Хотя это не должно удивить большую часть наших читателей, декабрьское
исследование компании Forrester делает вывод, что "... большинство компаний
по-прежнему полагаются на традиционные имена пользователей и пароли для
верификации личности пользователя при входе в систему". И что "... эти
организации без всякой нужды остаются открытыми для хакеров и компьютерных
преступников".
Загрузить этот доклад можно предварительно зарегистрировавшись на сайте
Verisign (они владеют компанией Symantec, которая заказала этот доклад).
В нем, в частности, сделаны следующие выводы:
- Вредоносные атаки используют уязвимость паролей на предприятиях. Хакеры
отходят от бросающихся в глаза атак, таких как вредоносное программное
обеспечение и фишинг, к более изощренным атакам, используя украденные пароли
для проникновения в организацию и нахождения там без обнаружения. - Пароли – главная проблема доступа на предприятии. Для предотвращения
незаконного доступа пароли становятся более громоздкими и тем больше
вероятность ошибки. Такие требования к созданию паролей, как его сложность,
срок действия и необходимость разных паролей для доступа к разным
корпоративным ресурсам, смущают пользователей. Кроме того, 87% пользователей
должны помнить 2 или более пароля, чтобы получить доступ к корпоративным
ресурсам. Между тем восстановление пароля – это наиболее распространенная
причина обращений в отдел обслуживания, во многих компаниях – от 30 до 50%
всех обращений в техподдержку. - Надежная, или двухфакторная, технология аутентификации более удобна и
экономически эффективна, чем когда-либо, благодаря модели, основанной на
облаке. Хакерам сложно обойти надежную аутентификацию, так как она требует
от пользователей предоставления одновременно двух разных методов
аутентификации: что-то, что они знают (их пароль) и что-то ,что у них есть
(разовый код безопасности, создаваемый надежным сертификатом
аутентификации). В отличие от решений ранних поколений, сегодняшние
предложения надежной аутентификации намного более экономичны благодаря
развитию технологии, такой, как аутентификация на основе облака и
использование мобильных телефонов для создания разовых паролей. - Отсутствие надежной аутентификации между предприятиями и партнерами
оставляют корпоративные сети уязвимыми. Целых 67% компаний не требуют
надежной аутентификации от партнеров для доступа к корпоративным сетям.
Недостаточность надежной аутентификации снижает безопасность внутри
предприятия и создает слабое звено при доступе к сети.
В исследовании делаются следующие рекомендации:
- Перейдите на надежную аутентификацию сейчас, и на всем предприятии, а не
для отдельных приложений. - Обеспечьте для доступа к открытой инфраструктуре (как, например, SaaS) и
для партнерского доступа такой же уровень защиты, как и внутри организации. - Проведите переоценку технологий надежной аутентификации, чтобы понять,
насколько сегодняшние решения, с приложениями на мобильных устройствах,
служащими как дешевые или бесплатные сертификаты, подходят системе
безопасности и бюджету. Модель, основанная на облаке, значительно снижает
стоимость владения, при этом повышая возможности внедрения. - Установите надежную аутентификацию для всей открытой среды предприятия,
укрепляя защиту в облачных вычислениях, SaaS, инструментах сотрудничества и
программах мобильного доступа.
