Аутентификация и пароли. Новый доклад Ponemon Institute.

Аутентификация и пароли. Новый доклад Ponemon Institute.

Специалисты в области информационной безопасности прекрасно знают и хорошо понимают хорошие привычки в области аутентификации, однако, когда дело доходит до строгой аутентификации и управления паролями, часто реализовать подобный сценарий просто не могут из-за неудобства использования требований. Думаю вы и сами с этим сталкивались и сталкиваетесь. Это лишний раз подтвердили в совместном докладе 2020 State of Password and Authentication Security Behaviors Report Yubico и Ponemon Institute.

Согласно данному отчету специалисты по ИТ-безопасности занимаются различными методами парольной защиты и аутентификации, однако ожидания и реальность часто не согласуются, когда дело доходит до внедрения решений безопасности. Инструменты и процессы, созданные ними, мало используются сотрудниками и клиентами, что совершенно очевидно показывает, что новые технологии необходимы предприятиям и частным лицам для достижения более безопасного будущего. Нравится нам с вами или нет, но безопасность должна быть удобной иначе пользователи будут любой ценой саботировать процесс.

Не зависимо от того, касается ли это ИТ-профессионалов или обычных пользователей, все они хотят не заморачиваться по поводу безопасности. Безопасность должна быть удобной, простой и мгновенно работать. Правда как достичь этого? Может быть это можно достичь с помощью аппаратных ключей? Но я бы не был таким уверенным. Все равно это будет кому-то неудобно. В крайнем случае эти ключи будут просто забывать в USB-разъемах. Вспомните, уже довольно давно существует технология блокирования вашего ПК под управлением Windows с помощью Bluetooth-соединения с вашим смартфоном. Но так ли часто ее используют? Я не видел такого еще ни разу, кроме своего ноутбука.

Другие выводы исследования включают в себя:

  • Из 35% лиц, сообщивших, что они стали жертвами взлома учетной записи, 76% изменили свой способ управления паролями или защиты своих счетов.
  • Из 20% специалистов по ИТ-безопасности, ставших жертвой взлома учетной записи, 65% изменили способ управления паролями или защиты своих учетных записей.
  • Как отдельные лица, так и опрошенные специалисты ИТ-безопасности повторно использовали пароли в среднем 10 своих личных аккаунтов, но пользователи (39%) реже повторно использовали пароли на рабочих местах, чем ИТ-специалисты (50%).
  • 51% специалистов по ИТ-безопасности говорят, что их организации столкнулись с фишинговой атакой, а еще 12% опрошенных заявили, что их организации столкнулись с кражей учетных данных, 8% говорят, что это была атака «человек в середине». Тем не менее, только 53% опрошенных специалистов по ИТ-безопасности говорят, что их организации изменили способ управления паролями или защищенными корпоративными учетными записями. Любопытно, что люди повторно используют пароли в среднем 16 учетных записей на рабочем месте, а специалисты по ИТ-безопасности говорят, что они повторно используют пароли в среднем в 12 учетных записях на рабочем месте.
  • Кроме того, растет использование мобильных устройств. 55% специалистов по ИТ-безопасности сообщают, что использование персональных мобильных устройств разрешено на работе, и в среднем 45% сотрудников в представленных организациях используют свое мобильное устройство для работы.
  • Вызывает тревогу тот факт, что 62% специалистов по ИТ-безопасности говорят, что их организации не принимают необходимых мер для защиты информации на мобильных телефонах.
  • 51% людей используют свое личное мобильное устройство для доступа к рабочим предметам, и 56% не используют двухфакторную аутентификацию (2FA).
  • Учитывая сложность обеспечения современной мобильной рабочей силы, организации изо всех сил пытаются найти простые, но эффективные способы защиты доступа сотрудников к корпоративным счетам. Примерно половина всех респондентов (49% ИТ-безопасности и 51% физических лиц) делятся паролями с коллегами для доступа к бизнес-аккаунтам.
  • 59% опрошенных специалистов по ИТ-безопасности сообщают, что их организациях полагается на человеческую память для управления паролями, в то время как 42% говорят, что используются заметки.
  • Только 31% опрошенных специалистов по ИТ-безопасности говорят, что их организация использует менеджер паролей, которые являются эффективными инструментами для безопасного создания, управления и хранения паролей.
  • Опрошенные специалисты ИТ-безопасности говорят, что их больше всего беспокоит защита информации о клиентах и личной информации (PII). Тем не менее, 59% респондентов говорят, что учетные записи клиентов были предметом взлома и хищения учетных записей.
  • Несмотря на это, 25% респондентов по ИТ-безопасности говорят, что их организации не планируют принимать 2FA для клиентов. Из этих 25% респондентов по ИТ-безопасности 60% считают, что их организации считают, что имена пользователей и пароли обеспечивают достаточную безопасность, а 47% говорят, что их организации не собираются предоставлять 2FA, потому что это повлияет на удобство, добавив дополнительный шаг во время входа.
  • Когда компании предпочитают защищать учетные записи клиентов и данные, параметры 2FA, которые используются чаще всего, не обеспечивают адекватной защиты для пользователей.
  • Респонденты ИТ-безопасности сообщают, что SMS-коды (41%), коды резервного копирования (40%) или мобильные приложения для проверки подлинности (37%) являются тремя основными методами 2FA, которые они поддерживают или планируют поддерживать для клиентов. SMS-коды и мобильные приложения для аутентификаторов обычно привязаны только к одному устройству. Кроме того, 23% людей считают, что методы 2FA, такие как SMS и мобильные приложения для аутентификации, очень неудобны. Большинство людей оценивают безопасность (56%), доступность (57%) и простоту использования (35%) как очень важные факторы.
  • Ясно, что новые технологии необходимы предприятиям и отдельным лицам для совместного достижения более безопасного будущего. По всем направлениям пароли являются громоздкими, использование мобильных устройств создает новый набор проблем безопасности, а инструменты безопасности, созданные организациями, не принимаются сотрудниками или клиентами. В самом деле, 49% людей говорят, что они хотели бы улучшить безопасность своих учетных записей и уже добавили дополнительные уровни защиты кроме имени пользователя и пароля.
  • Тем не менее, 56% людей будут только принимать новые технологии, которые просты в использовании и позволят значительно улучшить безопасность учетной записи. Вот что предпочтительно: биометрия, ключи безопасности и вход без пароля.
  • Большинство респондентов и частных лиц в области ИТ-безопасности (55%) предпочли бы метод защиты учетных записей, который не включает пароли. И ИТ-безопасность (65%) и отдельные пользователи (53%) считают, что использование биометрии повысит безопасность их организации или счетов. И, наконец, 56% людей и 52% специалистов в области ИТ-безопасности считают, что токен аппаратного обеспечения обеспечит лучшую безопасность.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только