Jak klucze pomagają wyeliminować problemy z zarządzaniem hasłami

W wywiadzie dla Help Net Security David Cottingham, prezes… pomysły RFOmówiono najważniejsze korzyści, jakich organizacje mogą oczekiwać po wdrożeniu kluczy dostępu.

Cottingham rozprawia się z błędnymi przekonaniami dotyczącymi stosowania kluczy dostępu, szczególnie w przestrzeni B2B.

Jakich kluczowych korzyści mogą spodziewać się organizacje wdrażające hasła?

Wdrożenie kluczy zapewnia użytkownikom dodatkową warstwę ochrony przed atakami typu phishing i ponownym użyciem hasła. Osiąga się to za pomocą poświadczeń cyfrowych, które mogą zastąpić słabe hasła parą kluczy kryptograficznych. Jeden klucz jest publiczny i przechowywany na serwerze, a drugi jest prywatny i bezpiecznie przechowywany na urządzeniu użytkownika, co oznacza, że ​​nie jest uzależnione od wprowadzania przez użytkowników poufnych danych uwierzytelniających, które są podatne na podsłuchiwanie lub manipulowanie.

W przypadku pracowników klucze zapewniają korzyści w postaci lepszego doświadczenia użytkownika, w tym ulepszonych środków bezpieczeństwa, oszczędzając czas i koszty. W rzeczywistości, po wdrożeniu kluczy, pracownicy odczuwają 75% skrócenie czasu logowania i 95% redukcję resetowania haseł. Klucze są dwa razy szybsze niż hasła i zapewniają spójny dostęp na różnych urządzeniach, a jednocześnie zapewniają ochronę poufnych danych uwierzytelniających, nawet w przypadku naruszenia bezpieczeństwa serwera. Zespoły IT szczególnie czerpią korzyści z kluczy, które eliminują potrzebę zarządzania hasłami, oszczędzając cenny czas IT i zasoby zwykle wykorzystywane do rozwiązywania problemów związanych z hasłami.

Ponadto, gdy klucze są sparowane z innymi metodami uwierzytelniania, takimi jak karty inteligentne i uwierzytelnianie przy jednokrotnym logowaniu (SSO), mogą również uprościć dostęp użytkowników i uprościć procesy uwierzytelniania, uwzględniając różne aspekty logowania.

Czy istnieją jakieś wyzwania związane z użytecznością, które mogą mieć wpływ na przyjęcie klucza dostępu, szczególnie w dużych organizacjach ze zróżnicowaną bazą użytkowników?

Istnieje kilka wyzwań związanych z użytecznością, które mogą mieć wpływ na przyjęcie kluczy dostępu. Jednym z najważniejszych wyzwań jest kompatybilność, ponieważ klucze mogą nie działać w starszych systemach operacyjnych lub starszych urządzeniach. Poza przeszkodami technicznymi, opór użytkowników jest często przyczyną niezastosowania nowych technologii, takich jak klucze dostępu. W końcu użytkownicy używają haseł od początku lat 60. XX wieku.

W celu przyjęcia tej technologii niezbędny jest nacisk na szkolenia i edukację w zakresie podawania kluczy dostępu, ponieważ rejestracja może być trudna dla użytkowników nieobeznanych z technologią. Najlepiej będzie zacząć od małych grup lub działów, aby stawić czoła wyjątkowym wyzwaniom w ramach zróżnicowanej kultury organizacji i edukować użytkowników.

Organizacje zaczynają wykorzystywać klucze dostępu w celu zwiększenia bezpieczeństwa i produktywności, a jak w przypadku każdego nowego wdrożenia, pojawią się wyzwania. Wdrażanie kluczy należy rozpocząć od kadry kierowniczej wyższego szczebla, która jako pierwsi je zastosuje, co pomoże pracownikom je wdrożyć i zapewnić płynne przejście od tradycyjnych haseł do kluczy. Inwestycje z góry w planowanie i ustanawianie solidnych polityk i procesów będą miały kluczowe znaczenie dla pomyślnego wdrożenia.

FIDO niedawno utworzyło na swojej stronie bibliotekę o nazwie Wytyczne projektowe, aby pomóc w opracowaniu zasad projektowania dotyczących wdrażania kluczy dostępu i tworzenia pozytywnego doświadczenia użytkownika końcowego.

Pomimo zalet, dlaczego Twoim zdaniem klucze dostępu nie zyskały jeszcze szerokiego zastosowania w branży?

Pomimo swoich zalet, klucze dostępu nie zostały powszechnie przyjęte w branży B2B. Do tej pory adopcja była najbardziej rozpowszechniona w środowisku konsumenckim. Główną przyczyną braku akceptacji wśród organizacji biznesowych jest brak edukacji w zakresie kluczy dostępu wśród specjalistów IT. Niektórzy specjaliści IT nadal nie rozumieją zagrożeń związanych z tradycyjnymi hasłami. Na przykład 81% naruszeń danych jest spowodowanych słabymi lub skradzionymi hasłami. Co więcej, nie jest powszechnie wiadomo, że klucze są odporne na phishing, który jest powszechną formą ataku wykorzystywaną przez hakerów.

Zakładając, że specjaliści IT rozumieją zalety kluczy dostępu, kolejną przeszkodą w powszechnym przyjęciu jest brak zrozumienia procesu wdrażania. Organizacje nadal nie mają jasnego obrazu tego, w jaki sposób klucze są integrowane, zlecane na zewnątrz, udostępniane, dystrybuowane i zarządzane dla użytkowników. Tak jak ważne jest zapewnienie bezproblemowej obsługi użytkownika, równie ważne jest zapewnienie bezproblemowej implementacji administratorom IT.

Z jakimi błędnymi przekonaniami na temat wdrażania klucza dostępu spotykasz się w firmach?

Istnieje duże błędne przekonanie, że klucze są metodą uwierzytelniania opartą na konsumentach. Firmy mogą jednak w pełni korzystać z zalet kluczy dostępu. W rzeczywistości organizacje mają tyle samo do stracenia, jeśli nie więcej, co indywidualni konsumenci, jeśli doświadczą ataku phishingowego.

Innym powszechnym błędnym przekonaniem jest to, że klucze dostępu są ograniczone do aplikacji internetowych ze względu na znaczenie standardów WebAuthn, które dotyczą kompatybilności i ograniczeń technicznych. Jednak kluczy dostępu można używać również w aplikacjach stacjonarnych i mobilnych.

Wiele osób uważa, że ​​klucze wymagają użycia danych biometrycznych do uwierzytelniania wieloskładnikowego. Jednak nowoczesne platformy mogą wykorzystywać identyfikatory pracowników jako pojedynczy czynnik uwierzytelniania, który można połączyć z kodem PIN. Chociaż dane biometryczne, takie jak odcisk palca lub rozpoznawanie twarzy, mogą być wykorzystywane jako czynnik, nie są one wymagane. Wreszcie, chociaż hasła znacznie zmniejszają ryzyko, takie jak phishing, nie są niezawodne. Zawsze należy rozważyć inne środki bezpieczeństwa i luki w zabezpieczeniach, w zależności od przypadków użycia i zagrożeń.

Czy możesz podzielić się prawdziwymi przykładami pomyślnie wdrożonych kluczy i jakie wnioski można wyciągnąć z tych wdrożeń?

Wśród naszych pierwszych użytkowników kluczy dostępu są klienci z sektorów produkcyjnego, hotelarskiego i opieki zdrowotnej. Ponadto organizacje takie jak Target i Yahoo wdrożyły klucze dostępu zarówno dla środowisk konsumenckich, jak i pracowników. Jedną z najważniejszych lekcji, jaką wyciągnęliśmy, jest to, że organizacje są bardzo zainteresowane wykorzystaniem istniejących identyfikatorów pracowników jako klucza FIDO do użytku z czytnikiem obsługującym FIDO. Co więcej, odkryliśmy, że konwersja identyfikatorów na klucze FIDO przebiegła wyjątkowo bezproblemowo, a niektóre wdrożenia zostały zakończone z dnia na dzień.