Пароли: прошлое и настоящее
Пароли ранее считались адекватной формой онлайн-аутентификации, но теперь широко признаны ненадежными. Они оставляют пользователей уязвимыми для современных кибератак, таких как фишинг. Даже самые сложные пароли могут быть угаданы, украдены или перехвачены. Попадание пароля в руки злоумышленников позволяет им легко обойти старые методы многофакторной аутентификации (MFA) и получить доступ к личной информации.
Организации осознают риски, связанные с использованием только паролей для защиты онлайн-аккаунтов, и ищут способы улучшить свою киберустойчивость. В последнее время был достигнут определенный прогресс: правительство Великобритании недавно ввело регуляции, направленные на защиту потребителей от взломов. Например, производителям умных устройств теперь запрещено устанавливать слабые пароли по умолчанию, такие как «12345».
Хотя это значительный шаг вперед, нужно сделать больше, чтобы достичь настоящей киберустойчивости и защиты от фишинг-атак. На сегодняшний день фишинг является причиной более 80 процентов успешных кибератак, которые начинаются с кражи учетных данных.
Будущее без паролей с помощью ключей доступа
Пароли, основанные на запомненных секретах, нуждаются в более надежной альтернативе. Распространение ключей доступа является важным шагом вперед для технологии аутентификации. Обычно ключи доступа хранятся на устройствах, таких как телефоны или компьютеры, или на защищенных от фишинга аппаратных ключах безопасности. Используя асимметричную криптографию, каждый ключ состоит из публичного и приватного ключей, связанных сложными математическими формулами. Публичный ключ хранится на сайте или в приложении, а приватный — безопасно на устройстве пользователя.
Применение ключей доступа и защищенной от фишинга MFA критически важно для надежной защиты от сложных киберугроз. Эти ключи обеспечивают надежную защиту от удаленных атак, делая физический доступ к устройству обязательным для аутентификации. В условиях, когда 91 процент кибератак начинается с фишинга, такие методы аутентификации подчеркивают необходимость окончательно отказаться от паролей.
Основные шаги по развитию фишинг-устойчивых пользователей
Организации должны делать больше, чем просто внедрять правильные инструменты безопасности для поддержания высокого уровня защиты и полной ликвидации фишинг-атак. Исторически предприятия стремились предотвратить фишинг в момент аутентификации, но внедрение новых методов фишинг-устойчивой аутентификации означает, что учетные записи пользователей становятся частично фишинг-устойчивыми.
Риски фишинга увеличиваются по мере перехода пользователей между платформами и устройствами, а также использования личных и корпоративных приложений. Многие традиционные методы аутентификации могут быть подвержены фишингу, и платформам и предприятиям необходимо улучшать процедуры выдачи учетных данных, регистрации устройств и входа в системы ключей доступа.
Часто при добавлении новых пользователей или восстановлении учетных записей предприятия вынуждены временно прибегать к менее безопасным способам регистрации и восстановления паролей. Этот гибкий подход создает уязвимости для фишинговых атак и затрудняет постоянную защиту систем и данных организаций.
Выводы
Ключ к защите пользователей — это разработка фишинг-устойчивых пользователей. Это проактивная стратегия, направленная на устранение всех фишинговых событий на протяжении всего жизненного цикла пользователя. Организации должны обеспечить использование фишинг-устойчивой MFA и установить процедуры надежной регистрации учетных записей и восстановления для всех пользователей.
Фишинг-устойчивость в регистрационных, аутентификационных и восстановительных процессах важна для создания защищенных пользователей. Это повышает киберустойчивость, снижает зависимость от реактивных мер и эффективно защищает чувствительные данные и операции. Начав использовать современные аппаратные ключи безопасности, можно навсегда попрощаться с паролями и другими слабыми методами аутентификации.
Источник: TechRadar
