Вход без пароля

Проблема уязвимости парольной аутентификации становится все острее для ИБ- сообщества. Так, в поисках ее решения компания Google организовала интересную акцию, выпустив и отправив 10 000 пользователям аппаратные токены Google Titan Keys для двухфакторной аутентификации в своих системах. Токен представляет из себя ключ Security Key от Yubico, работающий по стандартам FIDO U2F и FIDO2. 

Акция осуществляется в рамках программы Advanced Protection Program (APP). В нее входит не только реализация многофакторной аутентификации, но и дополнительное сканирование вложений перед скачиванием, ограничение установки приложений только из официальных источников.

К слову, аутентификация с использованием устройства пользователя в роли второго фактора давно поддерживается системами Google.  В рамках программы теперь можно подключить любой аппаратный ключ, поддерживающий стандарт FIDO. А сам ключ Security Key от Yubico может, в свою очередь, использоваться в сервисах Facebook, Gmail, GitHub, Dropbox, Dashlane, LastPass, Salesforce, Duo, 1Password, AWS, Binance и др. Чем еще интересен ключ Security Key от Yubico – это использованием человеческого пальца в роли электропроводника, что исключает вариант удаленной программной подделки.

Многофакторная аутентификация (далее – MFA) значительно снижает риски нелегитимного использования учетных записей, в том числе эскалации привилегий и атак типа credential stuffing. Действительно, если пароли, не удовлетворяющие требованиям сложности, легко подбираются, а удовлетворяющие – сложны для запоминания и тем более частой смены, то с вариантами использования других факторов аутентификации эти проблемы становятся неактуальными. С менеджерами паролей ситуация также не оптимистичная: они подвержены взломам (примером служит инцидент этого года с Click Studios Passwordstate), а генераторы паролей ввиду их технической реализации – прогнозированию. 

MFA предоставляет гибкие варианты по аутентификации вплоть до полного отказа от пользовательских паролей, например, генерацией одноразового пароля в приложении или отправкой SMS-push на телефоны пользователей в сочетании с биометрической аутентификацией. Вариантов многофакторной аутентификации достаточно много, а система управления правами доступа позволит упростить контроль предоставления и мониторинга доступа сотрудников к конфиденциальным ресурсам.

Эксперты группы компаний Angara помогут проработать удобные для вас варианты в рамках услуги по внедрению системы беспарольной аутентификации и помогут встроить в вашей инфраструктуре гибкие варианты MFA и управлению правами доступа.

По всем вопросам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах