FAQ по использованию ключей доступа (passkeys) для продвинутых пользователей | Блог Касперского
Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Отказаться от паролей и цифровых кодов по SMS, подтверждать вход в приложения и на сайты простым отпечатком пальца или улыбкой в камеру — именно так звучит обещание passkeys. А еще passkeys, в отличие от паролей, устойчивы к краже, поэтому новости об утечках вроде недавней, на 16 миллиардов учетных записей, можно будет читать, не хватаясь за сердце.
Под разными названиями этот способ входа на сайты настойчиво рекомендуют WhatsApp, Xbox, Microsoft 365, YouTube и десятки других популярных сервисов. Но как выглядит использование пасскеев, они же ключи доступа, они же ключи входа, на практике? Мы подробно писали об этом в приложении к аккаунтам Google, а сегодня разберем, как поддерживают passkeys другие сервисы и платформы. В первом посте мы расскажем об основах использования passkeys на одном или нескольких устройствах, а во втором — разберем более сложные случаи, когда нужно войти в свой аккаунт на чужом компьютере, использовать Linux или же хранить ключи доступа на аппаратном брелоке-токене.
Что такое passkey
Passkey — это уникальный цифровой ключ входа, созданный для конкретного сайта или приложения. Он безопасно хранится на вашем устройстве: смартфоне, компьютере или специальном USB-брелоке (аппаратном токене) вроде YubiKey или Google Titan Security Key. В момент логина ваше устройство с помощью биометрии или ПИН-кода проверяет, что входите действительно вы. После этого оно отправляет сайту защищенный ответ, созданный на базе этого уникального ключа. Этот механизм хорошо защищает от кражи учетных записей, возможных при использовании паролей, обоими популярными способами — и через фишинговые атаки, и через взлом сайтов. Passkeys работают на устройствах Apple, Google и Microsoft, а при использовании облачной синхронизации в теории доступны на всех ваших устройствах. Подробнее о внутреннем устройстве passkeys — в предыдущем посте про ключи доступа.
View the full article
-
Автор KL FC Bot
Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
Мотивы перехода на passkeys в компании
Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.
View the full article
-
Автор KL FC Bot
Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
Поддержка passkeys в системах управления identity
Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
В Google Workspace и Google Cloud есть полная поддержка passkeys.
Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
View the full article
-
Автор KL FC Bot
Недавно появились новости о том, что Google собирается сделать так называемые ключи доступа (passkeys) дефолтной опцией для входа в Google-аккаунты. Так что в следующий раз, когда вы будете логиниться в YouTube, Gmail, Google-документы, карты Google или любое другое приложение поискового гиганта, вас, скорее всего, попросят создать этот самый passkey — ключ доступа.
В этом посте мы разберемся, где можно настроить passkeys для вашего Google-аккаунта, какие есть варианты и что делать, если возникнут сложности. Но сначала немного поговорим о том, что это вообще такое и как работает данная технология.
Что такое ключи доступа — они же ключи входа, они же passkeys
Passkeys (от англ. pass + key — «проход» + «ключ») разработаны FIDO Alliance — организацией, чьей миссией является создание новых стандартов аутентификации, которые в перспективе позволят человечеству меньше полагаться на пароли. Если у вас есть аппаратный ключ доступа — чаще всего их называют YubiKey (как наиболее популярный бренд), — то вы уже знакомы с одной из разработок FIDO Alliance.
Passkeys — это следующий этап развития новых технологий аутентификации. Предыдущие разработки FIDO Alliance касались дополнительных факторов — то есть вспомогательных вариантов подтверждения входа, которые работали совместно со всеми ненавидимыми паролями. А вот passkeys призваны уже не дополнить, а полностью заменить собой пароли.
Крупнейшие технологические гиганты — Apple, Google и Microsoft — уже внедрили в свою инфраструктуру поддержку технологии и готовы дать пользователям возможность отказаться от паролей. Собственно, Google в ближайшем будущем как раз и собирается немного подтолкнуть их в этом направлении.
К сожалению, в FIDO Alliance не предусмотрели канонический перевод слова Passkey с английского на какие-либо другие языки. Поэтому компании, внедряющие этот механизм аутентификации, называют его, как им заблагорассудится, не особенно оглядываясь на коллег по цеху. Так что на русском это могут быть как «ключи доступа» (в терминологии Google и Microsoft), так и «ключи входа» (в терминологии Apple).
Отдельно замечу, что та же ситуация сложилась и в других языках — ни на французском с португальским, ни даже на испанском пока не удалось прийти к единой терминологии.
Как Apple, Google и Microsoft называют passkey на разных языках
Посмотреть статью полностью
-
Автор KL FC Bot
Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
Какие риски нужно учесть
Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти