Пароль жил, жив и будет жить и нет никаких вариантов, или все же есть альтернативы, которые в будущем могут стать мейнстримом?
Пароли - это пережиток прошлого или суровая реальность и неизбежное зло ?
Парольная защита против других методов аутентификации. Насколько мы все зависим от паролей ?
Биометрия, токены, SSO и другие методы ухода от паролей. Насколько все это реально работает в корпоративной среде ?
Облачные провайдеры аутентификации, системы хранения паролей и другие методы замены паролей
Как можно усилить парольную защиту дополнительными мерами ?
Глобальные тренды, способные в будущем серьезно повлиять на используемые методы аутентификации и контроля доступа
Смотрите запись эфира: https://www.youtube.com/watch?list=PLv9fv__1TSFbRVVuVLPl6yCs7srQjTvy3&v=o14YzQ5dTUY
6. У великанов есть слои, и у паролей есть слои. Предлагаю
рассматривать отдельно:
• Личные пароли (IoT, телефон, домашняя сеть, десктоп)
• Пароли в b2c сервисах
• Корпоративная среда и сектора повышенной бдительности
• Непривилегированные УЗ
• Привилегированные УЗ
• B2B сервисы
7. Как мы видим?
• Конференции - доклады про IoT
• Истории про взломы личных устройств знаменитостей
Что мы видим?
• Переиспользование паролей
• Простые пароли
• Сложившаяся народная мудрость по
удовлетворению password complexity
requirements
отдельное спасибо за это
сервис-провайдерам и разработчикам
ЛИЧНЫЕ И B2C-ПАРОЛИ, ТРЕНДЫ
8. Для пользователей:
• пароль воспринимается как способ выражения согласия
работы с сервисом/девайсом
• защита конфиденциальности/приватности - скорее нет
(см.рассказать все про себя добровольно)
• доверие сервис-провайдерам, плоское отношение к их
защищенности
• неявное предположение о liability сервис-провайдера, если
что-то пойдет не так
Для провайдеров услуг:
• нет запроса от пользователей
• экосистема готовых компонентов
сложилась
• есть опция OAuth/OpenID –
большего мало кому надо
ЛИЧНЫЕ И B2C-ПАРОЛИ, ВЫВОДЫ
9. Как мы видим
• опыт проведения пентестов с 2010 года
Что мы видим (по уровням зрелости)
• AD + локальные базы пользователей во внутренних
приложениях
• AD + интеграция внутренних приложений с LDAP
• AD + усиленная аутентификация для
служебных/привилегированных УЗ на неAD-integrated
ресурсах
• ключи/сертификаты
• 2FA
• AD + EAP/TLS + SSO везде для
пользователей + 2FA для админов
КОРПОРАТИВНАЯ СРЕДА
10. Основной вывод наблюдений:
• да, есть проблема в Identity management и методах аутентификации
• речь про привилегированные УЗ
• если все интегрируем, то все яйца в одной корзине
• если везде свои УЗ, появляются парольные менеджеры, списки
в текстовых файлах и т.п.
• большая проблема есть в управлении привилегиями и
сегментацией
• тренд на централизацию управления и
интеграцию всего со всем противоречит
принципам ИБ все сегментировать и разделить
• MaxPatrol, Kaspersky management center,
Nessus с агентами
• системы виртуализации интегрированные в AD
• AAA на сетевых устройствах через
TACACS/RADIUS, где СУБД на windows-машине
КОРПОРАТИВНАЯ СРЕДА
13. ДРУГИЕ МЕТОДЫ АУТЕНТИФИКАЦИИ
1. Дорого
2. Не применимо в некоторых бизнес-процессах
3. Не применимо в некоторых бизнес-процессах
14. Парольная защита против других методов аутентификации в b2c
• в b2c пароли просто работают
• ввод 2FA и любые изменения в способе аутентификации в b2c в
b2c сервис-провайдерах класса уandex/facebook и т.п. - это
проект колоссальной сложности и числа переменных
• если кто-то решил эту задачу, почему остальным не
делегировать решившим?
• oauth/openid
• тем более про privacy (см. выше) параноит очень малый
процент пользователей
• кое-какие сервис-провайдеры еще подпадают
под требования регуляторов
• ЭЦП/3ds и т.п.
• считаем данную область неинтересной
для дискуссии, ибо требования даны
свыше
ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
15. Парольная защита против других методов аутентификации в корпоративной
среде
• данность:
• legacy-приложения, исторически-сложившаяся инфраструктура
• распределение навыков и экспертизы у администраторов
• распределение навыков и экспертизы у разработчиков и/или
интеграторов
• варианты:
• уйти от парольной защиты для рядовых пользователей инфраструктуры
• уйти от парольной защиты для пользователей критичных приложений
(например, корпоративной ДБО)
• добавить дополнительный фактор для пользователей критичных
приложений
• ^^^ все то же самое, но только для привилегированных
учетных записей
• реальность - комбинация из изложенных решений, ибо:
• экономическая целесообразность (в т.ч. обслуживания)
• организационных (политические причины, регуляторы
и т.п.)
• технические ограничения
ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
18. МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ
1. Биометрические системы
2. Облачные провайдеры авторизации
3. Токены и смарт-карты
4. Вживляемые чипы
19. Биометрия и токены не должны отменять секреты!
Какую задачу мы решаем?
• усложнить атаки на УЗ пользователей/админов?
• чаще всего атаки направлены на pwn
рабочего места или на сервис
• снизить вероятность утечки секрета и/или его
переиспользования на других ресурсах ?
• SSO = одинаковые пароли на
разные ресурсы
АЛЬТЕРНАТИВЫ ПАРОЛЯМ
20. Насколько все это реально работает в корпоративной среде в
новых технологических реалиях (мобильность/везде
веб/облака)?
• стирается понятие внешнего периметра
• все интегрировано и почти все на основе веб-технологий
• by design появляются альтернативные факторы
аутентификации (связанные с мобильными устройствами)
Основной задачей должна стать управление авторизацией с
требованиями дополнительных факторов в
зависимости от тех или иных действий
• имеет смысл исходить из предпосылки, что
основной секрет скомпрометирован
(fp + monitoring - аналог биометрии)
АЛЬТЕРНАТИВЫ ПАРОЛЯМ
25. Nothing ever changes
• Авторизация и сегментация
• принцип “принять хаос и выделить зоны порядка”
• Протоколирование и мониторинг
• BCP на уровне организационных контролей (целостность
процессов)
• Отдельно управлять угрозами доступности
• нецелевые атаки с помощью ВПО (локеры
и шифровальщики)
• удаление данных злонамеренными
сотрудниками
• (OMG) целевые атаки на доступность
ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ
26. • Как это работает - Auth0
• Вопросы:
• отсутствие visibility в их процессы
• доступность и способы fallback
• уязвимости
• доступы самих сотрудников общего провайдера
• liability
• внезапное несоответствие требованиям регулятора
• Плюсы:
• в новом мире (который постоянно
меняется) берут на себя поддержку
технологий
• возможность управления SLA
(доступность, liability)
ОБЛАЧНЫЕ ПРОВАЙДЕРЫ
27. В корпоративной среде
• люди все равно хранят пароли (если нет корп
стандартов и SSO)
• имеет смысл рассматривать как средство удобство
и снижения вероятности головотяпства
• исходить из принципа, что система хранения
паролей не повышает защищенность
• case из жизни для примера
В повседневной жизни - отличный способ
иметь на каждом сервисе свой пароль
• по сути хранение паролей в почте с
PGP-зашифрованном виде - то же
самое
СИСТЕМЫ ХРАНЕНИЯ ПАРОЛЕЙ
29. • ближайшие лет 10-20 разделение на "личные"
и b2c-пароли окончательно исчезнет
• SSO в мире веба и мобильности как способ идентификации,
возможно делегирования решений об авторизации (см.
SAML, JWT) - т.е. скорее про удобство
• MFA над множеством различных факторов как способ
гранулярно защитить защищаемое и обеспечить
протоколирование + мониторинг
• fp клиентских устройств и шаблонов
использования сервиса/ресурсов сети для
получения доп. аргументов компрометации
УЗ и т.п.
• можно считать аналогом биометрии
(something you are)
ТРЕНДЫ
30. • ближайшие лет 10-20 разделение на "личные"
и b2c-пароли окончательно исчезнет
• SSO в мире веба и мобильности как способ идентификации,
возможно делегирования решений об авторизации (см.
SAML, JWT) - т.е. скорее про удобство
• MFA над множеством различных факторов как способ
гранулярно защитить защищаемое и обеспечить
протоколирование + мониторинг
• fp клиентских устройств и шаблонов
использования сервиса/ресурсов сети для
получения доп. аргументов компрометации
УЗ и т.п.
• можно считать аналогом биометрии
(something you are)
ТРЕНДЫ