17:35 / 17 мая 2024
Недавно корпорация Microsoft анонсировала встроенный менеджер паролей для Windows 11, чтобы повысить безопасность входа на веб-сайты и в приложения. Теперь после создания ключа доступа пользователи смогут использовать технологию биометрии Windows Hello (Face ID, отпечаток пальца или PIN-код) для входа в учетные записи. IT Speaker узнал мнение экспертов – так ли безопасны менеджеров паролей, и существуют ли надежные аналоги для защиты данных.
Несмотря на заверения о надежности менеджеров паролей, отрасль нет-нет да страдает от их взлома, вызывая тревогу и опасения клиентов.
Так, в 2017 году сервис авторизации OneLogin пострадал от киберпреступников, которые украли не только данные тысяч пользователей американской платформы Amazon, но и ключи шифрования. Дважды за 2022 год злоумышленники взламывали и платформу LastPass. В первом случае они использовали кейлоггер (ПО для отслеживания нажатий клавиш) и узнали пароль от корпоративного ноутбука инженера-программиста. Так они получили доступ к облачному хранилищу и скопировали фрагменты исходного кода, но не получили данные клиентов. В ходе второй атаки хакеры использовали ранее полученную информацию и смогли развернуть вредоносные программы, тем самым получив доступ к резервным копиям хранилища.
При этом объем утечек поражает: только в 2022 году в России утекло более 667 млн записей с персональными данными, что 4,6 раза больше населения страны, подсчитали в компании InfoWatch.
Многие отечественные проекты регулярно штрафуют за произошедшие инциденты. Так, весной пресс-службы судов признали виновными в нарушении закона о персональных данных такие крупные компании, как VK, Ростелеком, SkyEng, назначив наказание в виде штрафа в размере 60 тыс. рублей каждой.
В марте 2023 года Коммерсантъ сообщил, что Минцифры передало на рассмотрение Госдумы два проекта по ужесточению порядка работы с персональными данными россиян. Первый проект закона предполагает введение штрафов за утечку данных до 500 млн рублей. Второй – уголовную ответственность за кражу, продажу, а также создание теневых форумов с личными данными пользователей платформ. Поправки еще находятся на стадии обсуждения и не одобрены Госдумой.
Как отмечает разработчик Anwork Иван Король, утечка персональных данных потребителей, в том числе логинов и паролей, чревата для бизнеса не только репутационными издержками, но и прямыми финансовыми расходами.
При этом, по мнению опрошенных IT Speaker экспертов, популярные менеджеры паролей, такие как LastPass, 1Password, Dashlane и Bitwarden, скорее надежны, зарекомендовали себя с лучшей стороны и служат помощниками бизнесу.
Как правильно выбрать менеджер паролей
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин рекомендует при выборе менеджера паролей обращать внимание на репутацию компании-производителя платформы, ее историю – были ли случаи взлома, как часто сервис проходит независимый аудит. Также стоит сравнивать функционал продуктов с требованиями, необходимыми для работы вашей компании.
Гендиректор компании Pro Control Станислав Сидоров также выделил несколько факторов, на которые стоит обратить внимание при выборе менеджера паролей для бизнеса.
Во-первых, – безопасность. Менеджер паролей должен предлагать сильное шифрование (обычно – AES-256) и политику «ноль-знания», которая гарантирует, что даже провайдер не может получить доступ к паролям. Во-вторых, – расширенная аутентификация для дополнительной безопасности – 2FA (двухфакторная) или MFA (многофакторная).
Также, по мнению эксперта, нельзя забывать о совместимости с платформами, и проверить, поддерживает ли менеджер паролей устройства, которые используются в организации. Четвертый аспект – удобство использования. Интерфейс должен быть интуитивно понятным и удобным для всех сотрудников, чтобы даже новичок смог с ним справиться. Управление доступом может упростить совместную работу с корпоративными паролями, обеспечивая эффективность и безопасность работы организации. Аудит и отчеты помогут отслеживать и управлять использованием паролей. И финальный фактор – цена.
По словам основателя Pro Control Сидорова, прямой замены менеджерам паролей не существует. Однако для усиления защиты можно дополнительно использовать другие инструменты: например, системы управления идентификационной информацией (Identity Management Systems) и системы привилегированного доступа (Privileged Access Management Systems), которые помогут предотвратить возможные утечки.
Разработчик Anwork Король пояснил, что такие аналоги, как отпечатки пальцев, Face ID, трехмерное распознавание голоса или рисунок сетчатки глаза как способы входа в приложение сложны и более надежны, чем устаревшая пара «логин – пароль». Однако возможность взлома все же существует. «Недаром интернет пестрит инструкциями о том, как обмануть Face ID с помощью очков, а систему распознавания голоса – ультразвуком», – размышляет специалист.
С точки зрения руководителя управления по борьбе с киберугрозами BI.ZONE Михаила Прохоренко, инструменты, основанные на биометрии, лучше использовать в качестве приложения к основным средствам защиты, а не пытаться полностью заменить их.
Михаил Прохоренко из BI.ZONE уверен, что компании обязательно должны использовать менеджер паролей. По его словам, часто утечки происходят именно из-за того, что сотрудники используют один и тот же пароль для личных и рабочих аккаунтов. Злоумышленнику достаточно получить пароль от единственного аккаунта, чтобы методом простого подбора открыть себе доступ во все остальные. Менеджеры паролей позволяют защититься от этой опасности — создать сложные, непохожие друг на друга пароли ко всем учетным записям и хранить их в надежном месте под защитой мастер-пароля.
Эксперт добавил, что не менее важно защитить корпоративную почту. «Злоумышленники нередко используют фишинговые письма с приложенными файлами, которые маскируются под документы. На самом деле, открыв такой файл, пользователь запускает на устройстве вредоносную программу, которая собирает данные о его паролях. Здесь могут помочь комплексные решения, которые анализируют входящую почту, распознают спам, проверяют ссылки и вложения и так далее», – рассуждает ИТ-специалист.
По его словам, простой раздачи сотрудникам инструкций с правилами пользования сервисами будет недостаточно. Ведь такими рекомендациями нередко пренебрегают: персоналу неудобно использовать сложные пароли и постоянно их менять.
«Важно объяснить, что правила цифровой гигиены придумываются не просто так: за каждым из них стоит опыт, зачастую весьма печальный. Например, в прошлом году почти 60% инцидентов, которые расследовала компания BI.ZONE, были связаны с утечками, а их причиной часто становилась именно беспечность сотрудников: они регистрировались в сторонних сервисах с рабочей почты, использовали везде одинаковые и простые пароли», – отметил собеседник.
Он порекомендовал компаниям регулярно проверять, насколько хорошо сотрудники запомнили инструкции и соблюдают их. Например, для этого можно имитировать фишинговую рассылку – такие тренировки учат не терять бдительность.
Поделиться новостью
17:35 / 17 мая 2024
17:20 / 17 мая 2024
17:03 / 17 мая 2024
16:35 / 17 мая 2024
60% россиян готовы работать 4 дня в неделю
17:35 / 17 мая 2024
Число самозанятых ИT-специалистов в РФ выросло
15:09 / 17 мая 2024
С 2014 года Samsung продала почти 3 млрд смартфонов
16:40 / 16 мая 2024
На 10-20% выросли расходы компаний РФ на ИБ
16:00 / 16 мая 2024