Як забезпечити IT-безпеку без паролів?

Авторизація – ключовий аспект захисту програми та даних. Паролі стали давно звичним інструментом для надання захищеного доступу до ІТ-ресурсів. Вони застосовуються повсюди, и особливо в онлайн-сервісах. Електронна пошта, корпоративний документ, бухгалтерські та юридичні програми, база даних, спеціальні облікові системи, чати, електронні системи бронювання, оплата – всюди отримання доступу для користувача починається з вводу пароля. А захист з точки зору адміністратора, відповідно, включає процедуру призначення та підтвердження паролів.  Ця практика відпрацьована роками. В чому ж проблема?

Паролі не тільки захист але і загроза

Вже не перше десятиліття на електронну пошту співробітників практично кожної організації – чи то крупний, середній чи малий бізнес – щоденно приходять десятки листів від інтернет-шахраїв, ціллю яких є конфіденційні дані і в першу чергу паролі. Методи, що використовуються хакерами для введення в оману користувачів, можуть бути самими різноманітними: від вставки в тіло листа посилань на хибні web-сторінки, що маскуються під корпоративний ресурс, до файлів, при відкритті яких встановлюється програма, що записує послідовність натискання клавіш.

Крім зовнішніх атак не є рідкістю, коли пароль записаний на листочку чи моніторі «щоб не забути». Точно так само, як поруч з кодовими замками від під’їздів часто можна знайти «секретні» цифри – доступ до куди більш серйозних об’єктів і сховищ у великій організації можна отримати, просто уважно озирнувшись. Іноді справді маркером на стіні написано, в деяких випадках прийдеться поритись в корпоративному форумі чи файловому архіві.

Так чи інакше, сумний факт в тому, що наявність паролів цілковито не гарантує захист. Їх можуть піддивитись, виманити «соціальними» або «хакерськими» способами, а також продати, передати випадково. В результаті отримується, що співробітники наражають своїх роботодавців на фінансові та репутаційні ризики просто тому, що не володіють елементарними знаннями про правила інформаційної безпеки при роботі з комп’ютером, або нехтують ними.

Крім ризику потрапляння в руки шахраїв, у паролів є ще одна неприємна властивість – їх можна забути. Нічого не вкрадено, не підглянуто і не скопійовано, але шкода нанесена. Якщо співробітники не змогли отримати віддалений доступ до корпоративної пошти чи другим ресурсам, задачі в кращому випадку відкладені, а в гіршому – зірвані. Це стосується презентацій у клієнтів, угоди на виставках, будь-якої роботи на виїзді, дома, в дорозі. Напевно багато хто стикався і з тим, що новим співробітникам доступ надається не моментально, спочатку вони тиняються по офісу без діла. Все це пов’язано з відсутністю паролів.

Двофакторна авторизація

Одним з рішень перерахованих проблем служить додаткове програмне забезпечення, яке виконує функції посередника між користувачем і корпоративними онлайн-ресурсами. Ключом доступу стає телефон з додатком для двофакторної авторизації. При спробі входу на захищені сайти на екрані комп’ютера і на телефоні з’являються однакові картинки. Якщо картинки співпадають, користувач натискає «Так» на своєму мобільному пристрої і … все, доступ отримано. Без паролів, токенів, SMS з кодами (без мам-пап, без кредитів) – просто натисканням однієї кнопки.

З точки зору користувача авторизація здійснюється без пароля. Його не потрібно вводити – а це означає, не потрібно зберігати. Немає необхідності записувати. Не вийде забути, втратити, передати комусь спеціально чи помилково. Це зручно, економить час, нерви та спрощує життя.

Адміністраторам корпоративних ІТ-ресурсів таке рішення також спрощує життя і, більш того, розширює можливості по розмежуванню та управлінню доступом. Можна створювати надійні паролі з багатьма цифрами і спеціальними символами – абсолютно нечитабельні, без шансів на запам’ятовування користувачами – зате системі двофакторної авторизації використовувати довгі паролі ніяких труднощів не складе. Не потрібно створювати однакові паролі для різних програм і сервісів, а також не доведеться остерігатись того, що користувачі самі назначать їх собі. Взагалі ніякої самодіяльності з боку користувачів більше немає, все управління доступом здійснюється, як і потрібно, тільки з адміністративної частини ІТ-систем. При чому не доведеться пересилати паролі по незахищеним каналам зв’язку, роздруковувати на папірцях з багатьма знаками оклику і загрозами «після прочитання з’їсти» – користувачі взагалі паролів не бачать.

Керівників бізнесу порадує швидкість, з якою можна надати доступ новому співробітнику, тимчасовим учасникам проектних офісів, мобільних робочих груп, партнерам, клієнтам, постачальникам – вибірково, тільки потрібні права, ніяких зайвих. Достатньо вказати, що кому має бути доступно, адміни підключать відповідні смартфони в матриці доступу, поставлять галочки – і через декілька хвилин можна починати працювати. Що не менш приємно, зворотна процедура виконується теж просто та оперативно: видалити комусь доступ до однієї папки чи до всіх ресурсів компанії – діло декількох хвилин.

Ключі на годину

Останній момент, про тимчасові рамки дії паролів, дуже важливий і вартий окремої згадки. Час – гроші, як відомо. В тому числі це стосується надання та обмеження доступу. Часто зміна паролів запізнюється або і зовсім не проводиться після звільнення співробітника, завершення співробітництва і проектів. Паролі «розповзаються» по людям і організаціям, для захисту від яких вони спочатку, як не парадоксально, створювались. Наприклад, невдоволений колишній співробітник може влаштуватися до конкурента (що навіть логічно, враховуючи достатньо вузькі професіональні ніші для багатьох спеціальностей). Якщо доступ до всіх без виключення онлайн-ресурсів на минулому місці роботи не був закритий відразу, можна тільки здогадуватись про те, які можливості для зловмисника відкриті і як ними скористуються.

Інша крайність – перестраховка. Коли в компанії для отримання кожного пароля потрібно пройти сім кругів пекла, писати пояснення, приносити документи, завіряти їх на різних поверхах, когось просити і умовляти – простіше взагалі не братися за «зайві» задачі. Крім того, обстановка тотальної недовіри вбиває лояльність. Який сенс в тімбілдінгах і корпоративах, якщо не можна зайти із дому на власну робочу пошту? Тут збиток може бути менш затратним, але в кінцевому рахунку виявитись набагато вищим, ніж від будь-якого несанкціонованого доступу. Тому можливість швидко, на льоту надавати і гнучко змінювати права доступу – універсальна. Користь та економічний ефект від неї далеко виходить за рамки ІТ.

Часто один і той самий пароль потрібно надати різним співробітникам. Наприклад, це дуже розповсюджено у відділах маркетингу, де декілька співробітників можуть вести корпоративний Twitter, або в комерційних справах, де для всіх продавців створено загальний поштовий ящик, або в службі підтримки, де відразу декільком співробітниками може знадобитись доступ до сайту сервісу з прийому платежів від клієнтів і т. п. Деякі із співробітників в штаті, інші на аутсорсі. Доступ ж потрібно надати, і обмежити, то знову надати – але в іншій конфігурації. В рамках «традиційних» методів надання паролів забезпечити справжній захист в такій ситуації практично неможливо. Всі знають, до чого це приводить: половина власників старих паролів у відрядженнях, відпустках чи інших офісах, тому «замінити оптом» неможливо, а задачі горять, тому ось всі паролі звичайною поштовою розсилкою, користуйтесь на здоров’я і роздавайте далі кому хочете.

Двофакторна авторизація усуває такі ситуації. Легко створити електронні ключі хоч на день, хоч на годину, надати їх сотні учасників, а потім «оптом» відмінити або перелаштувати, ніяк не вплинувши на зручність роботи інших співробітників.

Чи безпечна двофакторна безпека

Звучить підозріло добре, в чому ж підступ? Наприклад, що буде, якщо телефон викрадуть? По-перше, на мобільних пристроях зазвичай є свої контури захисту: пін-код, автоблокування, іноді навіть аутентифікація за відбитком пальця чи голосом. По-друге, в тому й перевага двофакторної безпеки, що навіть якщо зловмисник тримає в руках неважливо яким чином добутий телефон з кнопкою «Так» на екрані – захист комп’ютерів звичайними методами ніхто не відміняв. В кожній компанії, яка піклується про інформаційну безпеку, прийнято, щоб співробітники блокували свої комп’ютери, відходячи від свого робочого місця.

Важливо також відмітити, що системи двофакторного захисту не зберігають паролі на комп’ютерах цілком. Кожен пароль складається із двох частин: половина в браузері, інша – на сервері розробника додатку. Тобто, насправді тут не дві, а три точки захисту: браузер, телефон та сервері. Вони всі мають «погодився» з тим, що пароль має бути розшифрований, тільки тоді відбувається вхід в обліковий захист. Це достатньо надійно.

Технологія «єдиного входу» (SSO – Single Sign-On) використовується найбільшими онлайн-сервісами, такими як Google Apps, DropBox, Salesforce, Zendesk, Zoho і багато інших. Це не новинка, а цілком складений та перевірений часом спосіб для підвищення онлайн-безпеки.

Спеціалісти компанії MO Group добре знаються на впровадженні двофакторного захисту для робочих місць та повністю погоджуються з тим, що наразі це один з найкращих способів внутрішнього захисту для компаній. Наші фахівці можуть проконсультувати Вас з усіх питань, що стосуються двофакторної авторизації, провести тестування та проінформувати з приводу цін і терміну виконання робіт.

Замовити консультацію

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

 

Об авторе: Alyona

оставьте ответ

Ваш электронный адрес не будет опубликован.