Руководители корпоративных служб информационной безопасности уже более десяти лет пытаются выйти за рамки использования паролей, но сталкиваются с техническими трудностями, поскольку многие унаследованные системы никакой защиты, кроме парольной, не предусматривают. А значит, революции отказа от паролей, которые становится все легче украсть, и замены их биометрическими данными, одноразовыми кодами доступа, ключами безопасности и т.п. может вовсе не случиться.

Согласно недавнему отчету RSA, внедрение систем без пароля застопорилось, и 90% организаций сообщают о недостаточно широком охвате и отсутствии необходимого пользовательского опыта. Многообразие операционных систем и требований к доступу приводит к тому, что им приходится внедрять сразу несколько пакетов беспарольной защиты, что приводит к дополнительным тратам и задержкам, а также к появлению новых брешей в системе безопасности.

Большинство предприятий могут перевести на беспарольную аутентификацию 75-85% своих систем, но с оставшимися 15% проделать это очень сложно. Еще одна трудность заключается в том, что вариантов без использования паролей существует много, возможно, даже слишком много. Какой из них выбрать? FIDO2 или биометрию? И если предпочтение отдано биометрии, то что именно – овал лица, сетчатку, отпечатки пальцев, положение вен? Везде есть свои плюсы и минусы.

Беспарольный подход, как правило, оставляет опасную «слепую зону». Пароли все еще используются при восстановлении доступа. Как узнать, кто в действительности регистрирует или восстанавливает ключ? Злоумышленникам не обязательно взламывать криптографию ключей. Они идут через самое слабое звено – звонок в службу поддержки, СМС-код, кнопку восстановления. Храня одновременно пароли и ключи доступа, организации расширяют площадь атаки. Реальный переход к беспарольным технологиям происходит только тогда, когда регистрация и восстановление доступа благодаря сочетанию современной мобильной криптографии с биометрией и проверкой живучести становятся такими же защищенными от фишинга, как и вход в систему.

В отношении причин задержки внедрения беспарольных систем мнения опрошенных разделились: 57% респондентов указали на проблемы с безопасностью, 56% сослались на опасения по поводу удобства работы пользователей, а 52% заявили, что причиной является отсутствие полноценной поддержки платформы, в том числе устаревшими приложениями и системами сторонних производителей.

Определенная часть дискуссий ведется вокруг стратегий рентабельности инвестиций. Конечная цель заключается в удалении всех учетных данных с паролями. В этом случае пароль администратора годичной давности окажется для злоумышленника бесполезным. Любой удаляемый пароль способствует повышению безопасности и немного снижает уровень риска.

Увязать все используемые технологии с каким-то одним решением на практике невозможно. Но если начать с защиты привилегированных пользователей и критически важных систем, то риски существенно снижаются. Если же цель заключается в том, чтобы охватить как можно больше пользователей, улучшения окажутся поверхностными. Многие начинают с отказа от паролей при внедрении облачных сервисов, в то время как более сложные системы с высоким уровнем риска по-прежнему зависят от паролей. Рекомендуется изменить этот порядок и начать с самых привилегированных пользователей.

Привязанность устаревших систем к паролям можно обойти, заменяя пароль, выбранный пользователем, на сгенерированный машиной токен, который обновляется при каждой аутентификации. С технической точки зрения это все еще пароль, но человек его не видит, и его невозможно взломать.

Таким образом, во многих отношениях переход к системе без паролей похож на переход большинства организаций к модели с нулевым уровнем доверия – это не разовое мероприятие, а многолетний и многоэтапный процесс.