Руководители служб безопасности во всем мире склонны разделять многие, если не все, схожие проблемы в своих организациях. От необходимости иметь дело с исправлениями, брандмауэрами, сегментацией сетевой зоны накопленного долга безопасности. Проблемы повторяются в каждой отраслевой вертикали с тревожной последовательностью. Часто руководители службы безопасности оказываются одинокими фигурами, пытающимися ориентироваться в корпоративном мире с преданностью своей миссии, которую они несут перед лицом огромных препятствий. Это способ.
Как специалисты по безопасности, мы несем фидуциарную ответственность за защиту пользователей, устройств и приложений, которые в сочетании с интеллектуальной собственностью ставят под угрозу рабочее место, персонал и рабочую нагрузку в организации. Сюда входят данные, которые организация собирает и использует в ходе своей коммерческой деятельности. Обеспечение безопасности компании - это постоянно развивающаяся цель, и у злоумышленников есть неудачная предрасположенность передвигать стойки ворот.
Пароли - отличный пример контроля безопасности, который изжил свой срок службы. Я часто провожу аналогию с ключом от дома. Конечно, вы можете использовать его, чтобы запереть входную дверь, но если кому-то из гнусных людей удалось найти этот ключ, нечего сказать, кто должен или не должен проходить через входную дверь. В этом и заключается загвоздка. К счастью, есть технологии, которые могут облегчить стресс от попыток справиться с бесчисленным множеством угроз, которые выстраиваются перед нами.
Переход к аутентификации без пароля
Давайте посмотрим на естественное развитие жизни. Мы рождены в этом мире, мы ползаем, затем учимся ходить и, наконец, бегать. Как и в случае с безопасностью, существует элемент роста, который необходимо улучшать по мере роста и развития нашей отрасли. Преступные злоумышленники в прошлом взламывали веб-сайты, чтобы завоевать доверие среди своих сверстников. Теперь мы перенесемся в наши дни и увидим, что криминальный элемент сам по себе превратил этот набор навыков в крупное денежное предприятие.
Теперь, когда мы применяем концепцию цикла продвижения вперед к защитной стороне уравнения, мы можем рассмотреть пароли в качестве примера. Двигаясь вперед, мы можем научить людей пользоваться менеджером паролей. Это поможет лучше защитить учетные данные конечных пользователей таким образом, чтобы снизить риск небезопасного хранения статических паролей. Следующим шагом является переход к многофакторной аутентификации (MFA). У нас есть варианты, от технологии push до биометрической аутентификации и т. Д.
Но как насчет будущего? Пару лет назад Консорциум World Wide Web опубликовал стандарт WebAuthn. Это была первая реальная ставка на будущее беспарольной аутентификации.
Чем не является аутентификация без пароля
На рынке существует большая неразбериха относительно того, что и что не является паролем. В качестве примера я видел случай, когда один поставщик позиционировал QR-коды как беспарольные. Это примерно так же точно, как вызов двухфакторной аутентификации по имени пользователя и паролю. Промышленность должна быть уверена, что не мутит воду.
Иными словами, аутентификация без пароля - это метод, с помощью которого пользователь может войти в систему без необходимости вводить пароль. WebAuthn - один из основных компонентов проекта FIDO2. Проще говоря: у нас есть веб-сайт, веб-браузер в качестве клиента и аутентификатор, совместимый с WebAuthn. Это построено на открытых стандартах и поможет сформировать будущее наших методов аутентификации.
Как и в любом другом путешествии по обеспечению безопасности, мы извлекаем уроки по дороге. Мы улучшаем нашу защиту и работаем, чтобы не отступать от миссии. Обязательно просмотрите это пространство, чтобы узнать больше о беспарольной аутентификации в ближайшие недели. Будущее без паролей дает нам новую надежду на защиту наших систем. Это способ.
