Учетные записи пользователей, которые легко взломать, часто являются точкой входа, которую преступники используют для проникновения в системы, поэтому беспарольная аутентификация привлекает все больше внимания. Вот список из 10 решений, которые помогут ИТ-директорам решить, что подойдет для их предприятия.
Пароли уже давно стали стандартом для аутентификации в компьютерных системах, однако они неоднократно проявляли свою слабость в результате силовых или словарных атак, а также свою уязвимость из-за все более изощренных фишинговых кампаний. Беспарольная аутентификация предлагает функции, которые помогают повысить безопасность пользователей без необходимости запоминать сложные пароли и (или) беспокоить персонал службы поддержки.
Недавно компания Axiad опубликовала результаты опроса по беспарольной аутентификации. В опросе приняли участие более 375 респондентов, представляющих различные дисциплины и отрасли в США и Канаде. В основных выводах опроса Axiad отмечает, что 92% респондентов обеспокоены тем, что их учетные данные могут быть скомпрометированы через фишинг или атаки социальной инженерии. Кроме того, 82% отметили, что переход на беспарольную аутентификацию является одним из их топ-5 приоритетов, а 85% ожидают перехода на беспарольную аутентификацию в ближайшие 1-2 года.
Рекомендуем прочитать: Американцы проверяют безопасность "облака" Microsoft
Что нужно знать перед внедрением беспарольной аутентификации?
Прежде чем вы начнете внедрять беспарольную аутентификацию в своем бизнесе, стоит ознакомиться с Альянсом FIDO. FIDO (Fast Identity Online) – это набор стандартов для беспарольной аутентификации как для физических, так и для юридических лиц. Альянс FIDO управляет несколькими стандартами, которые обеспечивают надежную защиту для различных сценариев использования, включая FIDO2 и пароли, и вносит свой вклад в их развитие. Стандарты FIDO предлагают надежную, криптографически безопасную аутентификацию с простыми и удобными рабочими процессами аутентификации, которые облегчают жизнь конечным пользователям. Для отраслей, требующих соблюдения требований, Альянс FIDO может помочь сузить круг стандартов, которые соответствуют применимым требованиям соответствия. Кроме того, FIDO предлагает отраслевые рекомендации по совершенствованию системы безопасности аутентификации, включая выделение зон риска и планирование мероприятий по уменьшению уязвимостей.
Одним из стандартов, предложенных Альянсом FIDO, который быстро набирает популярность, является стандарт Passkeys. Passkeys уже принят компаниями Apple и Google в своих мобильных операционных системах, а также имеет широкую поддержку среди веб-браузеров. Passkeys предлагает несколько рабочих процессов аутентификации, которые могут использовать ключи, привязанные к устройству, или синхронизированные ключи, которые можно использовать на нескольких устройствах. Стандарт passkey является очень перспективным и, скорее всего, продолжит получать поддержку в индустрии.
Для многих бизнес-приложений ключи еще не достигли критической массы с точки зрения сервисов, поддерживающих этот стандарт, а инструменты администрирования, связанные с управлением ключами, все еще находятся в зачаточном состоянии. Кроме того, компаниям с более чем минимальными требованиями к безопасности придется сосредоточиться на ключах доступа, связанных с устройствами, которые имеют свои собственные ограничения, затраты и требования к управлению.
10 беспарольных сервисов для бизнеса
Учитывая то, что скомпрометированные учетные данные являются основной причиной нарушений безопасности во всех компьютерных системах, беспарольные сервисы являются привлекательным решением, которое решает ряд ключевых проблем информационной безопасности и управления учетными данными, с которыми сталкивается современный бизнес. Остается только внедрить его и принять обоснованное решение о том, какие услуги лучше всего подходят для организации: какие функции необходимы по регуляторным или практическим причинам, а какие просто стоит иметь.
Сегодня на рынке существует ряд решений для беспарольной аутентификации, большинство из которых являются вполне приемлемыми решениями для блокировки аутентификации к корпоративным ресурсам. Обратите внимание, что приведенный ниже список поставщиков не является исчерпывающим: включение не означает одобрения, а исключение не следует толковать как обвинение против конкретного предложения.
AuthID Verified Workforce
AuthID Verified Workforce предлагает несколько ключевых функций, связанных с аутентификацией пользователей, с особым акцентом на биометрические гарантии. Возможности биометрического сопоставления AuthID на основе искусственного интеллекта выходят за рамки простых биометрических данных, гарантируя, что пользователь жив, и обеспечивая защиту от попыток подделки. AuthID поддерживает стандарт аутентификации FIDO 2, в котором криптографические ключи генерируются и хранятся на устройстве, а не передаются или хранятся в облаке. AuthID также знает, что беспарольная аутентификация имеет ограниченную ценность, если она не является частью более крупной экосистемы политик аутентификации, обнаружения аномалий и мониторинга, поэтому AuthID предлагает интеграцию со сторонними инструментами управления идентификацией и доступом (IAM).
Axiad Cloud
Axiad Cloud – это платформа аутентификации, которая использует целостный подход к защите попыток аутентификации с помощью беспарольной оркестрации. Axiad Cloud использует имеющийся у пользователя пакет IAM, чтобы облегчить переход к беспарольному режиму, будь то конфигурация методов аутентификации или создание новых пользователей. Axiad Cloud также предлагает как портал администратора, так и портал конечного пользователя, что позволяет специалистам по безопасности настраивать рабочие процессы аутентификации и изменять способы оценки и подтверждения подлинности пользователей.
Beyond Identity
Beyond Identity сочетает беспарольную аутентификацию с непрерывной аутентификацией на основе рисков. Это означает, что попытки аутентификации оцениваются на основе широкого контекста, такого как используемое устройство, пользователь и его текущее местонахождение, ресурс, к которому осуществляется доступ, и другие ключевые факторы, необходимые для оценки доверия. Beyond Identity также использует существующее аппаратное обеспечение устройств, например, биометрические данные и чипы Trusted Platform Module (TPM), для дополнительной защиты попыток аутентификации и криптографических ключей. Beyond Identity поддерживает интеграцию с пакетами IAM, а также службами Active Directory Federation Services (ADFS) для беспарольной аутентификации в локальных приложениях.
CyberArk Workforce Identity
Продукт CyberArk Workforce Identity ранее поддерживался под брендом Idaptive. CyberArk поддерживает все случаи использования без пароля, включая аутентификацию конечных точек с помощью развернутого программного агента. CyberArk также предлагает шлюз приложений – услугу, которая облегчает безопасную аутентификацию для локальных приложений, направляя трафик пользователя через шлюз приложений к приложению, что позволяет CyberArk аутентифицировать пользователей с помощью приложения. CyberArk также предлагает возможности адаптивной аутентификации, что позволяет CyberArk динамически выбирать факторы аутентификации, которые соответствуют контексту попытки аутентификации.
Duo
Duo – это чрезвычайно популярный сервис MFA от сетевой компании Cisco. Услуги Duo делают его хорошим выбором для вашего бизнеса на пути к беспарольному путешествию. Duo поддерживает все возможные сценарии использования аутентификации: настольные компьютеры, веб-приложения, VPN и удаленный рабочий стол. Duo также предлагает инструменты для обеспечения других ключевых аспектов безопасности аутентификации: контекстную аутентификацию на основе рисков, мониторинг попыток аутентификации и интеграцию практически со всеми IAM пакетами на рынке.
HYPR
Платформа аутентификации HYPR полностью поддерживает стандарт ключей доступа, но только как отправную точку для аутентификации. HYPR поддерживает как синхронизированные, так и связанные с устройствами ключи доступа для аутентификации в бизнес-приложениях, а также поддерживает беспарольную аутентификацию во всем, от настольных компьютеров до решений для удаленного доступа. HYPR Control Center предлагает интуитивно понятную консоль администрирования для управления аутентификацией в масштабах предприятия и настройки политик регистрации и аутентификации. HYPR также использует существующую инфраструктуру IAM, поддерживая интеграцию с уже развернутыми инструментами идентификации.
Okta
Okta – одна из крупнейших компаний в мире облачной идентификации и аутентификации, которая предлагает комплексный набор услуг для удовлетворения любых потребностей. Okta предлагает полнофункциональные IAM, MFA и все компоненты, необходимые для создания полноценного беспарольного решения. Okta также предлагает невероятную гибкость благодаря конфигурируемым рабочим процессам, полностью динамическим политикам аутентификации и разнообразным факторам аутентификации. Okta Fastpass позволяет пользователям быстро и легко регистрировать мобильные устройства как аутентификаторы, а волшебные ссылки на электронную почту обеспечивают беспарольную аутентификацию для редко используемых приложений или при использовании гостевого устройства. Okta даже поддерживает цепочку факторов аутентификации с последовательностью факторов - метод, который можно использовать в паре с правилами аутентификации, чтобы требовать один или несколько факторов аутентификации с высоким уровнем безопасности, когда попытка является оправданной.
Ping Identity
Ping Identity является еще одним лидером в области идентификации, а их полный набор инструментов охватывает все аспекты процесса аутентификации. Принципы аутентификации на основе рисков включают весь анализ угроз Ping Identity и анализ на основе искусственного интеллекта, чтобы использовать соответствующие факторы аутентификации. PingOne Davinci обеспечивает оркестровку идентичностей в виде визуальных рабочих процессов аутентификации (с шаблонами, доступными для запуска в первый день). Наконец, Ping Identity не ожидает, что вы перейдете на беспарольный режим за одну ночь, а скорее поощряет вас к постепенному прогрессу в защите попыток аутентификации, поскольку это имеет смысл.
Secret Double Octopus
Secret Double Octopus, безусловно, заслуживает дополнительных похвал за то, что придумала удивительное название компании. Эта израильская компания специализируется на многофакторной аутентификации (MFA) и беспарольной аутентификации и имеет возможности для обеспечения широкомасштабной беспарольной аутентификации для всех случаев использования ключей с минимальными изменениями в существующей инфраструктуре. Secret Double Octopus даже поддерживает беспарольную аутентификацию для RDP и SSH, устаревших локальных приложений и других менее распространенных случаев использования. Даже сети с воздушными разрывами - это честная игра, поскольку Secret Double Octopus поддерживает беспарольную аутентификацию в сетевых средах, которые полностью автономны без подключения к облачным сервисам.
Yubico
Мы были бы небрежны, если бы не упомянули компанию Yubico и их аппаратные токены Yubikey в этом списке. Yubikeys являются стандартом де-факто, когда речь идет об аппаратных токенах аутентификации, и поддержка Yubikeys является обязательной функцией большинства решений из этого списка. Yubikeys доступны в различных формах: они предлагают подключение к компьютерам и мобильным устройствам с помощью таких стандартов, как USB-A, USB-C и NFC. Yubico также предлагает услуги для компаний, которые хотят массово развертывать аппаратные токены и управлять ими, что становится критически важным при использовании небольших устройств в качестве ключей учетных записей.
