Как прошивка YubiKey 5.7 решает современные задачи аутентификации в корпоративной среде

Команды по обеспечению безопасности предприятий сталкиваются с растущим числом угроз. С развитием фишинговых атак, становящихся всё более изощрёнными — часто с использованием технологий на базе ИИ — организации испытывают трудности с защитой учётных данных сотрудников от компрометации. Традиционная аутентификация по паролю уже не может адекватно противостоять этим угрозам. Yubico решает эту критическую уязвимость, представляя прошивку YubiKey 5.7, которая будет выпущена в конце мая 2024 года, вместе с Yubico Authenticator 7, обеспечивая масштабную аутентификацию без паролей уровня предприятия.

Растущая кризисная ситуация в области безопасности предприятий

Согласно анализу Yubico, киберугрозы продолжают расти как по разнообразию, так и по сложности. Компрометированные учётные данные сотрудников остаются основным вектором атак, часто возникающим из-за фишинговых кампаний. Появление атак с использованием ИИ-усиления усугубило проблему, заставляя организации пересматривать свои стратегии аутентификации. «Мы видим, как организации испытывают трудности в балансировании требований безопасности и удобства для пользователя», отмечает руководство компании. Переход к аутентификации, устойчивой к фишингу и основанной на принципе «без паролей», стал не просто опцией, а необходимостью.

YubiKey 5.7: переопределение возможностей аутентификации на уровне предприятия

Серия YubiKey 5 и серия Security Key теперь оснащены значительными улучшениями безопасности, специально разработанными для внедрения в корпоративной среде. Новая версия прошивки реализует несколько критических улучшений:

Безопасность PIN и соблюдение требований YubiKey 5.7 блокирует слабые шаблоны PIN и распространённые последовательности прямо на аппаратном уровне, соответствуя новым требованиям NIST и корпоративным стандартам соответствия. Это распространяется на приложения FIDO2, PIV и OpenPGP, обеспечивая возможность единых стандартов безопасности без необходимости использования программных ограничений.

Корпоративная аттестация для управления активами Организации теперь могут развертывать настроенные YubiKeys с возможностями корпоративной аттестации. Это позволяет ИТ-командам подтверждать, что ключи аутентификации были получены через авторизованные каналы закупки, а также получать уникальные идентификаторы при регистрации учетных данных FIDO2, что упрощает отслеживание активов и процессы восстановления аккаунтов.

Расширенное хранилище учётных данных Объём памяти значительно увеличен. YubiKey 5.7 теперь поддерживает до 100 passkeys (FIDO2 обнаруживаемых учетных данных), 24 сертификата PIV, 64 семени OATH и 2 семени OTP — всего 190 учетных данных на одном ключе. Это устраняет необходимость в управлении несколькими устройствами для аутентификации и обеспечивает беспрепятственный переход к безпарольной аутентификации в различных приложениях.

Улучшения протокола FIDO2 Прошивка реализует CTAP 2.1 (Client-to-Authenticator Protocol), включая последние стандарты FIDO2, такие как Force PIN Change и минимальная длина PIN. Эти возможности усиливают соответствие требованиям, сохраняя при этом гибкость для решений по управлению идентификацией в организации.

Поддержка расширенных криптографических ключей YubiKey 5.7 расширяет поддержку алгоритмов PIV ключей, включая RSA-3072, RSA-4096, Ed25519 и X25519 — превосходя требования меморандумов DoD и предоставляя организациям возможности управления ключами, ориентированные на будущее. Yubico перешла на собственную криптографическую библиотеку, оптимизируя производительность для операций RSA и ECC.

Yubico Authenticator 7: аппаратно-обеспеченная безопасность на всех платформах

В дополнение к выпуску прошивки, Yubico Authenticator 7 обеспечивает единый опыт управления учетными данными. Обновлённое приложение поддерживает новые алгоритмы ключей PIV и предоставляет упрощённые интерфейсы для управления большими наборами учетных данных — что особенно важно для предприятий, использующих расширенное хранилище YubiKey 5.7.

Аутентификатор переносит хранение учетных данных с мобильных устройств на сам YubiKey, что значительно снижает поверхность атаки. Вместо хранения секретов аутентификации в памяти телефона, уязвимой для удалённых атак, учетные данные остаются зашифрованными на специальном аппаратном обеспечении. Эта архитектура обеспечивает сильную двухфакторную аутентификацию без ущерба для безопасности.

Yubico Authenticator 7 теперь поддерживается на всех основных настольных платформах и Android, а в следующих версиях появятся улучшенные функции для iOS. В приложении реализована локализация на французский и японский языки, что расширяет глобальное распространение.

Стратегическое соответствие стандартам правительства и отрасли

Обновления YubiKey 5.7 напрямую отвечают недавним директивам правительства США, требующим внедрения MFA, устойчивого к фишингу. Благодаря поддержке технологии passkey для безпарольной аутентификации организации могут демонстрировать соответствие федеральным требованиям и одновременно снижать риск захвата аккаунтов через фишинг.

Подход с аппаратной поддержкой аутентификации является текущим золотым стандартом для безопасного доступа к компьютерам, мобильным устройствам, серверам, браузерам и интернет-аккаунтам. С внедрением более чем в 160 странах и интеграцией с сотнями потребительских и корпоративных приложений YubiKey создаёт практический путь к переходу на безпарольную аутентификацию по всей организации.

Примечание: функции Smart Card/PIV, OATH и OTP доступны только для YubiKey 5 Series и Security Key Series - Enterprise Edition. Возможность корпоративной аттестации зависит от конкретной линейки продукта.