложности шаблона и количества используемых точек. Операционная система Microsoft Windows 8 может использовать вариант этого, в котором пользователь выбирает фотографию, которая будет представлена при входе в систему, а затем должен касаться определенных частей фотографии в указанном порядке и по шаблону.

Как и в случае кодов доступа, недостатком распознавания шаблонов является то, что повышенная сложность затрудняет запоминание шаблона законным пользователем, хотя физический процесс считывания шаблона, однажды вписанный в мышечную память, может быть легче сохранен, чем простые мысленные воспоминания о строка символов. Вот почему некоторые люди могут ввести длинный числовой пароль, но не могут сказать вам, что это такое. Как и в случае с контрольными вопросами, это еще один пример того, что «пользователь знает», и, следовательно, он не может считаться многофакторным в сочетании с кодом доступа.

Смарт-карта/токен

Смарт-карты стали одной из самых популярных форм современной многофакторной аутентификации в корпоративной среде; идентификационная карта сотрудника часто функционирует как смарт-карта и может использоваться для физического доступа, например для открытия дверей, а также для хранения цифровых учетных данных для аутентификации пользователя в сети. Преимущество смарт-карт заключается в том, что они выполняют настоящую многофакторную аутентификацию в сочетании с паролем или PIN-кодом (то, что знает пользователь, плюс то, что у него есть). Недостатком является то, что если пользователь потеряет смарт-карту, ее украдут или просто оставят дома, он не сможет пройти аутентификацию. Еще одним недостатком является стоимость, в которую входят как сами карты, так и считыватели, необходимые для их использования.

Токены работают аналогично, но идентификационная информация хранится на ключе или USB-ключе или даже может быть виртуальным токеном, хранящимся на смартфоне, и в этом случае телефон становится «вторым фактором», которым владеет пользователь. У этого есть удобное преимущество в том, что большинство людей уже везде носят свои телефоны с собой, так что не нужно ничего запоминать.

Динамика нажатия клавиш

Относительно малоизвестный метод аутентификации включает в себя «что-то, что делает пользователь» — шаблоны нажатия клавиш при наборе текста. Исследования показали, что точный ритм, время и вес, придаваемый нажатиям клавиш, можно проанализировать, чтобы выявить шаблон, уникальный для каждого пользователя. Эта информация может храниться и сравниваться, когда пользователь снова вводит последовательность в качестве способа аутентификации личности.

Большим преимуществом этого метода аутентификации является то, что пользователю не нужно ничего запоминать — не нужно запоминать код доступа и не нужно помнить о смарт-карте или устройстве с токеном. Недостатком этого и других поведенческих методов аутентификации является то, что необычные обстоятельства могут изменить поведение пользователя. То есть травма руки или пальца может привести к тому, что обычно быстрая машинистка начнет охотиться и клевать одной рукой, изменяя рисунок.

Распознавание голоса

Также было обнаружено, что естественные голосовые паттерны уникальны для конкретных людей. Используя компьютерный анализ сотен различных голосовых характеристик, можно создать голосовой отпечаток, после чего все, что нужно сделать пользователю для аутентификации, — это произнести речь. Хотя, опять же, обстоятельства (такие как простуда или травма горла) могут изменить отпечаток, в большинстве случаев все равно будет достаточно точек сравнения, чтобы получить совпадение. В 2012 году Национальный банк Австралии начал использовать распознавание голоса для некоторых ситуаций аутентификации клиентов.

Биометрическая аутентификация

Биометрия — это большая область, в которой за последние несколько лет было проведено множество исследований и исследований. Истинная биометрия (в отличие от «поведенческой биометрии») включает в себя то, чем врожденную физическую характеристику, которую нелегко изменить. Наиболее распространенная форма биометрической аутентификации использует распознавание отпечатков пальцев. Считыватели отпечатков пальцев были доступны для настольных компьютеров и были встроены в некоторые ноутбуки в течение многих лет. Теперь некоторые из новейших смартфонов высокого класса, такие как Galaxy S5, включают распознавание отпечатков пальцев для разблокировки телефона. Вариации включают распознавание отпечатков ладоней, распознавание радужной оболочки или сетчатки и, в крайнем случае, анализ ДНК.

Биометрическая аутентификация имеет большое преимущество, заключающееся в том, что она редко меняется или изменяется в зависимости от обстоятельств, ее труднее воспроизвести, чем другие методы, она всегда есть у пользователя при себе и не требует затрат со стороны пользователя (как в случае со смарт-картами и жетоны). Однако оборудование для биометрического сканирования может быть относительно дорогим, и некоторые пользователи считают эту технологию навязчивой. В сочетании с фактором «знания» биометрическая аутентификация может предложить наиболее безопасную форму аутентификации.

Резюме

При разработке стратегии BYOD важно учитывать множество различных методов проверки подлинности пользователей, доступных для современных компьютеров и устройств, и для обеспечения максимальной безопасности вы должны воспользоваться этим и включить поддержку современных технологий проверки подлинности в свой план.

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023