Slaptažodžiai yra netvarka, MFA gali būti labiau stabdis, o ne sprendimas apsimetant sukčiavimu, o nuosavo sertifikatų viešojo rakto infrastruktūros valdymas yra daug darbo. Ilgalaikis tikslas – pereiti prie beslaptažodžių kredencialų, kurių negalima sukčiauti.
„Slaptažodžiai yra didžiulė problema: didžiulė naudojimo problema ir didžiulė valdymo problema“, – „TechRepublic“ sakė Alexas Weinertas, „Microsoft“ tapatybės saugumo viceprezidentas. „Yra įvairių būdų, kaip apeiti slaptažodžių naudojimą, o senamadiškas būdas yra bet kuriuo atveju turėti slaptažodį, bet tada jį atkurti su kažkuo kitu.
Deja, dėl socialinė inžinerijatoks metodas vis dar nesaugus.
„Vis dažniau pereiname prie sukčiavimui atsparių kredencialų, nes slaptažodžio atsarginės kopijos su kažkuo kitu problema yra ta, kad jei kas nors atspėtų jūsų slaptažodį, jie gali apgauti jus ir patvirtinti kitą dalį“, – sakė Weinert.
PAMATYTI: Mobiliųjų įrenginių saugos politika („TechRepublic Premium“)
Dvi kelių veiksnių autentifikavimo parinktys, kurios laikomos atspariomis sukčiavimui, yra FIDO saugos raktai, apimantys integruotas biometrines parinktis, pvz., „Windows Hello“, ir asmens tapatybės patvirtinimą bei įprastas prieigos korteles.
Peršokti į:
Sertifikatų atnaujinimas naudojant ADFS yra sudėtingas ir brangus
Ironiška, bet jei esate su saugumu susijusi organizacija reguliuojamoje pramonėje, kuri jau atliko sunkų darbą pritaikydama ankstesnį auksinį standartą – intelektualiąsias korteles, turinčias saugos sertifikatą ir patvirtinančias jį pagal jūsų infrastruktūros sertifikatų instituciją – galite užstrigti. paleisti ADFS, kai bandote pereiti prie naujų FIDO raktų. Tai ypač aktualu įmonėms, turinčioms a BYOD politika.
Iki šiol vienintelis būdas naudoti PIV ir CAC su Azure AD buvo paleisti ADFS savo infrastruktūroje, susietoje su jūsų sertifikatų institucija. ADFS naudojimas kaip serveris SAML prieigos raktams pasirašyti reiškia pasirašymo sertifikatų valdymą.
„Tvarkyti sertifikatus yra sunku, saugiai valdyti sertifikatus yra labai sunku, o vietinę infrastruktūrą beprotiškai sunku apginti“, – sakė Weinert. “Jei ketinate tai padaryti, norite tam skirti daug išteklių.”
Vietinė infrastruktūra yra linkusi atakuoti
Ne kiekviena organizacija turi tuos išteklius, o tapatybės infrastruktūrą perkeliant į debesį didžioji dalis pastangų kyla dėl to, kaip sunku užtikrinti jos saugumą savo serveriuose. Weinertas kaip pavyzdį nurodė naujausius duomenų pažeidimus.
„Pažeidimas beveik visada kyla iš vietinės infrastruktūros“, – sakė jis. „Daugelyje aplinkų patekti į VPN nėra taip sunku, nes man tereikia vieno vartotojo toje aplinkoje, kad spustelėtų blogą nuorodą ir gautų kenkėjišką programą, o dabar turiu vadovavimą ir valdymą VPN viduje. Iš ten gana trumpas darbas pereiti į šoną į serverį, kuris atlieka kažką svarbaus, pavyzdžiui, tvirtina sertifikatus ar pasirašo dalykus.
Viena neseniai atlikta ataka perkėlė sistemos lygio kenkėjišką programą į ADFS serverį, leidžiančią užpuolikams užbaigti procesą ir perimti parašus, net jei organizacija naudojo HSM. Tai padarė tai, ką Weinert vadina gana rafinuotu užpuoliku.
„Dabar, kai jie tai padarė, visi stengsis“, – perspėjo jis.
Mobilieji sertifikatai ir Azure AD
„Windows Hello“, FIDO prieigos raktai suteikia tokį patį tvirtą autentifikavimą kaip ir serverio autentifikavimas, nenaudojant sertifikatų infrastruktūros. Tačiau kai kurios organizacijos to dar negali padaryti.
„Ilgalaikis tikslas yra tai, kad mes iš viso neturėtume žmonių, valdančių savo PKI, nes jiems daug lengviau ir daug saugiau“, – sakė Weinert. „Turbūt kiekvienas nori pabėgti nuo savo PKI, bet niekas negali nuo to akimirksniu pabėgti.
Sertifikatu pagrįstas autentifikavimas „Azure AD“ prideda „Azure AD“ intelektualiųjų kortelių palaikymą, o dabar galite nustatyti strategiją, kuri reikalauja nuo sukčiavimo apsaugotos MFA prisijungiant prie savųjų ir žiniatinklio programų „iOS“ ir „Android“ naudojant FIDO saugos raktus. Tai taip pat veikia naudojant „Microsoft Authenticator“ programą „iOS“ ir „Android“ su „YubiKey“, kad būtų galima prisijungti prie programų, kurios nenaudoja naujausios „Microsoft“ autentifikavimo bibliotekos versijos.
Naudodami aparatūros raktus komandos gali teikti sertifikatus nuotoliniams darbuotojams, BYOD ir kitiems nevaldomiems įrenginiams – nereikia atsitraukti nuo esamos infrastruktūros, kol būsite pasiruošę. Taip pat labiau pasitikite, kad sertifikatas yra apsaugotas, nes jis niekada nepalieka saugos rakto aparatinės įrangos apsaugos: jei sertifikatus teikiate tiesiogiai įrenginiuose, turite pasitikėti įrenginio PIN kodu, o griežtesnės PIN politikos nustatymas gali būti didelis smūgis vartotojų produktyvumui.
Geras saugumas padidina produktyvumą
Organizacijų saugumas gerėja, o darbuotojai turi geresnę patirtį, nes jiems nereikia užtikrinti, kad jų mobilusis įrenginys jungtųsi pakankamai dažnai, kad galėtų turėti atnaujintą sertifikatą, arba susidoroti su tiek daug autentifikavimo raginimų, kad jie gautų. MFA nuovargis ir tiesiog spustelėkite „Taip“, kas gali būti sukčiavimo ataka. Sertifikato naudojimas – telefone arba naudojant saugos raktą – reiškia, kad jums visai nereikia raginti vartotojo.
Per daug organizacijų mano, kad naudotojų raginimas prisijungti prie MFA kas valandą ar dvi padidina saugumą. Tai daro priešingai, perspėjo Weinertas.
„Tai neproduktyvu, ir ne tik todėl, kad tai vargina vartotoją“, – sakė jis. „Dabar jūs negalite naudoti interaktyvaus raginimo kaip saugumo priemonės, nes jie tam pasakys „taip“.
Jis palygino tai su priverstiniais slaptažodžio keitimais.
„Iš pirmo žvilgsnio tai skamba kaip gera idėja, bet iš tikrųjų tai pati blogiausia idėja“, – sakė Weinert. „Slaptažodžio pakeitimas neduoda nieko kito, kaip tik palengvina užpuolikui atspėti kitą slaptažodį arba atspėti dabar turimą slaptažodį, nes žmonės yra nuspėjami.
Aparatūros raktas taip pat yra labiau nešiojamas: jei kas nors gauna naują telefoną arba pirmosios linijos darbuotojas prisijungia prie bendro kiosko arba kiekvieną dieną jam išduodamas kitas įrenginys, jis gali nedelsdamas naudoti prieigos raktą.
Mobilioji „Azure AD“ sertifikatu pagrįsta prieiga yra vieša peržiūra ir iš pradžių veikia tik su „YubiKey“ saugos raktais, kurie prijungiami prie USB prievado: „Microsoft“ planuoja pridėti NFC palaikymą, taip pat daugiau aparatinės įrangos tiekėjų.
Jis taip pat dera su kitais „Azure AD“ patobulinimais, kurie jums gali būti naudingi. Jei jau naudojate „YubiKey“, kad apsaugotumėte prieigą prie „Active Directory“ ir ADFS, tas pats saugos rakto sertifikatas dabar leis jums autentifikuoti „Azure AD“ saugomus išteklius, pvz., „Azure Virtual Desktop“.
Susiekite tai su naujomis detaliomis sąlyginės prieigos strategijomis „Azure AD“, kad pasirinktumėte, kokio lygio MFA reikia skirtingoms programoms. Dabar galite leisti prieigą prie senų programų, kurios gali nepalaikyti FIDO, naudodami tokias parinktis kaip TOTP, neleisdami to visoms programoms.
Tai yra galimybės, kurios nepriverčia klaidingai rinktis tarp produktyvumo ir saugumo, pažymi Weinert.
„Jei slopinate kažkieno produktyvumą, kaip organizacijos ar vartotojo, jie visada rinksis produktyvumą, o ne saugumą“, – sakė jis. „Jei norite, kad žmonės turėtų geresnę saugumo praktiką, tai, ką jums reikia padaryti, tai iš tikrųjų padaryti saugų veiksmų būdą produktyviu.