Большинство людей знают, что такое пароли, и на собственном опыте сталкивались с некоторыми из многих проблем с ними. Альянс FIDO утверждает, что ключи доступа являются заменой паролей. Таким образом, мы можем измерить состояние или прогресс внедрения ключей доступа по их готовности к замене паролей. Если вы новичок в ключах доступа, вы можете быстро ознакомиться с нашим учебником: Что такое ключи доступа? И обязательно ознакомьтесь с нашим предстоящим вебинаром «Состояние ключей доступа на предприятии» 9/7 в 9 утра по тихоокеанскому стандартному времени | 12 часов дня по восточному поясному времени.
В этой серии блогов мы рассмотрим пароли и ключи доступа с четырех разных точек зрения в процессе аутентификации:
- Удаленный пользователь — сравнение работы и безопасности
- Конечная точка пользователя — оценка рекомендаций по конечным точкам и хранилищам
- Облачные сайты — посмотрите на их взаимодействие и использование облачных приложений.
- Облачная платформа — оцените, как они обрабатываются и управляются ключевыми поставщиками.
Сегодня мы сосредоточимся на том, чем ключи доступа лучше, чем пароли для удаленных пользователей. Мы также поговорим об улучшении ключей доступа.
Удаленные пользователи
Процесс веб-проверки подлинности начинается, когда удаленный пользователь хочет подключиться к приложению.
Ключи доступа лучше, чем пароли
Настройка
Не стоит перефразировать все беды паролей, но подведем итоги: пользователю сложно создавать сложные правила, которые нужно запоминать, изменять и управлять ими в целом.
Ключи доступа создаются, шифруются и хранятся конечной точкой для конечного приложения (также называемой проверяющей стороной). Таким образом, как первоначальная регистрация, так и использование проще для пользователя и недоступны для киберпреступников.
Поддержка
Проблемы, связанные с паролями, как правило, являются основным потребителем времени и ресурсов службы поддержки и ИТ-поддержки, от предоставления помощи в блокировке и сбросе до поддержки при адаптации.
Ключи доступа требуют дополнительной поддержки при развертывании и включении. Пользователей необходимо обучить, так как это новый способ проверки подлинности, но обычно пользователи могут самостоятельно регистрировать их или управлять ими с помощью рабочего процесса на основе пользовательского интерфейса.
Стандарты
Пароли, также известные как запомненные секреты, никогда не изобретались и не управлялись органами по стандартизации. Правительственные учреждения США, такие как NIST, предоставляют рекомендации, но реализация и использование варьируются в зависимости от поставщика и организации.
Ключи доступа развились из стандартов, разработанных организацией FIDO Alliance, которая представляет собой консорциум из 250+ поставщиков, которым нужна надежная и эффективная аутентификация для своих пользователей и/или потребителей.
Безопасность
Более длинные пароли с большим количеством вариантов символов затрудняют расшифровку или вычисление при атаках грубой силы. Но если пользователи не используют менеджер паролей, они часто угадывают пароли, чтобы помочь их запомнить.
Доказано, что ключи доступа, основанные на Webauthn, устойчивы к фишингу, заполнению учетных данных, злоумышленнику посередине (AITM), взломам серверов и другим кибератакам. Кроме того, они предназначены для работы с биометрией, обеспечивая высокую эффективность проверки личности.
Многофакторность
Поскольку аутентификация на основе пароля настолько уязвима, она обычно сочетается с другими факторами. Это также требование для получения киберстраховки. Тем не менее, многие формы MFA подвержены фишинговым атакам или атакам обхода, и они усложняют рабочий процесс пользователя.
Ключи доступа можно использовать в качестве фактора для поддержки многофакторной проверки подлинности на основе паролей или независимо друг от друга. Google считает их «достаточно сильными, чтобы они могли заменить ключи безопасности» для использования в своей программе расширенной защиты.
Частный
Пароли по умолчанию хранятся на целевых сайтах облачных приложений (или у IDP в случае единого входа). Они известны как «общие секреты», потому что другие имеют к ним доступ, часто включая хакеров.
Ключи доступа разработаны на основе криптографии с открытым ключом.
Эффективность
Для ввода паролей требуется время, за которым часто следует второй фактор аутентификации. Их также трудно вводить на мобильных устройствах без удобства полноценной клавиатуры, особенно когда пользователи вводят специальные символы.
Рабочие процессы с ключом доступа разработаны таким образом, чтобы быть эффективными и экономить время. Кроме того, пользователям не нужно выполнять дополнительные действия по проверке подлинности, необходимые для защиты проверки подлинности на основе пароля, такие как копирование и вставка кодов OTP из электронной почты.
Ключи доступа могли бы быть лучше
Предприятие
Несмотря на высокую уязвимость, процессы, основанные на паролях, внедрены в предприятия. Они понятны как пользователям, так и администраторам, а их рабочие процессы хорошо известны для привлечения новых пользователей.
Несмотря на то, что ключи доступа являются надежным методом аутентификации, они используют новые технологии и требуют оптимизации рабочего процесса поставщиками IAM. Они также требуют разработки новых процессов предприятиями вместе с сопутствующей адаптацией.
Согласие
Хотя пароли по своей сути рискованны, они менее уязвимы в сочетании с дополнительными факторами. Это подтверждается тем фактом, что MFA часто требуется для того, чтобы предприятия могли получить страхование кибербезопасности.
Хотя стандарты FIDO позволяют синхронизировать ключи доступа или оставаться привязанными к устройству, необходимо учитывать некоторые правила. Это включает в себя требование о владении в европейском стандарте SCA для электронных платежей.
Виртуализация
Пароли могут использоваться на собственных конечных точках и виртуальных рабочих столах, доступ к которым осуществляется через собственные приложения или браузеры, поскольку они вводятся вручную в веб-форме независимо от того, где они размещены.
Неясно, как ключи доступа и биометрия протокола клиент-аутентификатор (CTAP2) могут использоваться виртуальными рабочими столами. Эффективное решение для этого варианта использования все еще изучается поставщиками.
Последний выпуск Windows 11 позволяет использовать WebAuthn на виртуальных машинах (ВМ) с помощью Windows Hello на компьютере, с которого пользователь удаленно подключается. Удаленный рабочий стол будет передавать запрос и ответ с удаленного компьютера и на него.