Документ обсуждает недостатки паролей как метода аутентификации и рассматривает альтернативные способы защиты, такие как многофакторная аутентификация, биометрические системы и использование токенов. В нем также поднимается вопрос интеграции систем управления доступом и проблемы управления привилегиями в корпоративной среде. Основное внимание уделено эволюции методов аутентификации в контексте современных технологий и вызовов безопасности.

1. ПАРОЛЬНАЯ
ЗАЩИТА:
ЕСТЬ ЛИ
АЛЬТЕРНАТИВА?
Дмитрий Кандыбович
Андрей Петухов

2. Дмитрий Кандыбович
Генеральный директор. Staffcop
Андрей Петухов
Генеральный директор, Solidlab
КИБЕРБАТАЛИИ

3. dadada*

4. dadada*
* Пароль Марка Цукерберга для аккаунтов
в Twitter & Instagram & Pinterest,

5. ПАРОЛИ – СУРОВАЯ
РЕАЛЬНОСТЬ ИЛИ
НЕИЗБЕЖНОЕ ЗЛО ?

6. У великанов есть слои, и у паролей есть слои. Предлагаю
рассматривать отдельно:
• Личные пароли (IoT, телефон, домашняя сеть, десктоп)
• Пароли в b2c сервисах
• Корпоративная среда и сектора повышенной бдительности
• Непривилегированные УЗ
• Привилегированные УЗ
• B2B сервисы

7. Как мы видим?
• Конференции - доклады про IoT
• Истории про взломы личных устройств знаменитостей
Что мы видим?
• Переиспользование паролей
• Простые пароли
• Сложившаяся народная мудрость по
удовлетворению password complexity
requirements
отдельное спасибо за это
сервис-провайдерам и разработчикам
ЛИЧНЫЕ И B2C-ПАРОЛИ, ТРЕНДЫ

8. Для пользователей:
• пароль воспринимается как способ выражения согласия
работы с сервисом/девайсом
• защита конфиденциальности/приватности - скорее нет
(см.рассказать все про себя добровольно)
• доверие сервис-провайдерам, плоское отношение к их
защищенности
• неявное предположение о liability сервис-провайдера, если
что-то пойдет не так
Для провайдеров услуг:
• нет запроса от пользователей
• экосистема готовых компонентов
сложилась
• есть опция OAuth/OpenID –
большего мало кому надо
ЛИЧНЫЕ И B2C-ПАРОЛИ, ВЫВОДЫ

9. Как мы видим
• опыт проведения пентестов с 2010 года
Что мы видим (по уровням зрелости)
• AD + локальные базы пользователей во внутренних
приложениях
• AD + интеграция внутренних приложений с LDAP
• AD + усиленная аутентификация для
служебных/привилегированных УЗ на неAD-integrated
ресурсах
• ключи/сертификаты
• 2FA
• AD + EAP/TLS + SSO везде для
пользователей + 2FA для админов
КОРПОРАТИВНАЯ СРЕДА

10. Основной вывод наблюдений:
• да, есть проблема в Identity management и методах аутентификации
• речь про привилегированные УЗ
• если все интегрируем, то все яйца в одной корзине
• если везде свои УЗ, появляются парольные менеджеры, списки
в текстовых файлах и т.п.
• большая проблема есть в управлении привилегиями и
сегментацией
• тренд на централизацию управления и
интеграцию всего со всем противоречит
принципам ИБ все сегментировать и разделить
• MaxPatrol, Kaspersky management center,
Nessus с агентами
• системы виртуализации интегрированные в AD
• AAA на сетевых устройствах через
TACACS/RADIUS, где СУБД на windows-машине
КОРПОРАТИВНАЯ СРЕДА

12. Пароли — слабая защита, но…
Уйти совсем не
получится

13. ДРУГИЕ МЕТОДЫ АУТЕНТИФИКАЦИИ
1. Дорого
2. Не применимо в некоторых бизнес-процессах
3. Не применимо в некоторых бизнес-процессах

14. Парольная защита против других методов аутентификации в b2c
• в b2c пароли просто работают
• ввод 2FA и любые изменения в способе аутентификации в b2c в
b2c сервис-провайдерах класса уandex/facebook и т.п. - это
проект колоссальной сложности и числа переменных
• если кто-то решил эту задачу, почему остальным не
делегировать решившим?
• oauth/openid
• тем более про privacy (см. выше) параноит очень малый
процент пользователей
• кое-какие сервис-провайдеры еще подпадают
под требования регуляторов
• ЭЦП/3ds и т.п.
• считаем данную область неинтересной
для дискуссии, ибо требования даны
свыше
ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ

15. Парольная защита против других методов аутентификации в корпоративной
среде
• данность:
• legacy-приложения, исторически-сложившаяся инфраструктура
• распределение навыков и экспертизы у администраторов
• распределение навыков и экспертизы у разработчиков и/или
интеграторов
• варианты:
• уйти от парольной защиты для рядовых пользователей инфраструктуры
• уйти от парольной защиты для пользователей критичных приложений
(например, корпоративной ДБО)
• добавить дополнительный фактор для пользователей критичных
приложений
• ^^^ все то же самое, но только для привилегированных
учетных записей
• реальность - комбинация из изложенных решений, ибо:
• экономическая целесообразность (в т.ч. обслуживания)
• организационных (политические причины, регуляторы
и т.п.)
• технические ограничения
ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ

16. БИОМЕТРИЯ,
ТОКЕНЫ, SSO И
ДРУГИЕ МЕТОДЫ
УХОДА ОТ ПАРОЛЕЙ

18. МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ
1. Биометрические системы
2. Облачные провайдеры авторизации
3. Токены и смарт-карты
4. Вживляемые чипы

19. Биометрия и токены не должны отменять секреты!
Какую задачу мы решаем?
• усложнить атаки на УЗ пользователей/админов?
• чаще всего атаки направлены на pwn
рабочего места или на сервис
• снизить вероятность утечки секрета и/или его
переиспользования на других ресурсах ?
• SSO = одинаковые пароли на
разные ресурсы
АЛЬТЕРНАТИВЫ ПАРОЛЯМ

20. Насколько все это реально работает в корпоративной среде в
новых технологических реалиях (мобильность/везде
веб/облака)?
• стирается понятие внешнего периметра
• все интегрировано и почти все на основе веб-технологий
• by design появляются альтернативные факторы
аутентификации (связанные с мобильными устройствами)
Основной задачей должна стать управление авторизацией с
требованиями дополнительных факторов в
зависимости от тех или иных действий
• имеет смысл исходить из предпосылки, что
основной секрет скомпрометирован
(fp + monitoring - аналог биометрии)
АЛЬТЕРНАТИВЫ ПАРОЛЯМ

21. МОЖНО ЛИ
УСИЛИТЬ
ПАРОЛЬНУЮ
ЗАЩИТУ ?

23. ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ
1. Многофакторная аутентификация
2. Минимизация количества паролей
3. Повышение уровня защиты паролей

24. Системы хранения паролей
и облачные провайдеры
Упрощают жизнь!

25. Nothing ever changes
• Авторизация и сегментация
• принцип “принять хаос и выделить зоны порядка”
• Протоколирование и мониторинг
• BCP на уровне организационных контролей (целостность
процессов)
• Отдельно управлять угрозами доступности
• нецелевые атаки с помощью ВПО (локеры
и шифровальщики)
• удаление данных злонамеренными
сотрудниками
• (OMG) целевые атаки на доступность
ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ

26. • Как это работает - Auth0
• Вопросы:
• отсутствие visibility в их процессы
• доступность и способы fallback
• уязвимости
• доступы самих сотрудников общего провайдера
• liability
• внезапное несоответствие требованиям регулятора
• Плюсы:
• в новом мире (который постоянно
меняется) берут на себя поддержку
технологий
• возможность управления SLA
(доступность, liability)
ОБЛАЧНЫЕ ПРОВАЙДЕРЫ

27. В корпоративной среде
• люди все равно хранят пароли (если нет корп
стандартов и SSO)
• имеет смысл рассматривать как средство удобство
и снижения вероятности головотяпства
• исходить из принципа, что система хранения
паролей не повышает защищенность
• case из жизни для примера
В повседневной жизни - отличный способ
иметь на каждом сервисе свой пароль
• по сути хранение паролей в почте с
PGP-зашифрованном виде - то же
самое
СИСТЕМЫ ХРАНЕНИЯ ПАРОЛЕЙ

28. ГЛОБАЛЬНЫЕ
ТРЕНДЫ,
ВЗГЛЯД В
БУДУЩЕЕ

29. • ближайшие лет 10-20 разделение на "личные"
и b2c-пароли окончательно исчезнет
• SSO в мире веба и мобильности как способ идентификации,
возможно делегирования решений об авторизации (см.
SAML, JWT) - т.е. скорее про удобство
• MFA над множеством различных факторов как способ
гранулярно защитить защищаемое и обеспечить
протоколирование + мониторинг
• fp клиентских устройств и шаблонов
использования сервиса/ресурсов сети для
получения доп. аргументов компрометации
УЗ и т.п.
• можно считать аналогом биометрии
(something you are)
ТРЕНДЫ

30. • ближайшие лет 10-20 разделение на "личные"
и b2c-пароли окончательно исчезнет
• SSO в мире веба и мобильности как способ идентификации,
возможно делегирования решений об авторизации (см.
SAML, JWT) - т.е. скорее про удобство
• MFA над множеством различных факторов как способ
гранулярно защитить защищаемое и обеспечить
протоколирование + мониторинг
• fp клиентских устройств и шаблонов
использования сервиса/ресурсов сети для
получения доп. аргументов компрометации
УЗ и т.п.
• можно считать аналогом биометрии
(something you are)
ТРЕНДЫ

31. ТРЕНДЫ И ПРОГНОЗЫ
Электронный паспорт
Сочетающий в себе комплекс
факторов аутентификации

32. ПАРОЛЬНАЯ
ЗАЩИТА:
ЕСТЬ ЛИ
АЛЬТЕРНАТИВА ?
Модератор: Александр Бондаренко
Компания R-Vision

33. Кандыбович Дмитрий
Генеральный директор. Staffcop
Андрей Петухов
Генеральный директор, Solidlab
КИБЕРБАТАЛИИ