Майбутнє без паролів: шлях до безперешкодної автентифікації за допомогою Cisco Duo Passwordless

За матеріалами Ребеки Теран (Rebeca Terán) blogs.cisco.com

Так команда змогла усунути фішингові ризики багатофакторної автентифікації, збільшити зручність використання, зменшити кількість дій з автентифікації на 93% та захистити своїх працівників незалежно від місця перебування.

Коли під час пандемії більшість працівників Cisco були змушені працювати дистанційно, у компанії впровадили рішення Duo Beyond і перейшли від традиційної моделі мережевого периметра та VPN до концепції нульової довіри. Так користувачі могли безпечно виконувати свою роботу будь-де та з будь-якого пристрою.

Зараз ідентифікація — це перша лінія захисту від кіберзагроз. З огляду на те, що більшість витоків даних відбувається через слабкі або викрадені облікові дані, очевидно, що майбутнє вимагає безпарольної автентифікації.

Проблема з паролями

Якщо говорити коротко, то паролі — це легка мішень для хакерів. Колись вони були золотим стандартом захисту конфіденційної інформації, але зараз цей підхід застарів і в умовах мінливого ландшафту загроз став небезпечним. Паролі дуже вразливі до фішингових атак, легко забуваються і часто призводять до розчарування користувачів, що збільшує кількість звернень до ІТ-команд.

Втомлені від постійного вводу паролів, користувачі схильні використовувати слабкі, повторювані або лише злегка змінені комбінації символів для різних облікових записів. Належне управління паролями — це складне завдання, і до використання Duo Passwordless ІТ-відділ Cisco намагався впоратися з цими проблемами, які виникали у величезному колективі компанії (понад 130 тисяч користувачів).

Оскільки Cisco — велика корпорація, компроміс у безпеці може мати значний вплив на бізнес та інновації. Якщо зловмисники отримають конфіденційну інформацію, це поставить під загрозу не тільки компанію, але й її клієнтів, що покладаються на фірмові технології. Тому підхід до автентифікації потрібно було змінити насамперед для того, щоб зменшити ризики безпеки, пов'язані з паролями.

Паролі — це легка мішень для хакерів
З огляду на те, що більшість витоків даних відбувається через слабкі або викрадені облікові дані, очевидно, що майбутнє вимагає безпарольної автентифікації

Традиційної багатофакторної автентифікації (MFA) замало

Автентифікація еволюціонувала в міру того, як кіберзлочинність ставала дедалі досконалішою. Усе почалося з методу Something you know («Щось, що ти знаєш»), тобто з імені користувача та пароля. Далі з’явилася мультифакторна автентифікація (MFA), яка поєднує Something you know із Something you have (тобто «те, що ти знаєш» із «тим, що ти маєш»), наприклад, пристроєм або відбитком пальця. Однак пара «ім’я-пароль» у цьому методі — це вразлива ланка.

Перехід до безпарольного доступу: фокус на безпеці й зручності

Щоб застосувати ефективний підхід, заснований на нульовій довірі, який не лише підвищить безпеку, а й покращить зручність користування, у компанії впровадили технологію Duo Passwordless. Йшлося не лише про поліпшення безпеки, а й про створення безперебійного механізму, який би краще служив клієнтам і працівникам як зараз, так і в майбутньому.

Нагадаємо, що Cisco Duo Passwordless — це інноваційна технологія, яка дозволяє користувачам автентифікуватися в програмах і сервісах без використання традиційних паролів. Замість цього вона застосовує надійніші та безпечніші методи автентифікації, серед яких біометрія, ключі безпеки або мобільні пристрої як ключі, що забезпечує простіший та безпечніший процес входу. Cisco Duo Passwordless часто інтегрована з Duo Single Sign-On (SSO), використовує криптографію з відкритим і закритим ключем, щоб створити стійку ідентичність користувача та пристрою, значною мірою зменшуючи ризик фішингових атак.

Хоча технологія Duo Passwordless — це один із типів MFA (мультифакторного доступу), однак вона робить крок уперед і об'єднує весь процес в один етап, забезпечуючи користувачу більшу зручність. Вона покладається на криптографічні пари публічних і приватних ключів, використовуючи біометричні дані (наприклад, відбитки пальців чи розпізнавання обличчя) або ключі безпеки (як YubiKeys) для автентифікації користувачів без необхідності застосування паролів.

Вдосконалення Duo

Використовуючи багатоетапний підхід, у Cisco почали реалізацію проєкту з невеликої групи ІТ-фахівців служби безпеки, покращуючи продуктивність і функціональність за допомогою зворотного зв'язку, а протягом наступних 10 місяців поступово розширили його й охопили повний склад команди. Знання, отримані від перших пілотних груп, і розуміння того, як це вплине на різних користувачів, допомогли сформувати загальний підхід до інформування працівників про зміни.

Виклики та отримані уроки

Хоча повне розгортання рішення продемонструвало високий рівень органічної залученості працівників, все ж у процесі впровадження виникли певні труднощі. Багато працівників повідомляли про початкові побоювання щодо використання біометрії. Наприклад, користувачі Windows Hello, які за замовчуванням не входили в систему з біометричними ідентифікаторами, просто не знали, як їх налаштувати. Поки їм не було сказано про це спеціально, вони не усвідомлювали, що біометрія — це одна з доступних їм опцій.

Щоб виправити цю ситуацію, у компанії зосередилися на навчанні працівників щодо того, як використовуються біометричні дані, де вони зберігаються, а також на важливості переходу на безпарольні системи автентифікації.

Важливо зазначити, що спочатку в компанії не вимагали переходити на безпарольні системи. Заохочення працівників до поступового переходу й змін було викликане прагненням забезпечити найкращий користувацький досвід, тобто нові технології діяли як магніт для впровадження, а не як припис. Але потім для певних застосунків у Cisco почали впроваджувати режим «Тільки без пароля». Повільний, але добровільний перехід уможливив органічне впровадження й допоміг людям звикнути до нової технології ще до того, як її зробили обов'язковою.

Вплив: більш безпечна й продуктивна робоча сила

Після того, як рішення без паролів стало доступним для всіх працівників, у Cisco підбили підсумки й виявили значні переваги нової технології, зокрема:

• нуль інцидентів безпеки, пов'язаних з паролями;
• безпроблемний досвід роботи для понад 130 тисяч працівників з безпечним доступом по методу нульової довіри;
• покращена зручність використання й продуктивність, зменшення кількості дій для автентифікації на 93%;
• підвищена безпека за рахунок усунення фішингових факторів MFA;
• значне скорочення часу й витрат на ІТ завдяки зменшенню кількості проблем, пов'язаних із паролями.

Майбутнє: постійні інновації та розширення

Хоча до повного переходу галузі на безпарольну автентифікацію ще потрібно здолати довгий шлях, у компанії прагнуть насамперед пом'якшити потенційні загрози для бізнесу, що можуть виникнути в майбутньому. Підготовка до повністю безпарольного майбутнього — це процес, який вимагає постійної роботи та вдосконалення:

1. Покращення безпеки та зручності для працівників. Проєкт розпочався з впровадження Duo Beyond і продовжується з Duo Passwordless, що є основою поточного переходу на Cisco Secure Access у межах Cisco IT. Безпека ідентифікації — це основа для доступу з нульовою довірою, адже Duo — це значно більше, ніж просто MFA.
2. Зміцнення й розвиток архітектури нульової довіри. Успішне впровадження рішень Duo разом з останнім випуском Cisco Secure Access відкриває шлях до ще більш успішних результатів застосування технології нульової довіри та ідентифікації в межах Cisco SSE.

Дізнайтеся більше про рішення Cisco Duo Passwordless від офіційного дистриб'ютора Cisco в Україні — Мегатрейд, cisco@megatrade.ua (044) 538–00–06.

Модернізація локальної мережі — вирішальна для розвитку бізнесу

Безпека та ШІ: як керувати безпекою та ризиками на платформі Robust Intelligence

Керована безпека сприяє досягненню бажаних бізнес-результатів