Зеленое мышление
Чтение на 1 мин
Чтобы защитить себя от кражи личных данных, нужно использовать методы идентификации, которые не привязывают человека к единому паролю как в личной, так и в профессиональной деятельности.
При использовании различных приложений и сервисов наиболее распространенным методом аутентификации по-прежнему остается комбинация имени пользователя и пароля. В некоторых случаях к этому добавились методы биометрической идентификации, которые часто используются как альтернатива вводу имени пользователя и пароля.
«Одноразовые пароли (на английском OTP) также становятся все более популярными и используются в качестве дополнительного уровня безопасности, – объяснил архитектор решений кибербезопасности компании Telia Кристьян Альяс. – Эти пароли генерируются в специальном мобильном приложении или в облачном сервисе поставщика услуг и отправляются пользователю, например, по электронной почте или SMS».
Хотя такая дополнительная защита при входе в систему может показаться достаточной, Альяс признает, что на самом деле киберпреступники уже нашли способы с помощью различных фишинговых схем и атак все же получить доступ к нужным данным.
«Одним из способов снижения такого риска было бы дополнение цифровых средств идентификации каким-либо физическим компонентом или устройством, без доступа к которому невозможно пройти аутентификацию. Хорошим примером является эстонская ID-карта, главная проблема которой заключается в ее ограниченном использовании, поскольку глобальные платформы и сервисы не имеют с ней интерфейса», – сказал он.
Физический ключ безопасности начинает заменять пароли
Поскольку разрабатывающая стандарты аутентификации ассоциация FIDO Alliance взяла курс на постепенный отказ от идентификации личности на основе пароля, в Эстонии также следует предпринять шаги в этом направлении. Одним из вариантов, по мнению эксперта, является ключ безопасности YubiKey, предлагаемый Yubico, ведущим мировым производителем ключей безопасности. Его уже используют многие государственные учреждения в США и Европе, а также международные финансовые организации, которые уже сэкономили сотни миллионов евро, которые в противном случае были бы потрачены на устранение ущерба, вызванного мошенничеством и кибератаками.
«Согласно исследованиям, к 2025 году беспарольная аутентификация для защиты ИТ- и ОТ-систем уже будет широко применяться в здравоохранении, энергетике и государственных учреждениях», – отметил Альяс.
Помимо избавления от паролей и связанных с ними проблем, YubiKey имеет и другие преимущества, говорит он. Например, ключ безопасности позволяет осуществлять персональную идентификацию на платформах облачных сервисов и совместим с менеджерами паролей и центральными платформами идентификации и аутентификации. Поскольку ключи YubiKey доступны в разных корпусах и с интерфейсами USB, NFC и Lightning, их легко носить с собой и использовать на большинстве устройств.
По словам Альяса, для поддержки принципа FIDO Alliance об отказе от паролей решения по персональной идентификации на основе YubiKey также являются частью портфеля киберуслуг Telia. Поскольку более широкое внедрение физических ключей безопасности также означает, что на рынок будут выпущены устройства, безопасность которых не может быть гарантирована, перед внедрением он рекомендует обсудить их со специалистом.
«При покупке критически важных решений и устройств безопасности вам обязательно следует использовать официальный канал продаж и авторизованных партнеров производителя, – подчеркнул Альяс. – Следует избегать, на первый взгляд, более дешевых интернет-магазинов и каналов доставки, где нет возможности определить, кто имел доступ к купленным устройствам и с какой целью, и подвергались ли они манипуляциям во время транспортировки или хранения».
При внедрении YubiKey хорошей идеей будет заручиться помощью опытного партнера, который может помочь сделать необходимые настройки, согласовать процедуры и обучить сотрудников.
