����������, ������, �������
04.10.2021
Эльвира Трифонова

Что такое беспарольная аутентификация

Количество просмотров: 114

Вернуться к списку статей

Беспарольная аутентификация — это процесс подтверждения личности пользователя программного обеспечения с помощью чего-то другого, нежели пароля. Наиболее распространенные методы беспарольной аутентификации включают в себя проверку наличия у пользователя вторичного устройства или учетной записи либо уникальных биометрических характеристик, таких как лицо или отпечаток пальца.

Беспарольная аутентификация может снизить затраты и риски по безопасности в любой организации. И, как объясняет Сэм Сринивас, директор по управлению продуктами Google Cloud, в ближайшем будущем ее использование, вероятно, будет быстро расти.

Вот почему все больше предприятий обращаются к беспарольной аутентификации и, как и вы, могут реализовать ее в своей организации.

Почему беспарольная аутентификация лучше пароля

Беспарольная аутентификация обеспечивает более плавную работу по сравнению с традиционной аутентификацией по имени пользователя и паролю (U/P) как для вас, так и для ваших пользователей. Это не только сэкономит вам деньги, но в некоторых случаях может даже привести к увеличению продаж.

Сниженные риски безопасности

Согласно отчету Verizon о расследовании утечек данных за 2021 год (DBIR) более 84% приходится на утечку учетных данных. Отказ от паролей в целом снижает риск утечки данных, поскольку ограничивает способность злоумышленника использовать их против вас и ваших пользователей.

Например, киберпреступники часто используют заполнение учетных данных (используя скомпрометированные учетные данные пользователя в результате одного взлома для получения доступа к одной организации) для взлома другой организации, потому что более двух третей всех людей повторно используют пароли. Удаление паролей лишает киберпреступников возможности использовать учетные данные, которые они получили где-то еще, для доступа к учетным записям в вашей системе.

Беспарольная аутентификация, использующая современные методы аутентификации, снижает уязвимость вашей организации перед фишинговыми атаками, вынуждающими пользователей загружать вредоносное ПО или предоставлять конфиденциальную информацию с помощью вредоносного электронного письма.

Поскольку на фишинг приходится 36% всех утечек данных и многие из них осуществляются с целью получения имени пользователя и пароля, устранение паролей означает, что ваши пользователи или сотрудники не будут случайно предоставлять злоумышленникам все, чем пользуются для получения доступа к своим учетным записям и личным данным, если получают фишинговое письмо.

Снижение затрат (и увеличение продаж) за счет лучшего взаимодействия с пользователем

Среднестатистическому человеку нужно запомнить 100 паролей, и каждую неделю он тратит 12,6 минут на их сброс (часто через звонок в службу поддержки). Это приводит к тому, что ваша организация тратит больше денег на сброс паролей и время обслуживания клиентов, чем вы думаете.

Реализация беспарольной аутентификации помогает снизить или исключить эти затраты, поскольку ваши пользователи смогут входить в систему без пароля. Это также избавляет от необходимости хранить и поддерживать эти базы данных паролей.

Исследования, проведенные Ponemon Institute и Yubico, также показывают, что для ряда предприятий устранение паролей может увеличить продажи, поскольку почти половина из 1700+ опрошенных ИТ-специалистов сообщили, что они не могут завершить личную транзакцию из-за забытого пароля.

Наконец, пользовательский опыт является конкурентным преимуществом для компаний, занимающихся разработкой программного обеспечения (даже на уровне предприятия). Таким образом, уменьшение трения при входе в систему также побуждает пользователей выбрать вас среди конкурентов.

Типы беспарольной аутентификации

Традиционная аутентификация по имени пользователя и паролю требует, чтобы пользователь ввел что-то, что он знает (пароль), чтобы проверить, кто он. А методы беспарольной аутентификации требуют, чтобы пользователь продемонстрировал, что у него есть что-то (фактор владения) или что он есть (фактор принадлежности), и то и другое труднее обойти.

Ниже приведены наиболее распространенные методы, используемые для проверки факторов наследования и владения:

  1. Биометрия: многие физические черты более или менее уникальны для каждого человека. Биометрическая аутентификация использует эти уникальные физические характеристики, чтобы проверить, является ли человек тем, кем он является, без запроса пароля. Например, вероятность того, что два лица идентичны, составляет менее одного триллиона, поэтому распознавание лиц является эффективным способом проверки личности.
  2. «Волшебные ссылки»: вместо того, чтобы запрашивать у пользователя пароль, эта форма беспарольной аутентификации просит пользователя ввести свой адрес электронной почты в поле входа. Затем ему отправляется электронное письмо со ссылкой, которую он может щелкнуть для входа в систему. Этот процесс повторяется каждый раз, когда пользователь входит в систему.
  3. Одноразовые пароли/коды: одноразовые пароли или одноразовые коды похожи на волшебные ссылки, но вместо них пользователи должны вводить код, который вы отправляете им (по электронной почте или на их мобильное устройство с помощью SMS), просто щелкнув ссылку. Этот процесс повторяется каждый раз, когда пользователь входит в систему.
  4. Push-уведомления: пользователи получают push-уведомления на свои мобильные устройства через специальное приложение-аутентификатор (например, Google Authenticator) и открывают приложение с помощью push-уведомления, чтобы подтвердить свою личность.

Как реализовать беспарольную аутентификацию

Кодирование беспарольной аутентификации намного сложнее, чем просто велеть вашей команде разработчиков изменить поле входа в систему. Фактически, если бы ваше окно входа было переключателем света, реализация беспарольной аутентификации для многих организаций была бы больше похожа на перемонтаж всего дома.

Сторонние же поставщики предлагают быструю и более безопасную реализацию, более надёжную и актуальную, чем всё, что можно создать собственными силами.

Степень, в которой эта аналогия верна для вас, будет зависеть от конструкции ваших существующих систем управления идентификацией и доступом. Но дело в том, что безопасное внедрение намного сложнее и дороже, чем многие думают, и часто требует выделенных ресурсов разработки в течение длительного периода времени (а затем масштабирования и обслуживания этих систем после внедрения).

В результате многие организации предпочитают работать с провайдером аутентификации, который может сократить время на реализацию беспарольной аутентификации для миллионов пользователей порой до считанных месяцев, а также избавить их от многих затрат на обслуживание, с которыми они столкнутся в будущем.

Переведено со статьи, полный текст доступен по ссылке.

Вернуться к списку статей
22.09.2021 09:00:00
Сервис авторизации Trusted.Net для автоматизации процессов вуза

Количество просмотров: 174

Представляем вашему вниманию интервью с начальником центра автоматизированных информационных систем и технологий Волгатеха Александром Царегородцевым, который поделился опытом использования решения Trusted.Net и планами по дальнейшему развитию цифровых ресурсов и сервисов.

15.09.2021 09:00:00
Trusted.Net 1.3 — единый вход для всех сайтов

Количество просмотров: 203

Trusted.Net — комплексная система, предназначенная для создания единого входа, управления правами доступа и пользовательскими данными на корпоративных ресурсах. Читайте в нашем пресс-релизе о новой версии Trusted.Net 1.3.

15.01.2020 14:41:24
Trusted.ID — современный подход к корпоративной аутентификации

Количество просмотров: 1376

Компания «Цифровые технологии» объявляет о выпуске нового продукта Trusted.ID 1.0, это коробочная версия одноименного сервиса. Trusted.ID решает комплекс задач по внедрению системы единого входа на корпоративные ресурсы и обеспечения контроля за доступом к ним в автономном режиме..

20.08.2019 11:05:00
Trusted.ID — сервис идентификации и авторизации пользователей

Количество просмотров: 2657

Trusted.ID создает единое пространство приложений и пользователей. Набор виджетов и модулей позволяет сделать аутентификацию через  сервис незаметной для пользователя, а разнообразие методов и протоколов позволяют настроить аутентификацию под ваши требования безопасности.

Показать еще
07.09.2021 09:00:00
Назначение сертифицированной версии КриптоАРМ ГОСТ

Количество просмотров: 322

В каких случаях необходимо применение сертифицированного программного обеспечения? Что последует за нарушение требований законодательства к применяемым средствам защиты информации? Подробнее читайте в статье.

28.06.2017 15:46:39
Электронные больничные листы: что, как и зачем?

Количество просмотров: 23201

С 1 июля 2017 года вступает в силу Федеральный закон от 01.05.2017 №86-ФЗ, в соответствии с которым наряду с бумажным листком нетрудоспособности появится возможность оформления электронного «больничного».

25.05.2017 11:58:19
"Ростелеком" создаст национальную биометрическую платформу

Количество просмотров: 2841

"Ростелеком" ведет работу над созданием национальной биометрической платформы, инвестирует в это около 200 миллионов рублей, сообщил журналистам президент компании Михаил Осеевский в кулуарах конференции "Цифровая индустрия промышленной России 2017" (ЦИПР).

24.05.2017 11:54:45
Разработчиков браузеров обяжут поддерживать отечественное шифрование

Количество просмотров: 3792

Комиссия Минкомсвязи подготовила документ, предусматривающий переход на российские средства шифрования к 2021 году.

Показать еще
11.10.2021 09:00:00
Корпоративная почта стала защищённой

Количество просмотров: 85

Читайте в нашей статье, что такое корпоративная почта и какими средствами можно обеспечить защищенный обмен электронными письмами.

07.10.2021 09:00:00
Защищенная почта в КриптоАРМ ГОСТ

Количество просмотров: 86

Компания «Цифровые технологии» представляет бета-версию КриптоАРМ ГОСТ 3.1. Особенность версии в том, что в ней реализован модуль работы с почтой. Появилась возможность отправки и получения электронных писем по стандарту S/MIME с применением ГОСТ криптоалгоритмов.

22.09.2021 09:00:00
Сервис авторизации Trusted.Net для автоматизации процессов вуза

Количество просмотров: 174

Представляем вашему вниманию интервью с начальником центра автоматизированных информационных систем и технологий Волгатеха Александром Царегородцевым, который поделился опытом использования решения Trusted.Net и планами по дальнейшему развитию цифровых ресурсов и сервисов.

13.09.2021 09:00:00
Как подписать договор в электронной форме

Количество просмотров: 288

Нюансы подписания электронных договоров гражданско-правового характера, выбор электронной подписи, судебная практика — об этом и многом другом в нашей статье.

Показать еще
11.10.2019 14:45:25
Цифровое государство: новые подходы к управлению и безопасности

Количество просмотров: 1942

Компания «Цифровые технологии» примет участие в работе XI Конференции «Цифровое государство: новые подходы к управлению и безопасности» (13-15 ноября 2019 г., парк-отель «Солнечный») и приглашает своих партнеров присоединиться к намеченным обсуждениям.

16.11.2017 11:12:37
ВТБ24 в декабре внедрит идентификацию клиентов по селфи

Количество просмотров: 2819

Группа ВТБ и входящий в нее ВТБ 24 планируют внедрить биометрическую аутентификацию клиентов по внешности в офисах розничной сети в декабре 2017 года. Об этом сообщает пресс-служба ВТБ24.

25.05.2017 11:58:19
"Ростелеком" создаст национальную биометрическую платформу

Количество просмотров: 2841

"Ростелеком" ведет работу над созданием национальной биометрической платформы, инвестирует в это около 200 миллионов рублей, сообщил журналистам президент компании Михаил Осеевский в кулуарах конференции "Цифровая индустрия промышленной России 2017" (ЦИПР).

Возврат к списку