Американське державне кіберагенство CISA, повноцінного аналога якого так не вистачає Україні, внесло до свого епічного переліку “поганих практик” кібербезпеки однофакторну автентифікацію.
Гірше за відсутність двофакторної автентифікації лише програми, що не оновлюються, та використання простих, поширених, вкрадених, дефолтних, або іншим чином відомих нападнику паролів.
Цей факт підозріло корелює із моделлю зрілості автентифікації користувачів від Деніела Міслера, про який я писав раніше. Якщо поглянути на візуалізацію моделі, то згідно з настановами CISA усе, що нижче п’ятого рівня (з восьми наявних) – це погано. (До речі, якщо ви пропустили NoNameCon, то інтерв’ю Деніела, яке Руслан Киянчук взяв в рамках конференції, вже доступне на YouTube.)
Отже, якщо з якихось причин ваші користувачі все ще мають змогу використовувати для автентифікації лише паролі, у вас просто немає права вважати, а тим більше проголошувати, що у вас з безпекою все в порядку. Ви не просто не використовуєте хороші практики безпеки, ви використовуєте погані. Тому нумо до роботи, і зробіть так, щоб ми могли вами пишатися.
Наступний етап – публічне спалення, поховання, залиття бетоном, та закатування шаром асфальту SMS як другого фактору автентифікації. Тобто перехід на шостий рівень моделі CASMM. Але давайте спочатку дістанемося п’ятого.