В последние несколько лет можно наблюдать, как постепенно стирается граница между корпоративными и личными учетными записями с точки зрения уровня безопасности и тех потребительских свойств, которые они предлагают, а сами учетные записи становятся все более совместимыми. Посмотрим, как эти две разные сферы применения учетных записей становятся более схожими друг с другом.
Каким образом происходит стирание границ между методами многофакторной аутентификации корпоративного и потребительского уровня?
Если какие-то методы двухфакторной аутентификации изначально разрабатывались для потребительского применения и лишь потом адаптировались в корпоративное окружение, то другие – наоборот, создавались для использования в корпоративной среде, но нашли применение и в личном использовании.
Американский национальный институт стандартов и технология (NIST) подсчитал, что сотрудникам этого института приходится в течение суток проходить аутентификацию в среднем 23 раза. Основным выводом этого исследования стала рекомендация для организаций по возможности внедрять решения для единого входа в систему (single sign on, SSO), что позволит минимизировать «синдром усталости» пользователей от паролей.
По мнению аналитиков из Gartner, «Механизм единого входа в систему (SSO) дает возможность лишь один раз осуществлять аутентификацию, а затем автоматизировать эту процедуру для доступа к различным ресурсам. Этот механизм позволяет отказаться от необходимости обособленного входа и аутентификации при работе с отдельными системами, фактически выступая посредником между пользователем и целевыми приложениями».
В корпоративном окружении механизм единого входа реализован с помощью хранилищ паролей (password vaults) или протоколов федерации учетных записей (identity federation protocols), таких как Kerberos, SAML или Open ID Connect. В потребительских сервисах преобладают технологии федеративной проверки подлинности, являющиеся предшественниками механизма единого входа в систему. Тем не менее, потребителям также доступны и хранилища паролей. Например, когда вы кликаете по кнопке «Sign in with Google» для входа в систему с учетной записью Google, протокол Open ID Connect позволяет использовать вашу учетную запись Google для доступа к новому независимому веб-сайту, и таким образом избавляет вас от необходимости создавать новую учетную запись и регистрироваться в системе с новой комбинацией имени пользователя и пароля.
Согласно результатам недавнего исследования Gemalto Authentication and Identity Management Index, 88% лиц, принимающих решения в сфере ИТ, уже внедрили механизм единого входа в систему, либо намерены сделать это в ближайшие два года.
Допустим, завтра – ваш первый день на новой работе. Можете ли вы для доступа к сети, VPN и некоторым облачным приложениям использовать одну из ваших учетных записей от социальных сетей? Если на новой работе внедрен брокер учетных записей, то ответ на этот вопрос будет положительным!
Аналогично, если в вашей организации реализован брокер учетных записей, вы можете разрешить вашим бизнес-партнерам осуществлять вход на ваш партнерский портал с помощью уже имеющихся у них аккаунтов от социальных сетей, что избавит их от необходимости заводить и поддерживать новую учетную запись – и это действительно того стоит, особенно с учетом того, как много утечек произошло благодаря использованию учетных записей поставщиков или партнеров, как, например, в случае с утечкой в Target.
Брокер учетных записей (Identity Broker) – это система, которая позволяет реализовать схему аутентификации с использованием уже существующих учетных записей (Bring-Your-Own-Identity, BYOI) и дает пользователям возможность проходить аутентификацию на различных веб-сайтах с применением своей учетной записи. При использовании этого механизма одна учетная запись пользователям может быть ассоциирована с учетными записями от различных источников. Это осуществляется с помощью таких протоколов как SAML 2.0 или Open ID Connect, которые специально созданы для выполнения подобной задачи.
В будущем мы будем наблюдать всё большее число поставщиков учетных записей, которые не только поддерживают отдельные корпоративные учетные записи, но и работают со многочисленными внешними поставщиками учетных записей – поддерживая, к примеру, учетные записи социальных сетей, медицинские смарт-карты, коммерчески приобретаемые учетные записи, такие как FIDO, а также аккаунты, создаваемые вместе с многочисленными носимыми устройствами, в которых используются чипы смарт-карт.
Этот вид брокеринга учетных записей позволит сделать нашу нынешнюю учетную запись универсальной.
Фактически, создание универсального онлайн аккаунта – это и есть конечная цель FIDO Alliance. Речь идет об универсальной учетной записи, которая была бы совместима как с потребительскими сервисами, так и с корпоративным окружением. Аббревиатура FIDO, образованная от слов fast identity online, означает общеотраслевую инициативу, направленную на создание универсального форм-фактора для сильной аутентификации, который потребители могли бы использовать для работы с потребительскими и корпоративными сервисами. Развитие FIDO осуществляется усилиями крупных отраслевых игроков, таких как PayPal, Microsoft, Google, ARM, Lenovo, MasterCard, Bank of America, American Express, и этот список можно продолжать. Идея, лежащая в основе FIDO, заключается в том, что технология PKI аутентификации позволит нам использовать один и тот же USB брелок, скан сетчатки глаза, Bluetooth токен аутентификации или мобильное устройство для доступа к банковским счетам, облачным приложениям или для входа в социальные сети.
Чтобы узнать больше о трансформации технологий потребительской и корпоративной безопасности, посмотрите наш вебинар Digital Identities: The Changing Face of Consumer and Enterprise Security Webinar или загрузите доклад IAM Trends and Enterprise Mobility eBook.
Многофакторная ассимиляция
Каким образом происходит стирание границ между методами многофакторной аутентификации корпоративного и потребительского уровня?
Если какие-то методы двухфакторной аутентификации изначально разрабатывались для потребительского применения и лишь потом адаптировались в корпоративное окружение, то другие – наоборот, создавались для использования в корпоративной среде, но нашли применение и в личном использовании.
- Биометрические технологии включают в себя сканирование отпечатков пальцев и радужной оболочки глаза, которое реализовано в нативных приложениях для аутентификации в потребительском или корпоративном сегменте. Например, биометрический браслет для двухфакторной аутентификации Nymi носится на руке и использует для аутентификации и доступа к ресурсам характерный для вашего организма ритм сокращений сердца.
- В качестве наиболее характерного примера аутентификации на основе контекста можно привести тот случай, когда вы устанавливаете флажок «Запомнить меня на этом устройстве», или когда вы используете пароли Verified-By-Visa (VBV) или MasterCard SecureCode (MsSc). При входе в корпоративный или потребительский сервис с ранее не знакомой этой системе связки браузера и устройства пользователю предлагается пройти дополнительную проверку с помощью еще одного фактора аутентификации, например, с помощью одноразового пароля (OTP). В частности, при осуществлении транзакций в электронной коммерции или в электронном банкинге, где используется стандарт 3-D Secure, эта дополнительная проверка осуществляется всякий раз в случае возникновения каких-либо подозрений в отношении транзакции, и тогда пользователей просят указать пароль VBV или McSc.
- Пуш-аутентификация в один тап позволяет аутентифицировать учетную запись в один тап на мобильном устройстве – подобный метод используется для аутентификации как в сервисах потребительского класса (например, для доступа к электронной почте), так и в сервисах корпоративной аутентификации.
Механизм единого входа в систему на работе и дома
Американский национальный институт стандартов и технология (NIST) подсчитал, что сотрудникам этого института приходится в течение суток проходить аутентификацию в среднем 23 раза. Основным выводом этого исследования стала рекомендация для организаций по возможности внедрять решения для единого входа в систему (single sign on, SSO), что позволит минимизировать «синдром усталости» пользователей от паролей.
По мнению аналитиков из Gartner, «Механизм единого входа в систему (SSO) дает возможность лишь один раз осуществлять аутентификацию, а затем автоматизировать эту процедуру для доступа к различным ресурсам. Этот механизм позволяет отказаться от необходимости обособленного входа и аутентификации при работе с отдельными системами, фактически выступая посредником между пользователем и целевыми приложениями».
В корпоративном окружении механизм единого входа реализован с помощью хранилищ паролей (password vaults) или протоколов федерации учетных записей (identity federation protocols), таких как Kerberos, SAML или Open ID Connect. В потребительских сервисах преобладают технологии федеративной проверки подлинности, являющиеся предшественниками механизма единого входа в систему. Тем не менее, потребителям также доступны и хранилища паролей. Например, когда вы кликаете по кнопке «Sign in with Google» для входа в систему с учетной записью Google, протокол Open ID Connect позволяет использовать вашу учетную запись Google для доступа к новому независимому веб-сайту, и таким образом избавляет вас от необходимости создавать новую учетную запись и регистрироваться в системе с новой комбинацией имени пользователя и пароля.
Согласно результатам недавнего исследования Gemalto Authentication and Identity Management Index, 88% лиц, принимающих решения в сфере ИТ, уже внедрили механизм единого входа в систему, либо намерены сделать это в ближайшие два года.
Взаимосовместимость – ключ к созданию универсальной учетной записи
Допустим, завтра – ваш первый день на новой работе. Можете ли вы для доступа к сети, VPN и некоторым облачным приложениям использовать одну из ваших учетных записей от социальных сетей? Если на новой работе внедрен брокер учетных записей, то ответ на этот вопрос будет положительным!
Аналогично, если в вашей организации реализован брокер учетных записей, вы можете разрешить вашим бизнес-партнерам осуществлять вход на ваш партнерский портал с помощью уже имеющихся у них аккаунтов от социальных сетей, что избавит их от необходимости заводить и поддерживать новую учетную запись – и это действительно того стоит, особенно с учетом того, как много утечек произошло благодаря использованию учетных записей поставщиков или партнеров, как, например, в случае с утечкой в Target.
Брокер учетных записей (Identity Broker) – это система, которая позволяет реализовать схему аутентификации с использованием уже существующих учетных записей (Bring-Your-Own-Identity, BYOI) и дает пользователям возможность проходить аутентификацию на различных веб-сайтах с применением своей учетной записи. При использовании этого механизма одна учетная запись пользователям может быть ассоциирована с учетными записями от различных источников. Это осуществляется с помощью таких протоколов как SAML 2.0 или Open ID Connect, которые специально созданы для выполнения подобной задачи.
В будущем мы будем наблюдать всё большее число поставщиков учетных записей, которые не только поддерживают отдельные корпоративные учетные записи, но и работают со многочисленными внешними поставщиками учетных записей – поддерживая, к примеру, учетные записи социальных сетей, медицинские смарт-карты, коммерчески приобретаемые учетные записи, такие как FIDO, а также аккаунты, создаваемые вместе с многочисленными носимыми устройствами, в которых используются чипы смарт-карт.
Этот вид брокеринга учетных записей позволит сделать нашу нынешнюю учетную запись универсальной.
Фактически, создание универсального онлайн аккаунта – это и есть конечная цель FIDO Alliance. Речь идет об универсальной учетной записи, которая была бы совместима как с потребительскими сервисами, так и с корпоративным окружением. Аббревиатура FIDO, образованная от слов fast identity online, означает общеотраслевую инициативу, направленную на создание универсального форм-фактора для сильной аутентификации, который потребители могли бы использовать для работы с потребительскими и корпоративными сервисами. Развитие FIDO осуществляется усилиями крупных отраслевых игроков, таких как PayPal, Microsoft, Google, ARM, Lenovo, MasterCard, Bank of America, American Express, и этот список можно продолжать. Идея, лежащая в основе FIDO, заключается в том, что технология PKI аутентификации позволит нам использовать один и тот же USB брелок, скан сетчатки глаза, Bluetooth токен аутентификации или мобильное устройство для доступа к банковским счетам, облачным приложениям или для входа в социальные сети.
Чтобы узнать больше о трансформации технологий потребительской и корпоративной безопасности, посмотрите наш вебинар Digital Identities: The Changing Face of Consumer and Enterprise Security Webinar или загрузите доклад IAM Trends and Enterprise Mobility eBook.
Поделиться с друзьями
nApoBo3
Данная концепция классная на уровне мысленного эксперимента, но на практике с ней множество проблем.
Первая и самая очевидная, совместимость, как в поговорке, гладко было на бумаге, да замучили овраги.
Вторая, требования к аутентификации, они могут быть очень разными.В лучшем случае для всех ресурсов придётся придерживаться самых жёстких требований, но вполне вероятен и конфликт требований.
Третья утечка, учетная запись по факту становиться непрерывной, что значительно усложняет защиту от утечки атентифицирующе информации.
Четвёртая, сильно зависит от реализации, но в общем случае нужен "корневой провайдер" учётной записи, например соц.сеть. В случае блокировки учётной записи корневым провайдером возникает множество проблем, плюс политика блокировки может быть различна, или блокировка возможна всего провайдера со стороны государства.
Да, так же не следует забывать, мы все должны 100% доверять данному провайдеру, а их может быть достаточно много.
В РФ эта идея не реализована даже в такой зарегулированной области как эцп, каждый банк, каждая платформа обмена документами, каждая площадка, требует своей эцп, со своим токеном, хотя казалось бы здесь не должно быть перечисленных проблем, а вот шишь.