Беспарольное будущее
Современные компании, уделяющие должное внимание информационной безопасности, задумались о новых технологических решениях для защиты доступа к своим информационным активам. Одним из направлений для усовершенствования системы информационной безопасности может стать отказ от паролей в пользу более надежных средств аутентификации.
Почему пароли утрачивают свою актуальность в современном цифровом мире?
- Для крупных компаний, особенно имеющих большую клиентскую базу, возможность быстрой идентификации и аутентификации своих клиентов без сложных процедур становится ключом к более эффективному и продуктивному взаимодействию с ними.
- Получая какую-либо онлайн-услугу, пользователи, испытавшие удобство современных средств аутентификации, таких как распознавание отпечатка пальца, голоса или лица, уже имеют определенные ожидания относительно удобства и уровня получаемого сервиса, и дополнительные трудности в виде необходимости запоминать и вводить пароли могут оттолкнуть потенциальных клиентов.
По данным компании Salesforce, на современном этапе определяющим фактором для бренда компании является пользовательский опыт, а не цена или продукт - 89% компаний конкурируют между собой, главным образом, в этом аспекте.[1] - Парольная политика является весьма затратной в плане человеческих и материальных ресурсов. Согласно исследованию Понемонского института, сотрудники компаний уделяют в среднем 10 часов в год манипуляциям, связанным с паролями, в денежном эквиваленте - это более 5 млн. долларов США для компании со штатом 15 000 человек.[2]
Два с половиной месяца - это средний срок, который требуется ИТ-службам для переустановки паролей сотрудников компании, стоимость переустановки одного пароля составляет примерно 70 долларов США.[3] Согласно одному исследованию[4], бизнесы тратят порядка 1 млн. долларов США ежегодно только на задачи, связанные с переустановкой паролей. - С точки зрения безопасности, слабая парольная политика компании является едва ли не самой распространенной причиной успешности кибератак злоумышленников. По статистике, в 4 из 5 случаев утечек данных причиной являлись слабые или украденные пароли. А средняя стоимость утечки составляет 3,92 млн. долларов США. [5] Стоимость виртуальной пользовательской личности (со всеми ее учетными записями) составляет 1200$ в теневом сегменте Интернета[6]. Данные одного пользователя могут открыть доступ к целым системам, в том числе корпоративным, ставя под удар безопасность бизнесов, государственных учреждений, сервисов.
Беспарольная аутентификация, в свою очередь, перекроет сразу несколько векторов осуществления кибератак злоумышленниками: от кражи учетных данных до фишинга. Компании, отказывающиеся от использования паролей, снижают свою уязвимость перед возможными утечками данных.
Еще одним плюсом является взаимная совместимость аутентификационных решений, что облегчает и ускоряет организацию доступа к множественным ресурсам и услугам для пользователей. Для бизнесов и провайдеров услуг создается возможность унификации подходов, в том числе на международном уровне, что в свою очередь открывает доступ к новым рынкам и привлечению новых клиентов. С правовой точки зрения, беспарольная аутентификация облегчает совместимость с зарубежными правовыми практиками, расширяя границы для развития бизнеса.
Учитывая вышеприведенные данные, беспарольная политика поможет компаниям экономить значительные денежные и человеческие ресурсы, которые можно направить на другие задачи в рамках обеспечения общей кибербезопасности.
Всемирный экономический форум рекомендует компаниям начать переход к беспарольной политике со следующих технологических решений:[7]
- VPN / удаленный доступ: поскольку удаленная рабочая сила продолжает расти быстрыми темпами, уход от учетных данных снижает риски безопасности.
- Инфраструктура удаленных и виртуальных рабочих столов
- Идентификация/аутентификация клиента и управление доступом: на этом направлении можно обеспечить зонтичное покрытие наиболее важных бизнес-функций бизнеса.
По данным компании Microsoft, уже около 150 млн. человек по всему миру используют беспарольные методы аутентификации, и с каждым месяцем это число растет. Число пользователей, использующих биометрические данные для аутентификации в рабочих аккаунтах в этом году увеличится вдвое. Около четверти компаний уже используют или планируют к внедрению биометрию.[8]
90% сотрудников компании Microsoft уже перешли на беспарольную аутентификацию. В результате, затраты на поддержание парольной защиты снизились на 87%.[9]
Беспарольная аутентификация бесспорно является прогрессивным шагом в вопросе обеспечения информационной безопасности, особенно в условиях новой реальности, когда удаленная работа становится новой нормой. Технологических решений этой задачи становится все больше и рынок будет только расти.
Не следует, конечно, забывать и про «побочный» эффект этого подхода – в Сети резко возрастает объем персональных биометрических данных, требующих защиты, и это приводит к качественно новым проблемам информационной безопасности, связанных с BigData.
[1] https://www.salesforce.com/products/marketing-cloud/best-practices/customer-experience-management/
[7] https://www.weforum.org/agenda/2020/04/covid-19-is-a-reminder-that-its-time-to-get-rid-of-passwords/
[8] https://www.microsoft.com/security/blog/2020/05/07/protect-accounts-smarter-ways-sign-in-world-passwordless-day/
[9] Там же