Пароли давно стали привычным инструментом для предоставления защищенного доступа к IT-ресурсам. Они применяются повсеместно, и особенно в онлайн-сервисах. Электронная почта, корпоративный документооборот, бухгалтерские и юридические программы, базы данных, специальные учетные системы, чаты, электронные системы бронирования, оплаты – всюду получение доступа для пользователя начинается с ввода пароля. А защита с точки зрения администратора, соответственно, включает процедуру назначения и подтверждения паролей. Это сложившаяся и годами отработанная практика. В чем же проблема?
Пароли не только защита, но и угроза
Уже не первое десятилетие на электронную почту сотрудников практически каждой организации – будь-то крупный, средний или малый бизнес – ежедневно приходят десятки писем от интернет-мошенников, целью которых являются конфиденциальные данные и в первую очередь пароли. Методы, используемые хакерами для введения в заблуждение пользователей, могут быть самыми разнообразными: от вставки в тело письма ссылок на ложные web-страницы, маскирующиеся под корпоративные ресурсы, до файлов, при открытии которых устанавливается программа, записывающая последовательность нажатия клавиш.
Помимо внешних атак не редкость, когда пароль записан на бумажке или мониторе «чтобы не забыть». Точно так же, как рядом с кодовыми замками от подъездов часто можно найти «секретные» цифры – доступ к куда более серьезным объектам и хранилищам в большой организации можно получить, просто внимательно оглядевшись. Иногда действительно маркером на стене написано, в некоторых случаях придется покопаться на корпоративном форуме или в файловом архиве.
Так либо иначе, печальный факт в том, что наличие паролей совершенно не гарантирует защиты. Их могут подсмотреть, выманить «социальными» или «хакерскими» способами, а также продать, передать ошибочно. В результате получается, что сотрудники подвергают своих работодателей финансовым и репутационным рискам просто потому, что не владеют элементарными знаниями о правилах информационной безопасности при работе с компьютером, либо пренебрегают ими.
Помимо риска попадания в руки мошенников, у паролей есть еще одно неприятное свойство – их можно забыть. Ничего не украдено, не подсмотрено и не скопировано, но ущерб нанесен. Если сотрудники не смогли получить удаленный доступ к корпоративной почте или другим ресурсам, задачи в лучшем случае отложены, а в худшем – сорваны. Это касается презентаций у клиентов, сделок на выставках, любой работы на выезде, дома, в дороге. Наверняка многие сталкивались и с тем, что новым сотрудникам доступ предоставляется не моментально, поначалу они слоняются по офису без дела. Все это связано с отсутствием паролей.
Двухфакторная авторизация
Одним из решений перечисленных проблем служит дополнительное программное обеспечение, которое выполняет функции посредника между пользователями и корпоративными онлайн-ресурсами. Ключом доступа становится телефон с приложением для двухфакторной авторизации. При попытке входа на защищенные сайты на экране компьютера и на телефоне появляются одинаковые картинки. Если картинки совпадают, пользователь нажимает кнопку «Да» на своем мобильном устройстве и... все, доступ получен. Без паролей, токенов, SMS с кодами (без мам-пап, без кредитов) – просто нажатие одной кнопки.
С точки зрения пользователя авторизация осуществляется без пароля. Его не нужно вводить – а значит, не нужно и хранить. Нет необходимости записывать. Не получится забыть, потерять, передать кому-то специально или по ошибке. Это удобно, экономит время, нервы и упрощает жизнь.
Администраторам корпоративных IT-ресурсов такое решение тоже упрощает жизнь и, более того, расширяет возможности по разграничению и управлению доступом. Можно создавать надежные пароли с множеством цифр и спецсимволов – абсолютно нечитабельные, без шансов на запоминание пользователями – зато системе двухфакторной авторизации использовать длинные пароли никакого труда не составит. Не нужно создавать одинаковые пароли для разных программ и сервисов, а также не придется опасаться того, что пользователи сами назначат их себе. Вообще никакой самодеятельности со стороны пользователей больше нет, все управление доступом осуществляется, как и положено, только с административной части IT-систем. Причем не придется пересылать пароли по незащищенным каналам связи, распечатывать на бумажках с множеством восклицательных знаков и угрозами «после прочтения съесть» – пользователи вообще паролей не видят.
Руководителей бизнеса порадует скорость, с которой можно предоставить доступ новому сотруднику, временным участникам проектных офисов, мобильных рабочих групп, партнерам, клиентам, поставщикам – выборочно, только нужные права, никаких лишних. Достаточно указать, что кому должно быть доступно, админы подключат соответствующие смартфоны в матрице доступа, расставят галочки – и через несколько минут можно начинать работу. Что не менее приятно, обратная процедура выполняется тоже просто и оперативно: удалить кому-то доступ к одной папке или ко всем ресурсам компании – дело пары минут.
Ключи на час
Последний момент, про временные рамки действия паролей, очень важен и достоин отдельного упоминания. Время – деньги, как известно. В том числе это касается предоставления и ограничения доступа. Часто изменение паролей запаздывает или вовсе не производится после увольнения сотрудников, завершения сотрудничества и проектов. Пароли «расползаются» по людям и организациям, для защиты от которых они изначально, как ни парадоксально, создавались. Например, недовольный бывший сотрудник может устроиться к конкуренту (что даже логично, учитывая достаточно узкие профессиональные ниши для многих специальностей). Если доступ ко всем без исключения онлайн-ресурсам на прежнем месте работы не был закрыт сразу, можно только гадать о том, какие возможности для злоупотреблений открыты и как ими воспользуются.
Другая крайность – перестраховка. Когда в компании для получения каждого пароля нужно пройти семь кругов ада, писать объяснительные, приносить документы, заверять их на разных этажах, кого-то упрашивать и уговаривать – проще вообще не браться за «лишние» задачи. Кроме того, обстановка тотального недоверия убивает лояльность. Какой смысл в тимбилдингах и корпоративах, если нельзя зайти из дома в собственную рабочую почту? Здесь убыток может быть менее заметен, но в конечном счете оказаться гораздо выше, чем от любого несанкционированного доступа. Поэтому возможность быстро, на лету предоставлять и гибко менять права доступа – универсальна. Польза и экономический эффект от нее далеко выходит за рамки IT.
Часто один и тот же пароль нужно предоставить разным сотрудникам. Например, это очень распространено в отделах маркетинга, где несколько сотрудников могут вести корпоративный Twitter, или в коммерческих отделах, где для всех продавцов создан общий почтовый ящик, или в службе поддержки, где сразу нескольким сотрудникам может понадобиться доступ к сайту сервиса по приему платежей от клиентов, и т.п. Некоторые из сотрудников в штате, другие на аутсорсе. Доступ то нужно предоставить, то ограничить, то снова дать – но в другой конфигурации. В рамках «традиционных» методов предоставления паролей обеспечить настоящую защиту в такой ситуации практически невозможно. Все знают, к чему это приводит: половина владельцев старых паролей в командировках, отпусках или других офисах, поэтому «заменить оптом» невозможно, а задачи горят, поэтому вот все пароли обычной почтовой рассылкой, пользуйтесь на здоровье и раздавайте дальше кому хотите.
Двухфакторная авторизация устраняет такие ситуации. Легко создать электронные ключи хоть на день, хоть на час, предоставить их сотне участников, а потом «оптом» отменить или перенастроить, никак не повлияв на удобство работы других сотрудников.
Безопасна ли двухфакторная безопасность
Звучит подозрительно хорошо, в чем же подвох? Например, что будет, если телефон украдут? Во-первых, на мобильных устройствах обычно есть свои контуры защиты: пин-код, автоблокировка, иногда даже аутентификация по отпечатку пальца или голосом. Во-вторых, в том и преимущество двухфакторной безопасности, что даже если злоумышленник держит в руках неважно как добытый телефон с кнопкой «Да» на экране – защиту компьютеров обычными методами никто ведь не отменял. В каждой компании, заботящейся об информационной безопасности, принято, чтобы сотрудники блокировали свои компьютеры, отходя от рабочего места.
Важно также отметить, что системы двухфакторной защиты не хранят пароли на компьютерах целиком. Каждый пароль состоит из двух частей: половина в браузере, другая – на сервере разработчика приложения. То есть, на самом деле здесь не две, а три точки защиты: браузер, телефон и сервер. Они все должны «согласиться» с тем, что пароль должен быть расшифрован, только тогда происходит вход в учетную запись. Это достаточно надежно.
Технология «единого входа» (SSO — Single Sign-On) используется крупнейшими онлайн-сервисами, такими как Google Apps, Dropbox, Salesforce, Zendesk, Zoho и множеством других. Это не новинка, а вполне состоявшийся и проверенный временем способ для повышения онлайн-безопасности. Российский бизнес еще не вполне «распробовал» этот довольно популярный на западе способ раз и навсегда решить проблемы с назначением паролей. Однако в последнее время SSO набирает популярность и у нас. Возможно, вы уже используете такие решения. Если так, то наверное согласитесь с тем, то это шаг вперед.
