Промышленности по всему миру внедряют технологию бесключевого доступа и полагаются на современные технологии и биометрию, чтобы облегчить жизнь, но, что более важно, исключить ненужные варианты безопасности.
Например, такие компании, как SwitchBot и Tuya, предлагают технологию, которая позволяет клиентам разблокировать свой дом с помощью биометрических данных на самом замке. Но это не относится к индустрии кибербезопасности.
Подумайте вот о чем: индустрия кибербезопасности, которая должна быть в авангарде инноваций, продолжает выступать за использование физических ключей для усиления кибербезопасности.
Давайте окунемся в мир ключей безопасности. Несмотря на название, эти ключи могут вызвать множество проблем с безопасностью. Аль-Лакхани
Навигация по социальным ссылкам
Ключи безопасности открывают кибер-двери настежь
Аутентификация может быть лишь одним из многих компонентов жизненного цикла удостоверения, но она должна быть защищена от фишинга учетных данных, атак на основе паролей и обходов MFA. Процессы регистрации, добавления второго устройства и восстановления предоставляют преступникам множество возможностей для захвата учетной записи, поэтому это важная часть кибербезопасности организации, которая должна защитить свое решение любой ценой.
Однако проблема с ключами безопасности, такими как серия YubiKey 5 от Yubico, заключается в том, что они не снижают риски фишинга учетных данных, атак на основе пароля и обхода MFA.
Подпишитесь на информационный бюллетень Ny Breaking и получайте ключевые новости, мнения, особенности и советы, необходимые вашему бизнесу для успеха!
Во-первых, данные для входа и пароли необходимы для регистрации ключа безопасности для каждой отдельной учетной записи. Но эти меры безопасности легко нарушить. Например, здесь, в IDEE, мы недавно провели исследование, которое показало, что украденные учетные данные стали причиной 35% кибератак, с которыми столкнулся 61% британских предприятий, пострадавших в 2023 году. Это была наиболее распространенная причина, но ключи безопасности не предотвращают их. .
Что еще хуже, компании, использующие ключи безопасности, часто выдают резервные ключи на случай, если первый будет утерян или украден. Больше ключей означает больше слабостей и больше атак, однако «ответственные» поставщики кибербезопасности продолжают прятать голову в песок и делать вид, что улучшают безопасность, а не ухудшают ее.
Этот подход может смягчить некоторые атаки на основе паролей, но отрасли необходимо проснуться и осознать, что использование паролей и нескольких факторов аутентификации облегчает работу преступников. Прямо сейчас они предоставляют преступникам набор векторов атак в супермаркете, и их бизнес страдает от последствий.
Кроме того, если пользователь вошел в свою учетную запись с паролем, а затем потерял или украл этот ключ, его учетная запись немедленно подвергается риску. Этот риск возрастает, если учетные данные пользователя уже были скомпрометированы. Киберпреступники могут просто вставить ключ в новое устройство, ввести пароль и получить доступ незаметно для всех.
Кроме того, многие компании, производящие ключи безопасности, такие как Yubico, теперь разработали свои собственные криптографические библиотеки для практической реализации криптографических алгоритмов и протоколов. Проблема в том, что эти новые библиотеки, вероятно, будут менее безопасными, чем хорошо протестированные предложения, такие как Python, что создает еще более широкую поверхность атаки.
Теперь нам нужно перейти к другой проблеме, связанной с ключами безопасности: аппаратному обеспечению. Новые требования к оборудованию публикуются постоянно; однако аппаратное обеспечение ключей безопасности не может быть обновлено. Единственный ответ, который есть у компаний, — каждый раз покупать совершенно новое оборудование.
Прошивка не лучше. Сложные PIN-коды сейчас внедряются в качестве дополнительной меры безопасности, но факт в том, что встроенное ПО безопасности не может их поддерживать. В сочетании с тем фактом, что они имеют очень ограниченную емкость хранилища, которую, опять же, нельзя увеличить, становится ясно, что ключи безопасности не обеспечивают безопасность или функциональность, необходимые компаниям для действительного усиления защиты своих систем. К сожалению, финансовая сторона дела тоже не облегчает чтение.
Ключ безопасности Yubico 5-Series стоит 75 евро без учета НДС. Учитывая рекомендацию о том, чтобы у каждого пользователя было два ключа безопасности, предприятия рассчитывают потратить около 200 евро на человека. Вот только купить ключи; предприятиям по-прежнему приходится доставлять их сотрудникам по всему миру, что увеличивает затраты на постоянно растущий список.
Это подводит меня к другому вопросу. Более высокие затраты — не единственная цена, которую приходится платить за внедрение ключей безопасности в качестве средства киберзащиты — существует также множество практических и логистических проблем.
Директора по информационным технологиям и безопасности (CISO) — одни из самых ярких умов в нашей отрасли. Им следует тратить все свое время на эффективное применение своего опыта и сосредоточение на создании непреодолимой киберзащиты. Для компаний, использующих ключи безопасности, это не так.
Правда в том, что директора по информационной безопасности в этих компаниях де-факто становятся менеджерами по логистике, тратя смехотворное количество времени на заказ и доставку ключей безопасности каждому сотруднику.. Это непростительная трата талантов, которые компаниям следует развивать, чтобы гарантировать, что их киберзащита находится на мировом уровне.
Если стоимость и потраченные ресурсы являются дополнительными расходами на оплату использования ключей безопасности, можно надеяться, что пользовательский опыт по крайней мере улучшится. Это не.
Многие люди используют ноутбуки с заблокированными USB-портами из соображений безопасности. Следует ли ожидать, что ИТ-отделы откроют все эти порты?
С более практической точки зрения нет необходимости носить с собой еще один комплект ключей; у нас есть устройства, которые могут делать то же самое. Я сознательно пытаюсь найти способы уменьшить количество вещей, которые мне приходится носить с собой каждый день, а не увеличивать их. Хочу ли я добавить еще один? Нет, спасибо. В современном мире есть лучшие варианты.
Мы можем и должны добиться большего. Методы обеспечения вашей кибербезопасности здесь; они доступны сейчас. Например, транзитивное доверие и проверка личности — это новаторские разработки, которые могут устранить все проблемы, возникающие при использовании ключей безопасности.
Транзитивное доверие гарантирует, что все транзакции выполняются в доверенной службе с использованием доверенного устройства под контролем доверенного пользователя. Это устраняет зависимость от легко поддающихся фишингу факторов, таких как пароли, одноразовые пароли или push-уведомления.
Наконец, индустрия кибербезопасности должна адаптироваться к современным разработкам и использовать технологию бесключевого доступа, чтобы подготовиться к действительно безопасному будущему. Мы предлагаем вам лучший менеджер паролей для бизнеса.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы сегодня демонстрируем лучшие и самые яркие умы в технологическом секторе. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения Ny BreakingPro или Future plc. Если вы хотите внести свой вклад, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
