Блог

Пароли: за и против

Валерий Васильев
19.11.2015 01:23:47
Теги: U2F; NIST; FIDO

Специалисты National Institute of Standards and Technology (NIST), как сообщает технологический обозреватель информационного ресурса FedScoop Грег Отто (Greg Otto), считают, что парольная аутентификация плохо справляется с современными хакерскими атаками.

Так, Пол Грасси (Paul Grassi), старший консультант по технологиям и стандартам в программе National Strategy for Trusted Identities in Cyberspace (NSTIC) института NIST обращает наше внимание на то, что даже 16-символьные пароли могут противостоять современному перебору в лоб не долее десяти минут. По этой причине, заключает он, пароли годятся только для защиты малоценных данных, а то, что по-настоящему ценно, следует защищать двухфакторной аутентификацией.

С этими выводами согласен исполнительный директор некоммерческого альянса FIDO Бретт МакДовел (Brett McDowell), полагающий, что вместо усовершенствования парольной защиты нужно сосредоточить усилия на совершенно иных технологиях аутентификации. Так, FIDO в настоящее время работает над усовершенствованием новых стандартов и протоколов, получивших название Universal Two Factor (U2F). Они опираются на биометрию, и позволяют не использовать пароли. По словам Бретта МакДовела, эти новые технологии существенно проще в использовании, более того, они уже реализованы в смартфонах компании Samsung и адаптируются для своих нужд компаниями PayPal и Google.

Считается, что стандарты U2F очень удобны при использовании электронных госуслуг: вместо того, чтобы вводить длинные (а иначе ненадежные) пароли, гражданам достаточно предъявить отпечаток пальца, картинку радужки глаз или иной свой легко считываемый биопараметр.

Однако, у такого подхода к аутентификации есть и оппоненты. Так, Дарран Роллс (Darran Rolls), главный технолог софтверной компании SailPoint, считает, что пока развиваются новые подходы, не стоит пренебрегать возможностями управления паролями, а также контролю поведения пользователей. Как показали хакерские атаки этого года, поведенческая аутентификация тоже является мощным ИБ-инструментом. Так что, скорее всего, в тех или иных пропорциях использовать придется и поведенческую аутентификацию, и двухфакторную аутентификацию, и пароли.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.11.2015 11:21:21

Нельзя не согласиться с тем, что в системах с классической парольной аутентификацией значительно чаще происходит компрометация пользовательских аккаунтов, чем в тех, где реализованы иные методы верификации субъекта доступа. При этом слабым звеном парольной защиты, в основном, выступает человеческий фактор, а именно — желание использовать более простой для запоминания пароль, применять его многократно для множества различных систем и даже записывать этот пароль на бумажке и хранить ее на всеобщем обозрении и т.д. К сожалению, повлиять на культуру пользователей в области информационной безопасности практически невозможно. Выход состоит именно в применении методов аутентификации, усиливающих классический подход парольной защиты. Самый распространенный частный случай этого подхода – двухфакторная аутентификация.

Что касается иных технологий аутентификации, в частности, биометрической, то они действительно имеют преимущества по удобству для пользователя, поскольку не требуют запоминания им своих аутентификационных данных. В то же время, существующие методы имеют некоторые недостатки, влияющие на их надежность. Следствие этого — наличие на всех современных устройствах, их поддерживающих, альтернативного метода аутентификации – парольного. Вывод: развивая альтернативные методы аутентификации, не стоит пренебрегать вопросами безопасности парольной защиты.

Интересно

Статьи

Сказки о безопасности: Троян из техподдержки
Иоганн очень не любил зиму. И не потому что было холодно. Чаще всего температура держалась около нуля …

Кибербезопасность-2017: старые и новые проблемы
2017-й оказался еще одним трудным годом с точки зрения кибербезопасности. Достоянием общественности стали …

Сказки о безопасности: Инсайдерское ограбление
— Потапыч, сможете помочь? — Что случилось? — Нам нужна ваша консультация. У нас в банке …

Сказки о безопасности: Автомобильный медиа-центр
Погода этой зимой была какой-то странной. На улице снег сменялся дождем, постоянно за окном висели тучи …

Сказки о безопасности: Для определения местоположения можно обойтись без геолокации
Вчера была вьюга, а сегодня как в насмешку над понедельником утро выдалось солнечным. Так не хотелось …

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Насколько неанонимными будут теперь мессенджеры?
Еще одно законодательное новшество 2018 года – введение "запрета на анонимность мессенджеров". Именн ...

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

 

Панорама

PoE коммутаторы TP-Link
PoE-коммутаторы от TP-Link предназначены специально для работы по стандартам PoE (802.3af) или PoE+ (802.3at) для подачи питания различным устройствам.
Canon открывает перед партнерами новые горизонты и возможности
В начале осени компания Canon провела в Москве традиционную партнерскую конференцию. Двухдневное мероприятие было …
На пути к “умному” хранилищу
Вопрос хранения данных для современного бизнеса уже давно является одним из основных. Подробно об этой …

Интересно

 

Создание сайта - студия iMake
© 2018 АО «СК ПРЕСС».
Политика конфиденциальности персональных данных, информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.