Отказ от паролей в компании: как изменить привычки пользователей

Текущее положение дел

Хотя в Gartner уже давно (с 2019 года) предсказывают отказ от классических паролей на предприятиях, внедрение беспарольной аутентификации явно пробуксовывает. Например, по данным недавнего исследования «Лаборатории Касперского», меньше трети опрошенных корпоративных пользователей полностью перешли на беспарольную аутентификацию.

Зачем вообще отказываться от паролей?

Главная причина, по которой больше нельзя полагаться на «статические», постоянные пароли – это привычки пользователей. По разным оценкам, сейчас средний корпоративный пользователь должен помнить несколько десятков паролей. Причем эти пароли должны быть всё сложнее, ведь возможности злоумышленников растут: появляются новые виды атак, увеличился объем баз украденных паролей (значит, поиск по словарю стал результативнее), выросли вычислительные мощности компьютеров (так что теперь можно находить перебором за разумное время даже длинные пароли).

Но люди-то не меняются, мы любим экономить мыслительные затраты и «срезать углы», обходя установленные правила. Вот самые распространенные «вредные привычки» при работе с паролями:

• использовать один и тот же «любимый» пароль для разных учетных записей (хуже того, выбирать пароли от личных учеток для учеток корпоративных);
• выбирать тривиальные пароли типа 123456;
• делиться своими паролями с коллегами (так что потом и не установить, кто входит под учетной записью);
• записывать пароли в укромных, но хорошо известных всем нам местах (типа обратной стороны клавиатуры или ящика стола);
• сохранять пароли в приложениях или браузерах (так что любой, кто войдет в компьютер, получит доступ и к корпоративным системам).

Конечно, против этих привычек придумали технические (парольные политики) и организационные меры, но не всегда и не везде они работают, плюс люди очень изобретательны и находят пути для их обхода. Вот почему радикальный способ борьбы с такими привычками – это отказ от паролей, внедрение беспарольной аутентификации.

Что такое беспарольная аутентификация?

Такая, при которой не используется «классический» пароль как фактор проверки. В широком смысле – если вообще нет никаких постоянных паролей. В узком смысле – если пользователь сам не вводит доменный пароль.

Дело в том, что в современных инфраструктурах доменные учетные записи стали критическим ресурсом, поэтому важно защитить их от самих пользователей. Стала распространяться практика «прятать» доменные пароли от пользователей. В свое время компания Microsoft потратила немало усилий, разъясняя преимущества ПИН-кодов устройств перед доменными паролями и доказывая, что такая замена повышает безопасность.

Чем можно заменить пароли?

Другими технологиями, основанными на знании (например, ПИН-коды устройств или графические пароли), владении каким-то устройством или телефоном/адресом (ключи безопасности, одноразовые пароли, SMS-ки, пуш-уведомления на мобильные устройства или в мессенджеры), биометрии (отпечаток пальца, лицо, сетчатка или радужка, голос и другие). Поведенческие факторы, такие, как место и время, устройство, паттерны взаимодействия с компьютером и с сетью и тому подобное, хотя и не относятся к классическим трем факторам аутентификации, тем не менее часто используются в дополнение к ним.

Поддержка этих технологий иногда встраивается прямо в приложения, иногда – в клиентские устройства, а иногда в специализированные программные комплексы для многофакторной аутентификации, причем у последнего варианта есть заметные преимущества в крупных корпоративных внедрениях.

Так ли это просто?

На пути внедрения беспарольной аутентификации есть технические преграды. Не все приложения или устройства могут обойтись без пароля. Например, если они используют локальную базу паролей (как ни странно, это до сих пор встречается, например, в VPN-серверах), или проприетарные технологии (типа фирменного агента аутентификации) вместо одного из стандартных сетевых протоколов внешней аутентификации.

Иногда спасают ухищрения и трюки: переопределить поля для ввода пароля, перехватывать и перенаправлять вызовы приложений и сетевой трафик и так далее. Понятно, что удобства для пользователей и простоты в развертывании и сопровождении решений это не прибавляет.

А что думают сами пользователи?

Но, похоже, внедряя эти методы, мы слишком сильно концентрируемся на их функциональных характеристиках, на формальной стойкости и сложности реализации, на требования к вычислительным ресурсам, но забываем посмотреть на процесс глазами пользователя, учесть его психологию.

Переход на беспарольную аутентификацию у многих может вызвать стресс и дискомфорт, ведь люди не любят менять свои привычки, даже если это привычки вредные. Да, пользователи не любят постоянные пароли за то, что их много, что их приходится придумывать сложными, помнить и регулярно менять.

Но они не любят и одноразовые пароли за то, что их нельзя сохранить в системе, и нужно вводить каждый раз, причем вводить быстро: не все успевают запомнить и ввести код, если времени до смены кода осталось немного. Аппаратные ключи безопасности не любят за то, что их можно подключить не везде, что их легко забыть дома или потерять, а перевыпуск ключа – это дольше и серьезнее, чем сброс забытого пароля.

Биометрию – за слабость существующих технологий перед подделками, невозможность перевыпуска при компрометации, за неудобства при неконтролируемых изменениях биологических характеристик (поранил палец, и ты не можешь войти в систему). Ну а что касается многофакторной аутентификации, то людей раздражает необходимость пройти сразу несколько проверок (особенно когда до этого входили по сохраненному где-то в системе паролю).

Как внедрять беспарольную аутентификацию?

Мгновенный и тотальный переход на беспарольную аутентификацию чаще всего невозможен, поэтому можно порекомендовать следующее:

• выяснить, какие из используемых приложений, устройств и сервисов уже поддерживают беспарольную аутентификацию «из коробки», а если нет, то какие у их вендоров планы в этой области и какие «костыли» для подключения беспарольной аутентификации можно использовать (например, LDAP-прокси для приложений, которые поддерживают только LDAP-аутентификацию);
• выбирать для новых внедрений только те продукты, в которые встроена беспарольная аутентификация или которые поддерживают хотя бы один из стандартных протоколов внешней аутентификации (тот же RADIUS, или SAML, или OpenID Connect);
• применять удобные для пользователей, но при этом стойкие методы аутентификации (например, пуш-уведомления на мобильные устройства);
• назначить группу пользователей, которые будут… нет, не подопытными кроликами, а пионерами в использовании беспарольной аутентификации на предприятии.

Автор: Михаил Рожнов, технический директор компании MFASOFT.