Что такое беспарольная аутентификация

Эльвира Трифонова · 04 Окт 2021 · 393 · Поделиться

Беспарольная аутентификация — это процесс подтверждения личности пользователя программного обеспечения с помощью чего-то другого, нежели пароля. Наиболее распространенные методы беспарольной аутентификации включают в себя проверку наличия у пользователя вторичного устройства или учетной записи либо уникальных биометрических характеристик, таких как лицо или отпечаток пальца.

Беспарольная аутентификация может снизить затраты и риски по безопасности в любой организации. И, как объясняет Сэм Сринивас, директор по управлению продуктами Google Cloud, в ближайшем будущем ее использование, вероятно, будет быстро расти.

Вот почему все больше предприятий обращаются к беспарольной аутентификации и, как и вы, могут реализовать ее в своей организации.

Почему беспарольная аутентификация лучше пароля

Беспарольная аутентификация обеспечивает более плавную работу по сравнению с традиционной аутентификацией по имени пользователя и паролю (U/P) как для вас, так и для ваших пользователей. Это не только сэкономит вам деньги, но в некоторых случаях может даже привести к увеличению продаж.

Сниженные риски безопасности

Согласно отчету Verizon о расследовании утечек данных за 2021 год (DBIR) более 84% приходится на утечку учетных данных. Отказ от паролей в целом снижает риск утечки данных, поскольку ограничивает способность злоумышленника использовать их против вас и ваших пользователей.

Например, киберпреступники часто используют заполнение учетных данных (используя скомпрометированные учетные данные пользователя в результате одного взлома для получения доступа к одной организации) для взлома другой организации, потому что более двух третей всех людей повторно используют пароли. Удаление паролей лишает киберпреступников возможности использовать учетные данные, которые они получили где-то еще, для доступа к учетным записям в вашей системе.

Беспарольная аутентификация, использующая современные методы аутентификации, снижает уязвимость вашей организации перед фишинговыми атаками, вынуждающими пользователей загружать вредоносное ПО или предоставлять конфиденциальную информацию с помощью вредоносного электронного письма.

Поскольку на фишинг приходится 36% всех утечек данных и многие из них осуществляются с целью получения имени пользователя и пароля, устранение паролей означает, что ваши пользователи или сотрудники не будут случайно предоставлять злоумышленникам все, чем пользуются для получения доступа к своим учетным записям и личным данным, если получают фишинговое письмо.

Снижение затрат (и увеличение продаж) за счет лучшего взаимодействия с пользователем

Среднестатистическому человеку нужно запомнить 100 паролей, и каждую неделю он тратит 12,6 минут на их сброс (часто через звонок в службу поддержки). Это приводит к тому, что ваша организация тратит больше денег на сброс паролей и время обслуживания клиентов, чем вы думаете.

Реализация беспарольной аутентификации помогает снизить или исключить эти затраты, поскольку ваши пользователи смогут входить в систему без пароля. Это также избавляет от необходимости хранить и поддерживать эти базы данных паролей.

Исследования, проведенные Ponemon Institute и Yubico, также показывают, что для ряда предприятий устранение паролей может увеличить продажи, поскольку почти половина из 1700+ опрошенных ИТ-специалистов сообщили, что они не могут завершить личную транзакцию из-за забытого пароля.

Наконец, пользовательский опыт является конкурентным преимуществом для компаний, занимающихся разработкой программного обеспечения (даже на уровне предприятия). Таким образом, уменьшение трения при входе в систему также побуждает пользователей выбрать вас среди конкурентов.

Типы беспарольной аутентификации

Традиционная аутентификация по имени пользователя и паролю требует, чтобы пользователь ввел что-то, что он знает (пароль), чтобы проверить, кто он. А методы беспарольной аутентификации требуют, чтобы пользователь продемонстрировал, что у него есть что-то (фактор владения) или что он есть (фактор принадлежности), и то и другое труднее обойти.

Ниже приведены наиболее распространенные методы, используемые для проверки факторов наследования и владения:

  1. Биометрия: многие физические черты более или менее уникальны для каждого человека. Биометрическая аутентификация использует эти уникальные физические характеристики, чтобы проверить, является ли человек тем, кем он является, без запроса пароля. Например, вероятность того, что два лица идентичны, составляет менее одного триллиона, поэтому распознавание лиц является эффективным способом проверки личности.
  2. «Волшебные ссылки»: вместо того, чтобы запрашивать у пользователя пароль, эта форма беспарольной аутентификации просит пользователя ввести свой адрес электронной почты в поле входа. Затем ему отправляется электронное письмо со ссылкой, которую он может щелкнуть для входа в систему. Этот процесс повторяется каждый раз, когда пользователь входит в систему.
  3. Одноразовые пароли/коды: одноразовые пароли или одноразовые коды похожи на волшебные ссылки, но вместо них пользователи должны вводить код, который вы отправляете им (по электронной почте или на их мобильное устройство с помощью SMS), просто щелкнув ссылку. Этот процесс повторяется каждый раз, когда пользователь входит в систему.
  4. Push-уведомления: пользователи получают push-уведомления на свои мобильные устройства через специальное приложение-аутентификатор (например, Google Authenticator) и открывают приложение с помощью push-уведомления, чтобы подтвердить свою личность.

Как реализовать беспарольную аутентификацию

Кодирование беспарольной аутентификации намного сложнее, чем просто велеть вашей команде разработчиков изменить поле входа в систему. Фактически, если бы ваше окно входа было переключателем света, реализация беспарольной аутентификации для многих организаций была бы больше похожа на перемонтаж всего дома.

Сторонние же поставщики предлагают быструю и более безопасную реализацию, более надёжную и актуальную, чем всё, что можно создать собственными силами.

Степень, в которой эта аналогия верна для вас, будет зависеть от конструкции ваших существующих систем управления идентификацией и доступом. Но дело в том, что безопасное внедрение намного сложнее и дороже, чем многие думают, и часто требует выделенных ресурсов разработки в течение длительного периода времени (а затем масштабирования и обслуживания этих систем после внедрения).

В результате многие организации предпочитают работать с провайдером аутентификации, который может сократить время на реализацию беспарольной аутентификации для миллионов пользователей порой до считанных месяцев, а также избавить их от многих затрат на обслуживание, с которыми они столкнутся в будущем.

Переведено со статьи, полный текст доступен по ссылке.

Вернуться к списку новостей

Подпишитесь и получайте новые статьи по почте

Заполните поле Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!

Узнавайте новости первыми —
подпишитесь на нашу новостную рассылку

Заполните поле
Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!