Управление на дилемата с паролата

Да си признаем, паролите смрадят. Те са крадени лесно, по-лесно се забравят и създават работа за вашия персонал. По-лошото е, че те всъщност не са много добра сигурност по най-различни причини. Но засега сме останали с тях.

За щастие има неща, които можете да направите, за да намалите риска си и по-важното - да увеличите нивото на спазване на изискванията, вариращи от Закона за преносимост и отчетност на здравно осигуряване (HIPAA) до Закона на Sarbanes – Oxley (SOX). Но вие също трябва да го направите по начин, който не добавя към ръководния ви товар повече от необходимото и това не струва твърде много. И, разбира се, трябва да работи на всички места, където работят вашите служители.

Преди да се втурнете в търсене на алтернативи за парола, обаче, вероятно е добра идея да помислите за политиките си за пароли, като не забравяте, че те трябва да се използват от хората. Това означава, че изискването на пароли, които са твърде дълги или твърде сложни, всъщност ще намали тяхната ефективност, в допълнение към увеличаване на разходите за вас.

Ефективността им е намалена, тъй като хората ги записват, така че да не забравят, или забравят, и вашият ИТ отдел трябва да извърши нулиране, което ви струва пари. Или трябва да добавите функция „забравена парола“, която има свой набор от рискове и сложности.

Също така трябва да помислите за вашите изисквания за рутинни промени на паролата. Редица проучвания показват, че вероятно те не са необходими и че имат същите недостатъци като прекалено сложни или дълги пароли, с изключение на това, че се случват по-често.

Но дори и при рационална политика за пароли, това все още не е много добър начин да поддържате нивото на съответствие. Ясно ти трябва нещо друго. Тук идва втори фактор за удостоверяване.

Втори фактори за удостоверяване

За големите организации, където повечето служители работят в офиса, най-очевидното решение е да се използва значката за самоличност като втори фактор. В почти всички случаи, включително правителството и много компании от Fortune 500, това означава приемането на смарт картата като втори фактор. Това не е нов подход и се използва широко. Разликата е, че цената на влизането вече е значително по-ниска, защото Windows 10 вече включва поддръжка за смарт карти като технология за сигурност.

Но интелигентните карти не са непременно най-доброто решение за всяка компания и изобщо не са решение за предимно мобилна работна сила. Въпреки че можете да купувате лаптопи с интегриран четец на смарт карти, няма да откриете това толкова лесно за вашите служители, които използват смартфони или таблети като част от работата си.

Очевидното решение за мобилните потребители може да бъде да приемат различна форма на двуфакторна автентификация (2FA), като изпращане на цифров код чрез SMS. Всеки наличен в момента телефон поддържа текстови съобщения и макар да води до кратко забавяне на достъпа, докато потребителите чакат да пристигне текстово съобщение, той действително работи добре и е сигурен, тъй като съвременните телефони обикновено изискват биометрично влизане или собствен парола преди те ще работят.

Но за да бъдем още по-сигурни, е възможно да използвате специално приложение, за да получите достъп до вашите системи за данни. Предизвикателството там е, ще трябва да разработите приложение за всеки тип смартфон, който вашите служители използват. Можете също да използвате уеб приложение, но след това отново се връщате към проблема с паролата, освен ако не сте готови да направите някаква уеб разработка, която да позволи удостоверяване чрез вашите служители смартфони, което не е невъзможно, но и не е тривиално.

Досега може би се чудите за онези четци за печат с цели ръце, които виждате в някои центрове за данни, или може да мислите за четец на сканиране на пръстови отпечатъци или ретинал. Всички те могат да работят добре и те са очевидно решение за инсталация с висока стойност, като например вашия център за данни. Но те изискват значителна инвестиция в инфраструктура и изискват хората да ги управляват. Опитваме се да мислим за начини за подобряване на спазването, без да добавяме хора или да харчим твърде много пари.

Други начини за подобряване на спазването

Това означава, че ще трябва да предприемете повече от един подход. За вашите служители в офиса може да внедрите интелигентните карти като фактор за удостоверяване на вашите служители. Това има предимства за физическата сигурност, освен че помага за спазването на изискванията, а цената за влизане е в обсега на още по-малки организации.

За справка, четците на смарт карти, които работят с Windows, се предлагат в количества от една за около 10 долара. Клавиатури с интегрирани четци за смарт карти струват едва 25 долара в количества от една.

За вашите мобилни потребители може да искате да помислите как да използвате SMS съобщения за 2FA. Това е нещо, което със сигурност вече сте виждали, независимо дали работите с Apple или Microsoft или редица други сайтове. Редица компании ще се справят с процеса вместо вас. Един пример е Twilio, но има и други.

Важното е, че можете да направите нещо относно дилемата на вашата парола, като същевременно нямате неоправдано въздействие върху персонала или бюджета ви. Вашият път към спазването на изискванията ще бъде по-лесен, защото сте осигурили по-голяма сигурност на достъпа и дори можете да облекчите натоварването на персонала си, като приемете правилата, които работят, като същевременно добавите ниво на сигурност. За вас и вашия IT екип това е победа от всички страни.