Паролі – у минулому. Як працюють рішення для багатофакторної автентифікації від української компанії Hideez

З чого починаються стартапи у галузі кібербезпеки? Нерідко – з особистого досвіду. Саме з такого кіберінцидента розпочалася історія компанії Hideez, що створює корпоративні рішення для безпарольної автентифікації. У сучасному світі, який дедалі більше залежить від цифрових технологій, це вже не опція, а необхідність, особливо у контексті постійних кібератак. Як виникла ідея створення Hideez, які безпекові рішення пропонує компанія та як вони еволюціонували, про особливості роботи на різних ринках, найбільші загрози для бізнесів і про багато іншого MC.today розповів співзасновник стартапу Олег Науменко.

Hideez – це українська компанія з офісом у Сполучених Штатах, заснована у 2017 році. Вона спеціалізується на сучасних технологіях цифрової багатофакторної автентифікації та створенні пристроїв класу FIDO Security Key. Рішення компанії відповідають світовому стандарту FIDO (Fast Identity Online), та впроваджуються як в Україні, так і за кордоном.

Історія створення компанії Hideez та її переходу до розробки корпоративних рішень

Ми починали зі створення рішень для В2С-користувачів – продавали їх в інтернет-магазинах, на різних майданчиках, як-от Amazon і Rozetka, в Україні й не тільки. Від початку це було рішення Password Vault,менеджер паролів завдяки якому можна було зберігати облікові записи в безпечному місці. Не в хмарі, не на комп’ютері, а саме в апаратному ключі.

Але нас запросили до профільного акселератора з кібербезпеки у Сполучених Штатах, у Вірджинії, який зібрав чотири стартапи – усі були американські, одні ми були з України. Там ми пройшли профільну програму з кібербезпеки. Під час участі в акселераторі ми провели багато зустрічей із потенційними замовниками для розуміння потреб ринку, тенденцій, вимог і багато іншого. Так ми вирішили переорієнтувати наш продукт на корпоративних користувачів – по суті, прийшло розуміння справжніх потреб і розуміння кон’юнктури ринку.

Взагалі, ідея стартапу виникла з власної проблеми.

У моєму досвіді стався кіберінцидент, у результаті якого я втратив доступ до електронної пошти, деяких соціальних мереж, хмарного сховища і також до деяких облікових записів у різних системах, включно з фінансовими. Тому я почав думати, як я можу зберігати й керувати своїми обліковими даними так, щоб це було зручно й безпечно.

Так ми почали працювати над апаратним рішенням, яке називається Hideez Key. Наразі в нас уже є четверта й навіть п’ята генерація цього продукту, яка сьогодні більше орієнтована на потреби корпоративних користувачів.

Коли ми зрозуміли потреби й тенденції ринку, то збагнули, що у світі відбувається індустріальна революція з погляду автентифікації і заміни звичайних паролів на щось нове. Так ми доєдналися до FIDO Alliance,FIDO Alliance – це некомерційна галузева організація, учасники якої створюють відкриті стандарти простішої та надійнішої автентифікації. Серед них – Google, Microsoft та інші техногіганти де разом з іншими компаніями працюємо над новими технологіями безпарольної автентифікації.

Ми зрозуміли, що є індустріальний стандарт, який наразі вже має декілька нових специфікацій.

Остання з них називається Passkey – вона зараз активно впроваджується у всьому світі й має нативну підтримку у всіх операційних системах, браузерах і багатьох програмних продуктах.

І саме на цьому індустріальному стандарті ми вирішили будувати наше рішення, не забуваючи про потреби в реальному житті, де можуть бути різні корпоративні інфраструктури, різні операційні системи, застарілі сервіси, які базово не можуть перейти на сучасну безпарольну автентифікацію, але потреба залишається. Тому ми будували й будуємо наше рішення на сучасному індустріальному стандарті з розумінням реальних потреб користувачів і підприємств.

Читайте також: Альтернатива Google і Microsoft: українська Hideez масштабує свій застосунок безпарольної ідентифікації

«Кожна група користувачів має там свої преференції, свої вимоги до автентифікації»

Сьогодні існує кілька основних інструментів автентифікації – їхня специфіка в тому, що різні користувачі й різні сценарії використання в різних сферах на підприємстві можуть мати різні варіанти автентифікації.

Наприклад, комусь краще отримати потрібні доступи через мобільний телефон із застосунком Hideez Authenticator. Це люди, що працюють в офісах за своїми комп’ютерами, для них це зручно. Для тих, хто працює на виробництві, або на складі, телефон – не дуже класне рішення, тому що в багатьох підприємствах він заборонений взагалі або його застосування дуже лімітоване, тому там краще використовувати апаратний ключ Hideez Key.

Ну і Passkey – це сучасний варіант автентифікації, який дозволяє використовувати сучасний телефон, планшет, або комп’ютер з вбудованим біометричним сенсором, як ключ безпеки. І це може класно працювати для співробітників, топменеджерів, які мають сучасні пристрої на базі iOS, Android, MacOS, або Windows. Завдяки нашому рішенню вони можуть використовувати вбудований біометричний сенсор не тільки для логіну в операційну систему, а також для будь-яких службових застосунків або вебсервісів.

Тобто кожна група користувачів має свої преференції, свої вимоги до автентифікації, тому ми поєднали кілька варіантів, які найбільше пасують для окремих сценаріїв використання.

Взагалі наше рішення складається з сервісу автентифікації – він може бути хмарним або ж on-premise, тобто встановленим у периметрі компанії на власному обладнанні як сервіс автентифікації. Він виконує основні завдання на кшталт поєднання всіх корпоративних служб, застосунків, сервісів у єдину точку входу через саме сервіс автентифікації Hideez. А також пропонує різні варіанти цієї автентифікації залежно від груп користувачів і тих сценаріїв і юзкейсів, які для кожної групи найбільше пасують.

Тому, по суті, основа нашого рішення – це Hideez Identity Server, який забезпечує роботу і дозволяє компаніям реалізувати різні варіанти автентифікації для різних систем, зробити це централізовано, керовано, найбільш безпечно і водночас зручно для користувачів.

Як змінювались продукти Hideez і над чим компанія працює зараз

Найперший наш гаджет був представлений у вигляді брелока для ключів, який мав вже Bluetooth-варіант під’єднання і міг зберігати до тисячі облікових даних – звичайні логіни, паролі й секретні ключі для генерації одноразових паролів. Ми створювали його для звичайних користувачів – не для корпоративного використання. Це рішення складалось із застосунку, який можна було встановити на комп’ютер чи на телефон, і самого апаратного пристрою.

Але з часом ми зрозуміли, що питання автентифікації тільки починається з паролів, і цим не обмежується.

Є окремі вимоги й кейси, коли потрібно зробити доступ у приміщення, особливо для корпоративних користувачів, тобто є звичайні бейджики або ключі-картки, які відчиняють двері в кабінети, дозволяють проходити через турнікети. І цю опцію – фізичну автентифікацію для приміщень – також можна було додати до нашого апаратного ключа. Так ми додали RFID-модульЕлектронний пристрій, який використовує технологію радіочастотної ідентифікації (RFID) для читання та запису даних на RFID-мітки (наприклад, картки, брелоки) безконтактним способом у сам апаратний ключ. Після того ми зрозуміли, що Bluetooth – класний сценарій під’єднання, але він може зробити для нас трохи більше, ніж просто передати й автоматично ввести облікові дані користувача на комп’ютері.

Наприклад, можна ще реалізувати функцію Proximity – це автентифікація за відстанню, яка дуже корисна для корпоративних користувачів. Так, у корпоративних системах є багато сервісів або ситуацій, що вимагають окремих сценаріїв і окремих правил, за недотримання яких можуть навіть штрафувати співробітників. Один із таких сценаріїв – це блокування комп’ютера, коли користувач відходить від робочого місця. Зазвичай це потрібно робити власноруч або ставити таймер на 3, 5, 10 хвилин тощо.

А в нашому випадку ми блокуємо робочу станцію автоматично, щойно комп’ютер «виходить» із зони під’єднання до ключа. Тобто можна встановити рівень сигналу, і залежно від того, як далеко ви відійшли з апаратним ключем Hideez Key, комп’ютер буде блокуватись. Відійшли, наприклад, на 5 метрів, рівень сигналу впав на 50% – і комп’ютер автоматично заблокувався.

Далі в нас була ідея замінити Bluetooth на інші варіанти під’єднання, оскільки не кожного разу зручно користуватись саме Bluetooth, а на деяких підприємствах це заборонено. Так ми до нашого рішення ще додали інші варіанти протоколу під’єднання – NFC і USB.

Ну і послідовно ми випустили п’яту версію ключа – у ній є вже біометричний сенсор, тобто відбиток пальця. І також ми додали акумулятор, який може працювати досить довго – десь до пів року – і заряджатися від USB.

Програмна частина, тобто сам сервіс автентифікації, теж зазнала багатьох ітерацій. Починали ми з простої версії для on-premise користувачів. Далі ми зробили on-premise версію з різними варіантами інсталяції на Windows, на Linux, у Docker – щоб спростити сам процес встановлення Hideez Service, додали різні мови, обов’язково українську, англійську. Зробили так, що сам собою Hideez Service може працювати з декількома доменами.

Наприклад, у підприємства є один корпоративний домен для виробництва, інший для офісу і третій – для логістики. Тобто так поволі ми додавали нові можливості та функції і вдосконалювали нашу серверну частину.

Зараз є вже нова версія, яка працює повністю в хмарі – компанії можуть використовувати її як сервіс за підпискою, без складнощів у встановленні цього рішення. Там досить проста і швидка інсталяція і конфігурація під’єднання до своїх застосунків так, щоб можна було запровадити безпарольну автентифікацію.

Тобто все було пов’язано з вимогами і проблемами користувачів, з якими ми стикалися і бачили, що вони потребували розв’язання. Також ми дивилися на основні тенденції ринку – що і як змінюється.

Так з’явилася, наприклад, хмарна версія – як виклик, як тенденція на ринку, коли всі великі підприємства в США і Європі почали переходити на клаудні сервіси.

Сьогодні наш ключовий продукт – це сервіс автентифікації, який може навіть не комплектуватись апаратними ключами, оскільки сам собою розв’язуює багато проблем для компаній. Основна версія – це on-premise для великих підприємств, яка, відповідно до вимоги правил всередині компанії, повинна бути у периметрі інфраструктури компанії. Тому що вона працює з досить чутливою інформацією, яка має бути максимально захищена.

Цей сервіс на сьогодні є досить гнучким із погляду налаштувань – є версії для Linux, Windows, для різних варіантів конфігурації. Вони покривають більшість сценаріїв автентифікації користувачів для різних груп на підприємстві. Це універсальніше, але й дещо складніше з погляду самоналаштувань рішення – там дуже багато всього.

Крім того, наступна версія, яку ми зараз активно розвиваємо, – це саме хмарна версія, що вже максимально спрощена, впровадити її на підприємстві набагато швидше. Але вона працює не на локальній інфраструктурі, а в хмарному середовищі від нашої компанії. Тобто це варіант більше для сучасних підприємств маленького та середнього розміру, які будують свою інфраструктуру в хмарі.

Це рішення теж популярне в країнах, де вже поширені хмарні технології, – у США, у Європі – і там воно має більший попит. На українському ринку поки що основна версія – це on-premise, яка встановлюється в периметрі компанії і повністю відповідає всім корпоративним вимогам підприємства.

Взагалі в наших планах – створення рішень не тільки для загальної автентифікації, а включно з кастомізованими версіями для окремих сценаріїв використання.

Наприклад, у нас є сценарій для виробничих ліній, де апаратний ключик може бути засобом автентифікації користувача – забезпечувати швидкий доступ, можливість змінювати чи зупиняти технологічний процес тощо. Тобто це вже адаптовані сценарії під потреби конкретного ринку. Ми зараз працюємо з фармацевтикою, складськими приміщеннями, з виробничими лініями й також із рішеннями для державного і військового використання.

Сучасні кібервиклики і як компаніям, що створюють безпекові рішення, протистояти їм

Основна проблема в кібербезпеці – це людський фактор. Людина може помилятися, бути неуважною, щось робити не дуже правильно, відходити від якихось норм та правил. І взагалі робити щось на власний розсуд – як зручніше чи швидше.

Цей людський фактор призводить до того, що основна загроза, яка сьогодні є на ринку, – фішингові атаки. Простими словами, це коли зловмисники підробляють адреси електронних пошт, вебсайти, сервіси. Тобто ви думаєте, що ви заходите на свій корпоративний сервіс або на знайомий вебсайт, самі вводите свої облікові дані, і навіть не розумієте, що ви, по суті, віддаєте свої облікові дані зловмисникам.

І цей фішинг наразі з використанням штучного інтелекту став ще досконалішим – навіть досвідчені користувачі вже не можуть відрізнити, що саме є фішингом, а що – просто звичайним вебсайтом.

Розв’язати цю проблему за допомогою самих лише правил уже не вийде – треба знаходити якісь технологічні рішення. Тому всі сучасні кібератаки в комплексі з людським фактором говорять про те, що треба розв’язувати питання саме з автентифікацією. Так, щоб це було зручно користувачу, бо інакше він не буде користуватися такими інструментами взагалі. І щоб це було безпечно, тому що компанія може багато чого втратити.

Такі рішення повинні бути максимально швидкими й ефективними з погляду налаштування і впровадження. Інакше компанії буде досить складно або й майже неможливо перейти на новий варіант автентифікації, якщо для цього потрібно буде перебудовувати всю корпоративну інфраструктуру.

Водночас ці рішення повинні відповідати сучасним кібератакам. Наприклад, ми постійно вдосконалюємо наші продукти – проходимо різні аудити безпеки, беремо участь у багбаунті-програмах і сертифікаціях за різними стандартами. Так, усі складники нашого продукту – апаратний ключ, мобільний застосунок, застосунок для комп’ютера, і сам сервіс автентифікації – мають експертний висновок Держспецзв’язку. До речі, ми отримали його не просто в результаті вивчення нашого продукту, а саме за результатами тестування по всіх можливих кіберзагрозах, які можуть бути на підприємствах і у звичайних користувачів.

Тому питання інновації – це, по суті, вимога ринку, вимога сучасних кіберзагроз.

Це – одна з причин того, що ми зараз активно впроваджуємо Passkey. До того в нас був там стандарт FIDO-2 для безпарольної автентифікації, що також давав можливість повністю відійти від логінів і паролів. Зараз ми працюємо над автентифікацією для AI-агентів – для того, щоб люди могли використовувати ШІ-сервіси для роботи.

Наприклад, у журналіста, який пише багато матеріалів, може бути AI-асистент, що підбирає матеріали, робить самарі, розшифровує інтерв’ю. Уся ця інформація повинна зберігатися безпечно, зручно і так, щоб ШІ-агент теж мав доступ до електронної пошти, хмарного сховища, файлів – під обліковим записом користувача й максимально безпечно. Тому це постійний процес.

Якщо ми хочемо надавати хороший і безпечний сервіс, потрібно його удосконалювати й додавати нові варіанти, сценарії, стандарти і специфікації.

Про особливості роботи на різних ринках та основні вектори роботи Hideez

Ми працюємо на американському ринку, в Україні та в деяких європейських країнах. Зараз будуємо мережу реселерів для продажу нашого рішення у Європі та США.

Головна різниця між українським і закордонними ринками полягає в тому, що наші користувачі мають менше регуляцій, ніж європейсько-американські, а ті, що є, в– відрізняються від прийнятих за кордоном. Наприклад, у США є багато регуляцій для медичної інфраструктури, для госпіталів, для лікарів, існують окремі вимоги для фінансових структур – усе це вимагає різних рішень. Наші компанії звикли більше користуватися on-premise рішеннями, які інтегруються в інфраструктуру. У Європі та США зараз масово переходять на хмарні рішення і хмарні технології.

Взагалі ринки між собою відрізняються також своїми каналами продажу. Досить чутливе питання – це робота з реселерами для США. Вони повинні мати досвід та довіру від компаній, і це дуже важливо. У більшості випадків компанії в Штатах мають своїх сертифікованих MSP, які забезпечують менеджмент усієї IT-інфраструктури, яка є в компанії. Тобто вона може не мати власних айтівців, а повністю віддавати це на аутсорс. Співпраця із цими компаніями дуже важлива, це окремий напрям роботи для нас.

Крім продажів, ми працюємо також з FIDO Alliance як команда, яка відповідає за технічну сертифікацію інших компаній, що створюють рішення за стандартами FIDO. Так, ми розробили й підтримуємо Metadata Service – реєстр усіх сертифікованих продуктів. Також ми створюємо нові інструменти для сертифікації за новими стандартами FIDO, адже вони не стоять на місці й розвиваються постійно.

Це дає нам розуміння сучасних вимог – як усе відбувається на найвищому рівні великих компаній. І також ми можемо одними з перших впроваджувати нові технології у своїх продуктах, щойно з’являється новий стандарт чи нова специфікація. До того ж це відкриває для нас можливості співпраці з іншими компаніями, які теж хочуть запровадити нові стандарти та методи автентифікації чи створюють або вже мають власні продукти, що потребують інтеграції таких рішень.

Тобто зараз у нас є два основні напрями – це Workforce authentication, або автентифікація для співробітників, і Customer authentication, або автентифікація для клієнтів наших замовників. І це досить різні продукти, вони вимагають різних сценаріїв, різних конфігурацій і різних кастомізацій.

• Нагадаємо, раніше ми переповідали, що Google поглинає кібербезпековий стартап Wiz, а OpenAI нещодавно вперше інвестувала в кібербезпеку та профінансувала компанію Adaptive Security.