Злоумышленникам не нужно использовать сложные методы для получения доступа к корпоративным системам или развертывания программ-вымогателей – они могут просто купить или украсть учетные данные и войти в систему.
Возлагая на пользователей почти невыполнимую задачу по поддержанию “безопасных паролей”, компании в конечном итоге возлагают на людей огромный и несправедливый уровень ответственности за безопасность. В результате многие организации полагаются на то, что сводится к броску костей, чтобы защитить себя и своих клиентов от злоумышленников.
Пластыри не заделывают пулевые отверстия
Отчет о расследовании утечки данных Verizon и исследование за исследованием напоминают нам, что пароли, также известные как “общие секреты”, являются фундаментально небезопасным методом проверки подлинности пользователей и самой большой уязвимостью для организаций.
К сожалению, большинство организаций возлагают на своих пользователей бремя снижения рисков, связанных с использованием паролей: они требуют, чтобы их сотрудники или клиенты создавали более длинные / надежные пароли и часто меняли пароли принудительно.
Это не устраняет проблему и создает очень неприятный пользовательский опыт. Фактически, недавние исследования показали, что средний человек использует 100 паролей – непростая задача для любого. Неудивительно, что совершаются ошибки и возникает элемент усталости.
Более того, такой подход к безопасности означает, что пользователь также несет ответственность за сохранность всей своей личной информации, даже если нарушения безопасности означают, что миллиарды записей личных данных, включая пароли, легко доступны в темной сети.
“Надежные” пароли – это миф
Чтобы было ясно, такого понятия, как “безопасный пароль”, не существует. Злоумышленники используют методы социальной инженерии, чтобы обманом заставить пользователей передать свой пароль или внедрить вредоносное ПО для его кражи. Даже если сотрудник или клиент следует всем предоставленным советам и выбирает “длинный надежный пароль”, это не имеет значения. Этот устаревший совет основан на том факте, что более надежные пароли сложнее “взломать” (расшифровать). Вместо “взлома” паролей злоумышленники просто крадут их, когда они уже не зашифрованы. Злоумышленники развертывают вредоносное ПО на конечной точке или используют злоумышленника посередине (Методы AitM. Вредоносное ПО в равной степени способно украсть пароль из трех символов или пароли из трех тысяч символов (независимо от того, содержит он специальные символы или нет).
Таким образом, смешивание букв и символов и построение идеального пароля из двенадцати символов никак не решает проблему: существуют методы социальной инженерии и легкодоступные инструменты, которые позволяют легко украсть “надежные” пароли. Поэтому предположение, что ваша организация или ваши клиенты будут в безопасности, если будут использовать более длинные и надежные пароли, является мифом. Пока пароли используются, они будут украдены и использованы для совершения киберпреступлений во всех их формах.
Ограничения менеджеров паролей
Единственное, что может сделать конечный пользователь, чтобы частично защитить себя, – это выбрать уникальный пароль для каждой учетной записи. Это может ограничить возможности злоумышленника использовать подход с использованием пароля, т. Е. злоумышленник использует украденные учетные данные для одной учетной записи и пытается использовать их в различных других учетных записях. Этот метод часто оказывается успешным, потому что сотрудники и клиенты часто используют один и тот же пароль на нескольких сайтах.
Введите менеджеры паролей. Этот подход набирает популярность, поскольку позволяет пользователям создавать и хранить уникальные пароли для всех своих многочисленных приложений, систем и служб. Таким образом, если их пароль от Facebook украден, злоумышленник не сможет использовать его для входа в свой банк. Однако это не устраняет неизбежные недостатки подхода с использованием паролей. Это ограничивает атаки с использованием пароля, но не останавливает другие атаки, упомянутые выше.
Менеджеры паролей ничего не делают, чтобы предотвратить тактику “злоумышленник посередине” или “злоумышленник на конечной точке”. Здесь используется тот же процесс входа в систему, единственное отличие состоит в том, что пароль вводится менеджером паролей, а не пользователем, вводящим пароль. Это также ничего не делает против атаки социальной инженерии – пользователь все еще может открыть этот менеджер паролей, посмотреть пароль и передать его плохому парню.
Но у менеджеров паролей есть еще один недостаток: они сильно концентрируют риски. Поскольку все пароли пользователей хранятся в единой базе данных в облаке и на устройстве пользователя, потенциальное воздействие взлома намного больше. А менеджеры паролей защищают базу данных паролей с помощью – как вы уже догадались – пароля! Если злоумышленник сможет украсть этот основной пароль, у него будет доступ ко всем вашим паролям. Например, в декабре 2022 года был взломан менеджер паролей LastPass, при этом злоумышленники похитили, среди прочего, резервные копии данных хранилища клиентов.
В конечном счете, менеджеры паролей не обеспечивают уровень безопасности, необходимый для современной экономики подключений. Итак, какова альтернатива?
Проблема с MFA
MFA часто приветствуется как решение для уязвимости паролей. Вместо того, чтобы требовать один пароль, пользователям предлагается ввести несколько фрагментов информации для подтверждения своей личности и доступа к своим учетным записям. Однако MFA первого поколения слаб, поскольку часто добавляет еще один фактор, который легко взломать.
Например, одноразовые пароли, отправляемые по электронной почте или SMS, и волшебные ссылки легко поддаются фишингу, а push-уведомления подвергаются тактикам социальной инженерии, таким как “быстрая бомбардировка”, когда злоумышленники отправляют множество запросов пользователям, которые страдают от “усталости от нажатия”. У злоумышленников есть инструменты с открытым исходным кодом, которые позволяют чрезвычайно легко обойти MFA первого поколения, давая понять, что два слабых фактора не создают надежного решения для обеспечения безопасности.
Будущее – это MFA без пароля, устойчивый к фишингу
Для защиты учетных записей сотрудников и клиентов и снятия нагрузки с конечных пользователей требуется фундаментальное изменение подхода. Организации по всему миру прилагают согласованные усилия для внедрения технологий безопасной аутентификации следующего поколения. Многие переходят к подходам аутентификации без пароля и фишинга, которые сочетают криптографию с открытым ключом и встроенную биометрическую аутентификацию, доступную на современных устройствах. Это обеспечивает два очень сильных фактора, устойчивых к фишингу.
Решения, использующие стандарт FIDO2 (Fast Identity Online), обеспечат основу для следующего поколения MFA без паролей, устойчивых к фишингу. Решения на основе FIDO используют пароли – криптографию с открытым / закрытым ключом, которая уже глобально развернута в безопасности транспортного уровня (TLS, также известная как блокировка в браузере) для обеспечения частной связи между пользователями и веб-сайтами. Этот подход снижает риск атак “человек посередине”.
Решения, которые также гарантируют, что закрытые ключи хранятся в доверенном платформенном модуле (TPM) – международном защищенном криптопроцессоре, который встроен в современные конечные устройства, – значительно смягчают атаки “человек на конечной точке”.
Освобождая пользователей от ответственности за безопасность сайтов, служб и приложений, организации могут придать импульс трансформации самым слабым звеньям кибербезопасности. В мире, где рост цифровых сервисов, зависящих от паролей, по-прежнему сопровождается успехом злоумышленников, это беспроигрышный вариант для групп безопасности, которым приходится обеспечивать лучшую защиту, не влияя на пользовательский опыт.
Джассон Кейси, технический директор, Beyond Identity