Разработчикам корпоративных приложений и сайтов придется разобраться с passkeys: британский NCSC рекомендует их за устойчивость к phishing и повторному использованию учетных данных, предупреждая, что пароли по своей природе уязвимы.
Национальный центр кибербезопасности Великобритании (NCSC) рекомендует passkeys как метод аутентификации по умолчанию для бизнеса, который предлагает его потребителям, ссылаясь на прогресс отрасли, благодаря которому этот подход стал более безопасной и удобной альтернативой паролям.
В опубликованной на этой неделе записи в блоге агентство заявило, что теперь passkeys можно рекомендовать и широкой публике, и бизнесу как основной метод аутентификации.
«Passkeys должны стать первым выбором для входа для потребителей», — заявили в британском органе по кибербезопасности в записи в блоге, добавив, что пароли «больше не обладают достаточной устойчивостью для современного мира».
«Passkeys — это более новый способ входа в онлайн-аккаунты, который берет на себя большую часть работы за пользователя и требует лишь подтверждения, а не ввода пароля. Это делает passkeys быстрее и проще в использовании, а злоумышленникам сложнее их скомпрометировать», — добавили в NCSC.
Агентство заявило, что passkeys следует использовать везде, где это поддерживается, поскольку они устойчивы к phishing и устраняют риски, связанные с повторным использованием паролей.
Фокус на аутентификации, устойчивой к phishing
Руководство основано на оценке агентством того, как методы аутентификации ведут себя в реальных атаках.
NCSC заявило, что его анализ рассматривает распространенные техники, включая phishing, повторное использование учетных данных и захват сессии, а также оценивает, как учетные данные оказываются под угрозой на протяжении всего жизненного цикла — от создания и хранения до использования.
«Passkeys устойчивы к phishing-атакам и устраняют риски, связанные с повторным использованием паролей», — сказали в агентстве.
В сопровождающем техническом документе NCSC заявило, что традиционные методы аутентификации, включая пароли в сочетании с одноразовыми кодами, остаются «изначально подверженными phishing».
Напротив, учетные данные на базе FIDO2, такие как passkeys, «настолько же безопасны или более безопасны, чем традиционный MFA, против всех распространенных атак на учетные данные, наблюдаемых в реальной среде», заявило агентство.
При этом NCSC отдельно предупредило в техническом документе, что «хотя значительная часть анализа в этом документе применима и к сценариям корпоративной аутентификации (например, когда сотрудники проходят вход в Single Sign On), другая модель угроз и сценарии использования означают, что этот документ не предназначен для оценки корпоративных рисков».
Как passkeys меняют модель атак
NCSC добавило, что passkeys снижают риск за счет отказа от shared secrets и привязки аутентификации к легитимному сервису.
По словам агентства, это предотвращает повторное использование учетных данных и relay attacks, поскольку аутентификация не может быть перехвачена и использована злоумышленником повторно.
Passkeys используют криптографические пары ключей, хранящиеся на устройстве пользователя, а аутентификация привязана к проверке на устройстве, например к биометрии или PIN-кодам, сказали в агентстве.
Смещение в сторону аутентификации на уровне пользователя
Для организаций, которые предоставляют клиентам онлайн-сервисы, это руководство означает изменение того, как аутентификация реализуется на уровне пользовательского интерфейса.
«Это фундаментальное архитектурное изменение, а не постепенное улучшение аутентификации», — сказала Madelein van der Hout, старший аналитик Forrester. — «Оно выводит организации за пределы парадигмы passwords-plus-MFA к основе, устойчивой к phishing».
Van der Hout сказала, что passkeys устраняют риски, связанные с кражей учетных данных, поскольку используют криптографическую аутентификацию, привязанную к устройству, а не shared secrets.
«Организации, которые будут воспринимать это как простую замену учетных данных, недоинвестируют», — сказала она. «Те, кто увидит в этом более широкую возможность модернизации identity, получат преимущество».
NCSC также заявило, что организациям следует учитывать, как аутентификация реализована на всем пути пользователя, включая восстановление аккаунта и механизмы fallback.
Хотя passkeys уменьшают зависимость от паролей, агентство отметило, что более слабые процессы, такие как сброс пароля или потоки восстановления аккаунта, все еще могут создавать риск, если они недостаточно защищены.
Проблемы внедрения сохраняются
NCSC заявило, что passkeys пока поддерживаются не везде, и рекомендовало password managers и multi-factor authentication там, где passkeys использовать нельзя.
«Если конкретный сервис не поддерживает passkeys, рекомендация NCSC для потребителей — использовать password manager, чтобы создавать более сильные пароли, и продолжать использовать two-step verification», — отметило агентство в записи в блоге.
Van der Hout сказала, что трудности внедрения вероятны, особенно для организаций, работающих на нескольких платформах и в разных пользовательских средах.
«Наследуемые системы и фрагментированные identity-среды создают серьезные препятствия», — сказала она.
Она добавила, что организациям также нужно учитывать non-human identities. «Любая стратегия passkeys, которая игнорирует уровень machine identity, создаст новые пробелы в безопасности», — сказала она.
Требования к устройствам и процессы восстановления аккаунта тоже могут повлиять на то, как passkeys будут внедряться, сказала она.
Во время перехода ожидается гибридная модель
Аналитики считают, что полный отказ от паролей в ближайшей перспективе маловероятен.
«Ожидайте гибридную модель, которая продлится несколько лет», — сказала van der Hout, поскольку организации продолжат поддерживать и passkeys, и традиционные методы аутентификации.
В этот период организациям придется управлять аутентификацией через несколько вариантов входа, одновременно следя за тем, чтобы fallback-методы не ослабляли общую безопасность, добавила она.
NCSC также рекомендовало сохранять надежные практики аутентификации там, где passkeys пока недоступны.
Сигнал политики усиливает переход к passwordless login
Руководство дополняет более широкие усилия по отказу от паролей в потребительской аутентификации.
«Это руководство важно, потому что оно дает руководителям по безопасности рычаги влияния», — сказала van der Hout, в том числе в обсуждениях с поставщиками и внутренними стейкхолдерами.
NCSC заявило, что переход к аутентификации, устойчивой к phishing, может сократить одну из основных причин киберкомпрометации, особенно в сервисах, где вход осуществляется с помощью пользовательских учетных данных.
Первоначально материал был опубликован в CSO.
Материал — перевод статьи с английского.
Оригинал: Offer customers passkeys by default, UK’s NCSC tells enterprises