Очевидно, что одних паролей для защиты активов, сетей, приложений и данных компании недостаточно. По данным аналитики Verizon, в 2017 году 81% утечек данных во всем мире было связано с некорректным использованием учетных данных, украденными или слабыми паролями. Количество утечек наряду с издержками компаний и последствиями этих нарушений возрастает ежегодно. Чтобы нивелировать эти риски, бизнесу ни в коем случае не стоит забывать об обеспечении безопасности своих данных.
Многофакторная аутентификация до сих пор является незаменимым элементом в современной цифровой среде. Совокупные темпы годового роста рынка аппаратных токенов составляют 8%. Аутентификация способствует повышению уровня безопасности путем объединения одного или нескольких «факторов», помогая идентифицировать человека, запрашивающего доступ, и проверить, что он является именно тем, за кого себя выдает. Эти факторы включают в себя то, что у вас есть (смарт-карта или мобильный идентификатор, хранящийся на смартфоне или другом устройстве); то, что вы знаете (например, ПИН-код), и что-то, чем вы являетесь (биометрические данные).
Все большее число компаний стремится обеспечить соблюдение регулятивных нормативов, и строгая аутентификация с журналом регистрации событий становится довольно актуальным требованием. Два ярких примера – это нормы Европейского Союза в отношении платежной директивы PSD2 для финансовых учреждений и требования к конфиденциальности Общего регламента по защите данных General Data Protection Regulation (GDPR) для граждан. Однако подобные требования касаются не только компаний Евросоюза, но и многих организаций из других частей света. Большинство компаний будут затронуты законом GDPR, а также правительственными инициативами их стран, такими как HIPAA для здравоохранения в США.
Одним из надежных методов развертывания многофакторной аутентификации для сотрудников является использование аппаратного токена. Зачастую это небольшое карманное устройство, которое вычисляет последовательность чисел, действительную в течение ограниченного промежутка времени и используемую в качестве одноразового пароля (OTP). Пользователь вводит этот код (что-то, что у него есть) плюс ПИН-код (что-то, что он знает), чтобы подтвердить свою личность для получения доступа. Фактически это значение сравнивается со значением, вычисленным на внутренней серверной платформе аутентификации с использованием тех же техник и исходных данных, включая счетчики времени и событий, ключи аутентификации и алгоритмы. Если OTP соответствует полученному значению, пользователь получает доступ, и это событие регистрируется в контрольном журнале платформы.
Аппаратные токены существует уже более десяти лет, и они по-прежнему популярны среди многих организаций. Сотрудники понимают, как ими пользоваться, а сами токены не выходят из строя долгое время. Кроме того, токены уже вышли за рамки стандартного форм-фактора в виде брелока. Сегодня существуют устройства, помещающиеся в кошелек. Они достаточно прочные для эксплуатации, и ими могут пользоваться даже люди с ослабленным зрением.
Сферы применения аппаратных токенов могут быть совершенно различными:
- Аутентификация для доступа к рабочим местам, облачным приложениям, удаленного доступа к ресурсам;
- Проведение финансовых транзакций, обновление данных, выполнение распоряжений;
- Шифрование подписи, жестких дисков, электронной почты и пр.
Далеко не все требования к аутентификации у компаний одинаковы, и многие организации ищут «компромисс» между разными типами аутентификаторов. Для удобства бизнеса сегодня на рынке существует масса разнообразных видов токенов. Среди них:
- Генераторы одноразовых паролей. OTP-токены генерируют случайный пароль, который нельзя повторно использовать. Использование этих устройств может быть частью стратегии соответствия директивам PSD2 и GDPR.
- BlueTooth токены. Эти устройства отправляют уникальный безопасный код через Bluetooth и NFC, обеспечивая простоту и безопасность использования. Помогают отвечать требованиям PSD2, GDPR и FIPS 140.
- Умные USB-токены. Поддерживают все функции смарт-карты на базе инфраструктуры открытых ключей (PKI), при этом нет необходимости использовать считыватели карт. Обеспечат соответствие FIPS 140.
Современные устройства, предлагаемые сегодня на рынке, обладают также целым рядом преимуществ:
- Безопасность. Устройства автономны и устойчивы к взлому, поддерживают несколько вариантов стандартов безопасности, такие как 3DES, OATH и FIDO.
- Гибкость. Сегодня существует множество форм-факторов токенов. Ими удобно пользоваться (одним нажатием кнопки мыши), и срок их службы является довольно длительным.
- Комплексность. Обычно предоставляется полная экосистема токенов вместе с инфраструктурой для обеспечения эффективной поддержки
- Соответствие требованиям. Многим организациям по всему миру требуется применение строгой аутентификации для обеспечения безопасного доступа и защиты конфиденциальной информации. Использование аппаратных токенов поможет обеспечить соответствие сложным нормативным требованиям регуляторных органов.
В современных динамических условиях чтобы доверять пользователям, предъявляющим свои личные данные, и эффективно управлять доступом к ресурсам, требуется комплексное решение для идентификации личности, основу которого составляет строгая аутентификация. Внедрение подобных решений позволит повысить надежность идентификации пользователей и обеспечить эффективную защиту компании от текущих и будущих угроз.
Оливье Фирион, Global Solution Marketing Director, IAM Solutions HID Global