BIP-CLUB

Беспарольное будущее

Современные компании, уделяющие должное внимание информационной безопасности, задумались о новых технологических решениях для защиты доступа к своим информационным активам. Одним из направлений для усовершенствования системы информационной безопасности может стать отказ от паролей в пользу более надежных средств аутентификации.

Почему пароли утрачивают свою актуальность в современном цифровом мире?

Для крупных компаний, особенно имеющих большую клиентскую базу, возможность быстрой идентификации и аутентификации своих клиентов без сложных процедур становится ключом к более эффективному и продуктивному взаимодействию с ними.
Получая какую-либо онлайн-услугу, пользователи, испытавшие удобство современных средств аутентификации, таких как распознавание отпечатка пальца, голоса или лица, уже имеют определенные ожидания относительно удобства и уровня получаемого сервиса, и дополнительные трудности в виде необходимости запоминать и вводить пароли могут оттолкнуть потенциальных клиентов.
По данным компании Salesforce, на современном этапе определяющим фактором для бренда компании является пользовательский опыт, а не цена или продукт - 89% компаний конкурируют между собой, главным образом, в этом аспекте.^{^[1]}
Парольная политика является весьма затратной в плане человеческих и материальных ресурсов. Согласно исследованию Понемонского института, сотрудники компаний уделяют в среднем 10 часов в год манипуляциям, связанным с паролями, в денежном эквиваленте - это более 5 млн. долларов США для компании со штатом 15 000 человек.^{^[2]}
Два с половиной месяца - это средний срок, который требуется ИТ-службам для переустановки паролей сотрудников компании, стоимость переустановки одного пароля составляет примерно 70 долларов США.^{^[3]} Согласно одному исследованию^{^[4]}, бизнесы тратят порядка 1 млн. долларов США ежегодно только на задачи, связанные с переустановкой паролей.
С точки зрения безопасности, слабая парольная политика компании является едва ли не самой распространенной причиной успешности кибератак злоумышленников. По статистике, в 4 из 5 случаев утечек данных причиной являлись слабые или украденные пароли. А средняя стоимость утечки составляет 3,92 млн. долларов США. ^{^[5]} Стоимость виртуальной пользовательской личности (со всеми ее учетными записями) составляет 1200$ в теневом сегменте Интернета^{^[6]}. Данные одного пользователя могут открыть доступ к целым системам, в том числе корпоративным, ставя под удар безопасность бизнесов, государственных учреждений, сервисов.

Беспарольная аутентификация, в свою очередь, перекроет сразу несколько векторов осуществления кибератак злоумышленниками: от кражи учетных данных до фишинга. Компании, отказывающиеся от использования паролей, снижают свою уязвимость перед возможными утечками данных.

Еще одним плюсом является взаимная совместимость аутентификационных решений, что облегчает и ускоряет организацию доступа к множественным ресурсам и услугам для пользователей. Для бизнесов и провайдеров услуг создается возможность унификации подходов, в том числе на международном уровне, что в свою очередь открывает доступ к новым рынкам и привлечению новых клиентов. С правовой точки зрения, беспарольная аутентификация облегчает совместимость с зарубежными правовыми практиками, расширяя границы для развития бизнеса.

Учитывая вышеприведенные данные, беспарольная политика поможет компаниям экономить значительные денежные и человеческие ресурсы, которые можно направить на другие задачи в рамках обеспечения общей кибербезопасности.

Всемирный экономический форум рекомендует компаниям начать переход к беспарольной политике со следующих технологических решений:^{^[7]}

- VPN / удаленный доступ: поскольку удаленная рабочая сила продолжает расти быстрыми темпами, уход от учетных данных снижает риски безопасности.

- Инфраструктура удаленных и виртуальных рабочих столов

- Идентификация/аутентификация клиента и управление доступом: на этом направлении можно обеспечить зонтичное покрытие наиболее важных бизнес-функций бизнеса.

По данным компании Microsoft, уже около 150 млн. человек по всему миру используют беспарольные методы аутентификации, и с каждым месяцем это число растет. Число пользователей, использующих биометрические данные для аутентификации в рабочих аккаунтах в этом году увеличится вдвое. Около четверти компаний уже используют или планируют к внедрению биометрию.[8]

90% сотрудников компании Microsoft уже перешли на беспарольную аутентификацию. В результате, затраты на поддержание парольной защиты снизились на 87%.[9]

Беспарольная аутентификация бесспорно является прогрессивным шагом в вопросе обеспечения информационной безопасности, особенно в условиях новой реальности, когда удаленная работа становится новой нормой. Технологических решений этой задачи становится все больше и рынок будет только расти.

Не следует, конечно, забывать и про «побочный» эффект этого подхода – в Сети резко возрастает объем персональных биометрических данных, требующих защиты, и это приводит к качественно новым проблемам информационной безопасности, связанных с BigData.

^{^[1]} https://www.salesforce.com/products/marketing-cloud/best-practices/customer-experience-management/

^{^[2]} https://www.yubico.com/wp-content/uploads/2019/01/Ponemon-Authentication-Report.pdf

^{^[3]} https://www.weforum.org/agenda/2020/01/4-reasons-passwords-are-becoming-a-thing-of-the-past/

^{^[4]} https://blog.lastpass.com/2018/05/new-forrester-report-real-cost-password-risks.html/

^{^[5]} https://databreachcalculator.mybluemix.net

^{^[6]} https://www.nbcnews.com/tech/security/your-identity-sale-dark-web-less-1-200-n855366

^{^[7]} https://www.weforum.org/agenda/2020/04/covid-19-is-a-reminder-that-its-time-to-get-rid-of-passwords/

[8] https://www.microsoft.com/security/blog/2020/05/07/protect-accounts-smarter-ways-sign-in-world-passwordless-day/

[9] Там же