Исчезающая граница между корпоративными и личными учетными записями

в 7:00, , рубрики: аутентификация, безопасность, Блог компании Gemalto Russia, учетные записи

В последние несколько лет можно наблюдать, как постепенно стирается граница между корпоративными и личными учетными записями с точки зрения уровня безопасности и тех потребительских свойств, которые они предлагают, а сами учетные записи становятся все более совместимыми. Посмотрим, как эти две разные сферы применения учетных записей становятся более схожими друг с другом.

Исчезающая граница между корпоративными и личными учетными записями - 1

Многофакторная ассимиляция

Каким образом происходит стирание границ между методами многофакторной аутентификации корпоративного и потребительского уровня?
Если какие-то методы двухфакторной аутентификации изначально разрабатывались для потребительского применения и лишь потом адаптировались в корпоративное окружение, то другие – наоборот, создавались для использования в корпоративной среде, но нашли применение и в личном использовании.

  • Биометрические технологии включают в себя сканирование отпечатков пальцев и радужной оболочки глаза, которое реализовано в нативных приложениях для аутентификации в потребительском или корпоративном сегменте. Например, биометрический браслет для двухфакторной аутентификации Nymi носится на руке и использует для аутентификации и доступа к ресурсам характерный для вашего организма ритм сокращений сердца.
  • В качестве наиболее характерного примера аутентификации на основе контекста можно привести тот случай, когда вы устанавливаете флажок «Запомнить меня на этом устройстве», или когда вы используете пароли Verified-By-Visa (VBV) или MasterCard SecureCode (MsSc). При входе в корпоративный или потребительский сервис с ранее не знакомой этой системе связки браузера и устройства пользователю предлагается пройти дополнительную проверку с помощью еще одного фактора аутентификации, например, с помощью одноразового пароля (OTP). В частности, при осуществлении транзакций в электронной коммерции или в электронном банкинге, где используется стандарт 3-D Secure, эта дополнительная проверка осуществляется всякий раз в случае возникновения каких-либо подозрений в отношении транзакции, и тогда пользователей просят указать пароль VBV или McSc.
  • Пуш-аутентификация в один тап позволяет аутентифицировать учетную запись в один тап на мобильном устройстве – подобный метод используется для аутентификации как в сервисах потребительского класса (например, для доступа к электронной почте), так и в сервисах корпоративной аутентификации.

Исчезающая граница между корпоративными и личными учетными записями - 2

Механизм единого входа в систему на работе и дома

Американский национальный институт стандартов и технология (NIST) подсчитал, что сотрудникам этого института приходится в течение суток проходить аутентификацию в среднем 23 раза. Основным выводом этого исследования стала рекомендация для организаций по возможности внедрять решения для единого входа в систему (single sign on, SSO), что позволит минимизировать «синдром усталости» пользователей от паролей.

По мнению аналитиков из Gartner, «Механизм единого входа в систему (SSO) дает возможность лишь один раз осуществлять аутентификацию, а затем автоматизировать эту процедуру для доступа к различным ресурсам. Этот механизм позволяет отказаться от необходимости обособленного входа и аутентификации при работе с отдельными системами, фактически выступая посредником между пользователем и целевыми приложениями».

В корпоративном окружении механизм единого входа реализован с помощью хранилищ паролей (password vaults) или протоколов федерации учетных записей (identity federation protocols), таких как Kerberos, SAML или Open ID Connect. В потребительских сервисах преобладают технологии федеративной проверки подлинности, являющиеся предшественниками механизма единого входа в систему. Тем не менее, потребителям также доступны и хранилища паролей. Например, когда вы кликаете по кнопке «Sign in with Google» для входа в систему с учетной записью Google, протокол Open ID Connect позволяет использовать вашу учетную запись Google для доступа к новому независимому веб-сайту, и таким образом избавляет вас от необходимости создавать новую учетную запись и регистрироваться в системе с новой комбинацией имени пользователя и пароля.

Согласно результатам недавнего исследования Gemalto Authentication and Identity Management Index, 88% лиц, принимающих решения в сфере ИТ, уже внедрили механизм единого входа в систему, либо намерены сделать это в ближайшие два года.

Взаимосовместимость – ключ к созданию универсальной учетной записи

Допустим, завтра – ваш первый день на новой работе. Можете ли вы для доступа к сети, VPN и некоторым облачным приложениям использовать одну из ваших учетных записей от социальных сетей? Если на новой работе внедрен брокер учетных записей, то ответ на этот вопрос будет положительным!

Аналогично, если в вашей организации реализован брокер учетных записей, вы можете разрешить вашим бизнес-партнерам осуществлять вход на ваш партнерский портал с помощью уже имеющихся у них аккаунтов от социальных сетей, что избавит их от необходимости заводить и поддерживать новую учетную запись – и это действительно того стоит, особенно с учетом того, как много утечек произошло благодаря использованию учетных записей поставщиков или партнеров, как, например, в случае с утечкой в Target.

Брокер учетных записей (Identity Broker) – это система, которая позволяет реализовать схему аутентификации с использованием уже существующих учетных записей (Bring-Your-Own-Identity, BYOI) и дает пользователям возможность проходить аутентификацию на различных веб-сайтах с применением своей учетной записи. При использовании этого механизма одна учетная запись пользователям может быть ассоциирована с учетными записями от различных источников. Это осуществляется с помощью таких протоколов как SAML 2.0 или Open ID Connect, которые специально созданы для выполнения подобной задачи.

В будущем мы будем наблюдать всё большее число поставщиков учетных записей, которые не только поддерживают отдельные корпоративные учетные записи, но и работают со многочисленными внешними поставщиками учетных записей – поддерживая, к примеру, учетные записи социальных сетей, медицинские смарт-карты, коммерчески приобретаемые учетные записи, такие как FIDO, а также аккаунты, создаваемые вместе с многочисленными носимыми устройствами, в которых используются чипы смарт-карт.

Этот вид брокеринга учетных записей позволит сделать нашу нынешнюю учетную запись универсальной.

Исчезающая граница между корпоративными и личными учетными записями - 3

Фактически, создание универсального онлайн аккаунта – это и есть конечная цель FIDO Alliance. Речь идет об универсальной учетной записи, которая была бы совместима как с потребительскими сервисами, так и с корпоративным окружением. Аббревиатура FIDO, образованная от слов fast identity online, означает общеотраслевую инициативу, направленную на создание универсального форм-фактора для сильной аутентификации, который потребители могли бы использовать для работы с потребительскими и корпоративными сервисами. Развитие FIDO осуществляется усилиями крупных отраслевых игроков, таких как PayPal, Microsoft, Google, ARM, Lenovo, MasterCard, Bank of America, American Express, и этот список можно продолжать. Идея, лежащая в основе FIDO, заключается в том, что технология PKI аутентификации позволит нам использовать один и тот же USB брелок, скан сетчатки глаза, Bluetooth токен аутентификации или мобильное устройство для доступа к банковским счетам, облачным приложениям или для входа в социальные сети.

Чтобы узнать больше о трансформации технологий потребительской и корпоративной безопасности, посмотрите наш вебинар Digital Identities: The Changing Face of Consumer and Enterprise Security Webinar или загрузите доклад IAM Trends and Enterprise Mobility eBook.

Автор: GemaltoRussia

Источник

Поделиться

* - обязательные к заполнению поля