Облікові записи користувачів, які легко зламати, часто є точкою входу, яку злочинці використовують для проникнення в системи, тому безпарольна автентифікація привертає все більше уваги. Ось список з 10 рішень, які допоможуть ІТ-директорам вирішити, що підійде для їхнього підприємства.
Паролі вже давно стали стандартом для автентифікації в комп'ютерних системах, однак вони неодноразово виявляли свою слабкість в результаті силових або словникових атак, а також свою вразливість через все більш витончені фішингові кампанії. Безпарольна автентифікація пропонує функції, які допомагають підвищити безпеку користувачів без потреби запам’ятовувати складні паролі і (або) турбувати персонал служби підтримки.
Нещодавно компанія Axiad опублікувала результати опитування щодо безпарольної автентифікації. В опитуванні взяли участь понад 375 респондентів, які представляють різні дисципліни та галузі в США і Канаді. В основних висновках опитування Axiad зазначає, що 92% респондентів занепокоєні тим, що їхні облікові дані можуть бути скомпрометовані через фішинг або атаки соціальної інженерії. Крім того, 82% зазначили, що перехід на безпарольну автентифікацію є одним з їхніх топ-5 пріоритетів, а 85% очікують переходу на безпарольну автентифікацію в найближчі 1-2 роки.
Рекомендуємо прочитати: Intel відмовляється від придбання Tower Semiconductor
Що потрібно знати перед впровадженням безпарольної автентифікації?
Перш ніж ви почнете впроваджувати безпарольну автентифікацію у своєму бізнесі, варто ознайомитися з Альянсом FIDO. FIDO (Fast Identity Online) – це набір стандартів для безпарольної автентифікації як для фізичних, так і для юридичних осіб. Альянс FIDO керує кількома стандартами, які забезпечують надійний захист для різних сценаріїв використання, включаючи FIDO2 та паролі, і робить свій внесок у їх розвиток. Стандарти FIDO пропонують надійну, криптографічно безпечну автентифікацію з простими і зручними робочими процесами автентифікації, які полегшують життя кінцевим користувачам. Для галузей, які потребують дотримання вимог, Альянс FIDO може допомогти звузити коло стандартів, які відповідають застосовним вимогам відповідності. Крім того, FIDO пропонує галузеві рекомендації щодо вдосконалення системи безпеки автентифікації, включаючи виділення зон ризику та планування заходів щодо зменшення вразливостей.
Одним із стандартів, запропонованих Альянсом FIDO, який швидко набуває популярності, є стандарт Passkeys. Passkeys вже прийнятий компаніями Apple та Google у своїх мобільних операційних системах, а також має широку підтримку серед веб-браузерів. Passkeys пропонує кілька робочих процесів автентифікації, які можуть використовувати ключі, прив'язані до пристрою, або синхронізовані ключі, які можна використовувати на декількох пристроях. Стандарт passkey є дуже перспективним і, швидше за все, продовжить отримувати підтримку в індустрії.
Для багатьох бізнес-додатків ключі ще не досягли критичної маси з точки зору сервісів, які підтримують цей стандарт, а інструменти адміністрування, пов'язані з управлінням ключами, все ще перебувають у зародковому стані. Крім того, компаніям з більш ніж мінімальними вимогами до безпеки доведеться зосередитися на ключах доступу, пов'язаних з пристроями, які мають свої власні обмеження, витрати і вимоги до управління.
10 безпарольних сервісів для бізнесу
Зважаючи на те, що скомпрометовані облікові дані є основною причиною порушень безпеки в усіх комп'ютерних системах, безпарольні сервіси є привабливим рішенням, яке вирішує низку ключових проблем інформаційної безпеки та управління обліковими даними, з якими стикається сучасний бізнес. Залишається лише впровадити його та прийняти обґрунтоване рішення про те, які послуги найкраще підходять для організації: які функції необхідні з регуляторних або практичних причин, а які просто варто мати.
Сьогодні на ринку існує низка рішень для безпарольної автентифікації, більшість з яких є цілком прийнятними рішеннями для блокування автентифікації до корпоративних ресурсів. Зверніть увагу, що наведений нижче список постачальників не є вичерпним: включення не означає схвалення, а виключення не слід тлумачити як звинувачення проти конкретної пропозиції.
AuthID Verified Workforce
AuthID Verified Workforce пропонує кілька ключових функцій, пов'язаних з автентифікацією користувачів, з особливим акцентом на біометричні гарантії. Можливості біометричного зіставлення AuthID на основі штучного інтелекту виходять за рамки простих біометричних даних, гарантуючи, що користувач живий, і забезпечуючи захист від спроб підробки. AuthID підтримує стандарт автентифікації FIDO 2, в якому криптографічні ключі генеруються і зберігаються на пристрої, а не передаються або зберігаються в хмарі. AuthID також знає, що безпарольна автентифікація має обмежену цінність, якщо вона не є частиною більшої екосистеми політик автентифікації, виявлення аномалій та моніторингу, тому AuthID пропонує інтеграцію зі сторонніми інструментами управління ідентифікацією та доступом (IAM).
Axiad Cloud
Axiad Cloud – це платформа автентифікації, яка використовує цілісний підхід до захисту спроб автентифікації за допомогою безпарольної оркестрації. Axiad Cloud використовує наявний у користувача пакет IAM, щоб полегшити перехід до безпарольного режиму, будь то конфігурація методів автентифікації або створення нових користувачів. Axiad Cloud також пропонує як портал адміністратора, так і портал кінцевого користувача, що дозволяє фахівцям з безпеки налаштовувати робочі процеси автентифікації та змінювати способи оцінки та підтвердження автентичності користувачів.
Beyond Identity
Beyond Identity поєднує безпарольну автентифікацію з безперервною автентифікацією на основі ризиків. Це означає, що спроби автентифікації оцінюються на основі широкого контексту, такого як використовуваний пристрій, користувач і його поточне місцезнаходження, ресурс, до якого здійснюється доступ, та інші ключові фактори, необхідні для оцінки довіри. Beyond Identity також використовує існуюче апаратне забезпечення пристроїв, наприклад, біометричні дані та чіпи Trusted Platform Module (TPM), для додаткового захисту спроб автентифікації та криптографічних ключів. Beyond Identity підтримує інтеграцію з пакетами IAM, а також службами Active Directory Federation Services (ADFS) для безпарольної автентифікації в локальних додатках.
CyberArk Workforce Identity
Продукт CyberArk Workforce Identity раніше підтримувався під брендом Idaptive. CyberArk підтримує всі випадки використання без пароля, включаючи автентифікацію кінцевих точок за допомогою розгорнутого програмного агента. CyberArk також пропонує шлюз додатків – послугу, яка полегшує безпечну автентифікацію для локальних додатків, спрямовуючи трафік користувача через шлюз додатків до додатку, що дозволяє CyberArk автентифікувати користувачів за допомогою додатку. CyberArk також пропонує можливості адаптивної автентифікації, що дозволяє CyberArk динамічно вибирати фактори автентифікації, які відповідають контексту спроби автентифікації.
Duo
Duo – це надзвичайно популярний сервіс MFA від мережевої компанії Cisco. Послуги Duo роблять його гарним вибором для вашого бізнесу на шляху до безпарольної подорожі. Duo підтримує всі можливі сценарії використання автентифікації: настільні комп'ютери, веб-додатки, VPN та віддалений робочий стіл. Duo також пропонує інструменти для забезпечення інших ключових аспектів безпеки автентифікації: контекстну автентифікацію на основі ризиків, моніторинг спроб автентифікації та інтеграцію практично з усіма IAM-пакетами на ринку.
HYPR
Платформа автентифікації HYPR повністю підтримує стандарт ключів доступу, але лише як відправну точку для автентифікації. HYPR підтримує як синхронізовані, так і пов'язані з пристроями ключі доступу для автентифікації в бізнес-додатках, а також підтримує безпарольну автентифікацію у всьому, від настільних комп'ютерів до рішень для віддаленого доступу. HYPR Control Center пропонує інтуїтивно зрозумілу консоль адміністрування для управління автентифікацією в масштабах підприємства і налаштування політик реєстрації та автентифікації. HYPR також використовує існуючу інфраструктуру IAM, підтримуючи інтеграцію з уже розгорнутими інструментами ідентифікації.
Okta
Okta – одна з найбільших компаній у світі хмарної ідентифікації та автентифікації, яка пропонує комплексний набір послуг для задоволення будь-яких потреб. Okta пропонує повнофункціональні IAM, MFA та всі компоненти, необхідні для створення повноцінного безпарольного рішення. Okta також пропонує неймовірну гнучкість завдяки конфігурованим робочим процесам, повністю динамічним політикам автентифікації та різноманітним факторам автентифікації. Okta Fastpass дозволяє користувачам швидко і легко реєструвати мобільні пристрої як автентифікатори, а чарівні посилання на електронну пошту забезпечують безпарольну автентифікацію для рідко використовуваних додатків або при використанні гостьового пристрою. Okta навіть підтримує ланцюжок факторів автентифікації з послідовністю факторів – метод, який можна використовувати в парі з правилами автентифікації, щоб вимагати один або кілька факторів автентифікації з високим рівнем безпеки, коли спроба є виправданою.
Ping Identity
Ping Identity є ще одним лідером у галузі ідентифікації, а їхній повний набір інструментів охоплює всі аспекти процесу автентифікації. Принципи автентифікації на основі ризиків включають весь аналіз загроз Ping Identity та аналіз на основі штучного інтелекту, щоб використовувати відповідні фактори автентифікації. PingOne Davinci забезпечує оркестровку ідентичностей у вигляді візуальних робочих процесів автентифікації (з шаблонами, доступними для запуску в перший день). Нарешті, Ping Identity не очікує, що ви перейдете на безпарольний режим за одну ніч, а скоріше заохочує вас до поступового прогресу в захисті спроб автентифікації, оскільки це має сенс.
Secret Double Octopus
Secret Double Octopus, безумовно, заслуговує додаткових похвал за те, що придумала дивовижну назву компанії. Ця ізраїльська компанія спеціалізується на багатофакторній автентифікації (MFA) та безпарольній автентифікації і має можливості для забезпечення широкомасштабної безпарольної автентифікації для всіх випадків використання ключів з мінімальними змінами в існуючій інфраструктурі. Secret Double Octopus навіть підтримує безпарольну автентифікацію для RDP і SSH, застарілих локальних додатків та інших менш поширених випадків використання. Навіть мережі з повітряними розривами – це чесна гра, оскільки Secret Double Octopus підтримує безпарольну автентифікацію в мережевих середовищах, які повністю автономні без підключення до хмарних сервісів.
Yubico
Ми були б недбалі, якби не згадали про компанію Yubico та їх апаратні токени Yubikey в цьому списку. Yubikeys є стандартом де-факто, коли мова йде про апаратні токени автентифікації, і підтримка Yubikeys є обов'язковою функцією більшості рішень з цього списку. Yubikeys доступні в різних формах: вони пропонують підключення до комп'ютерів і мобільних пристроїв за допомогою таких стандартів, як USB-A, USB-C і NFC. Yubico також пропонує послуги для компаній, які хочуть масово розгортати апаратні токени і керувати ними, що стає критично важливим при використанні невеликих пристроїв в якості ключів облікових записів.
Рекомендуємо прочитати: Google запускає інтерфейс Pricing API, щоб допомогти компаніям оптимізувати витрати на хмарні сервіси
