Безудержный прогрессивный рост корпоративных систем и сетей обострил в последние месяцы процессы оптимизации затратной части на обслуживание их деятельности.
Как ни парадоксально, исследования в этой части показывают, насколько стабильно положение в недостаточном уровне образованности сотрудников компаний в компьютерной безопасности.
Согласно исследованиям компании менеджера паролей LastPass Research, средний пользователь использует в повседневном обиходе (мобильные приложения, сайты, доступ к рабочему окружению) порядка 190 паролей, что является достаточно внушительной цифрой – то есть однозначно вряд ли хоть один из 10 000 человек сможет все их запомнить, согласно официальным требованиям, не записывая и не пользуясь специальной программой…
Понятно, что пароли достаточно легко компрометируются и сложно управляемы при большом количестве сотрудников; двойная аутентификация, с развитием сетей 5G и потенциально небезопасными протоколами связи также несёт в себе дополнительные риски, которые будут реализованы в ближайшее время при достаточном охвате мобильной сети по новым стандартам.
Duo passwordless authentication, которую предлагает к внедрению Cisco, будет проходить тестирование в течение этого года.
Сама суть технологии в том, чтобы отказаться от паролей, занимающих, согласно исследованиям Gartner, от 25 до 50% рабочего времени сотрудников IT-отделов в крупных компаниях: генерирование, замена, отслеживание – до половины всех заявок занимают проблемы, связанные с аутентификацией рабочих мест и доступа к специальному программному обеспечению.
Так как Cisco продвигает регламент нулевого уровня доверия в сети, то сама идея технологии WebAuthn, заключающаяся в создании индивидуальных сертификатов при несимметричном шифровании и реализованная на уровне API для каждого приложения и подключения – причём с любого устройства и места – достаточно интересна.
То есть повысить привилегии при даже получении доступа к одному компоненту сети становиться в разы сложнее, сертификат будет действовать строго в рамках доступа; таким образом, при реализации атак усложнение возрастает в геометрической прогрессии, с учётом их многоуровневости и необходимости расчёта на протяжении достаточно длительного промежутка времени, за который сертификат вполне может потерять актуальность, а таких там будут десятки…
Самый важный момент в этой технологии – использование для сертификатов аппаратных модулей безопасности, например, встроенных в новые процессоры Apple T2, или других производителей, что позволит обмениваться публично-частными ключами и хранить их локально; для других же открытый ключ бесполезен без его второй части, хранящейся, по сути, в криптоконтейнере модуля безопасности устройства, реализованном аппаратно.
То есть на уровне Apple ID, а также Windows Hello и других – поддержка такого варианта будет крайне интересной, и соединение, особенно в перспективе виртуальных облачных корпоративных сетей – приобретает новый уровень серьёзной защиты.
