Odzyskiwanie zapomnianych haseł zdarza mi się regularnie. Mam przy tym świadomość, że cyberhigiena jest ważna, więc nie potarzam ich. Nie mam ich także zapisanych w telefonie, bo zdarzyło mi się urządzenie to stracić. Mam za to w notesie całą listę, ale notes nie zawsze przy sobie. Przejrzałem dostępne rozwiązania alternatywne.
Początek poszukiwań potwierdził, że hasła to całkiem poważna sprawa. Raport Verizon z 2023 roku mówi, że niemal połowa (49 proc.) zgłoszonych naruszeń danych dotyczyło użycia skradzionych poświadczeń: nazw użytkowników i haseł. W przypadku naruszeń aplikacji internetowych liczba ta sięga zaś 86 proc. Niedawny list z Laboratorium ALAB (adresowany do mojej żony) także potwierdził, że firmy i organizacje mają wciąż wiele do zrobienia w zakresie bezpiecznego uwierzytelniania. Czy indywidualnie też mogę zrobić coś dla swojego bezpieczeństwa? Czy przywiązanie do haseł ma jeszcze sens?
– Wiemy, że hasła są podatne na złamanie, ujawnienie lub kradzież i wykorzystanie przeciwko nam, ale wiele osób i organizacji wciąż na nich polega w zakresie zabezpieczenia dostępu do systemów, aplikacji i zasobów. Dzieje się tak nie bez powodu. Hasła są wygodne i przywykliśmy do korzystania z nich. Rozumiemy ich działanie. Są też łatwe do wdrożenia i wymagają minimalnej infrastruktury oraz inwestycji ze strony firm. Użytkownicy nie muszą mieć żadnych dodatkowy urządzeń, by uwierzytelniać się za pomocą haseł. Są proste i znajome. Jeśli chcemy je zastąpić, nowy sposób weryfikacji tożsamości musi mieć podobne cechy. Inaczej nie spełni swojego zadania – mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks.
Po pierwsze bezpieczeństwo
Rozważając jakiekolwiek alternatywy dla haseł zdecydowałbym się na skorzystanie z nich tylko jeśli realnie zwiększałoby bezpieczeństwo. Dla firm ważna jest także użyteczność i skalowalność. W praktyce jednak wystarczyłoby żeby rozwiązanie takie było równie bezpieczne co hasło, ale za to wygodniejsze dla użytkowników. Proces uwierzytelniania nie może być jednak skomplikowany. Co mamy na stole?
Uwierzytelnianie dwu lub wieloskładnikowe (2FA / MFA): Ten rodzaj uwierzytelniania stał się już domyślnym zabezpieczeniem niektórych aplikacji. 2FA wymaga, aby użytkownicy przeszli przez dwa etapy identyfikacji, zanim uzyskają dostęp do systemu. Zazwyczaj muszą użyć czegoś, coś, co znają, na przykład hasła, i czegoś, coś, co mają, na przykład kodu udostępnionego na urządzeniu mobilnym. W tym przypadku dodatkowy wysiłek po stronie użytkownika jest niewielki i gotów jestem go ponieść.
MFA dodaje do tego procesu kolejne warstwy uwierzytelniania – coś, czym użytkownik jest (biometria), lub sposób, w jaki użytkownik się zachowuje (biometria behawioralna). To rozwiązanie szczerze mnie niepokoi. Biometria behawioralna wykorzystuje (rozpoznaje) nasz sposób pisania lub obsługi urządzenia. Choć uwierzytelnianie biometryczne zapewnia wysoki poziom bezpieczeństwa i wygody, czuję się bardzo nieswojo z myślą, że ktoś zbiera dane o moim zachowaniu. Uważam, ze zbyt daleko wnika to w strefę mojej prywatności. Ponadto, jak donoszą eksperci, w ostatnich latach atakujący nauczyli się, jak złamać MFA poprzez ukierunkowany phishing lub taktykę zwaną „zmęczeniem MFA”, czyli bombardowanie użytkownika powiadomieniami o logowaniu. Mój werdykt: 2FA – tak, biometria – nie.
Pojedyncze uwierzytelnianie, czyli Single Sing-On (SSO): SSO pozwala użytkownikom uzyskać dostęp do wielu aplikacji za pomocą jednego zestawu danych logowania. Zmniejsza tym samym potrzebę używania i zapamiętywania wielu haseł, co samo w sobie upraszcza proces uwierzytelniania oraz udoskonala doświadczenia użytkownika. Jest to dobre rozwiązanie dla wewnętrznych aplikacji biznesowych. Jednak skonfigurowanie go może być czasochłonne.
– SSO staje się ryzykowne, jeśli jest stosowane w wielu serwisach internetowych, do których dostęp uzyskuje się za pomocą poświadczeń popularnych usług online, takich jak Google, Facebook, Apple, Yahoo czy Microsoft. Chociaż ułatwia to logowanie, otwiera cyberprzestępcom drogę do dowolnej usługi, jeśli przejmą pojedynczy zestaw danych uwierzytelniających do którejś z powyższych usług – zaznacza Mateusz Ossowski.
Werdykt: ewentualnie, jak wrócę kiedyś do biura.
Uwierzytelnianie biometryczne: Obejmuje metody takie jak rozpoznawanie odcisków palców, twarzy, głosu czy skanowanie tęczówki oka. Coraz więcej urządzeń konsumenckich posiada dziś funkcje uwierzytelniania biometrycznego, skanowanie odcisków palców nie jest zatem niczym nowym. To ułatwia wdrożenie tego typu technologii w środowisku biznesowym. Dzięki zastosowaniu biometrii użytkownik nie musi przypominać sobie haseł przy każdym logowaniu. Jednak nie każde urządzenie obsługuje tego typu uwierzytelnianie, a wdrożenie wymaganej technologii w organizacji może być kosztowne. Pracownicy nie muszą muszą też czuć się komfortowo udostępniając swoje odciski palców (lub inne dane biometryczne) pracodawcy. Uważam jednak, że ma to sens w małych, rodzinnych firmach, choć oczywiście pisarze science-fiction już ponad trzy dekady temu wiedzieli jak można to brutalnie obejść.
Tokeny sprzętowe: fizyczne urządzenia, które generują jednorazowe, często czasowo ograniczone, kody lub klucze kryptograficzne do uwierzytelniania, dodając dodatkową warstwę bezpieczeństwa. Atakujący musieliby mieć fizyczny dostęp do tokena i znać poświadczenia użytkownika, aby przejąć jego konto. Metoda wydaje się dobra i zapewnia wysoki poziom bezpieczeństwa, ma jednak swoje minusy w zakresie wygody użytkowania. O ile zapomniane hasło można zresetować, o tyle zagubionego sprzętu nie można odtworzyć. Zespół IT musi mieć plan awaryjny.
Uwierzytelnianie oparte na certyfikatach: Cyfrowe certyfikaty wydawane są przez instytucję certyfikującą i opierają się na kryptografię klucza publicznego. Certyfikat przechowuje informacje identyfikacyjne i klucz publiczny, użytkownik natomiast korzysta z przechowywanego wirtualnie klucza prywatnego. Jest to dobra opcja uwierzytelniania dla firm zatrudniających kontrahentów, którzy potrzebują tymczasowego dostępu do jej zasobów. Wdrożenie certyfikatów może być kosztowne i czasochłonne, ale jak ostatnio często słyszymy: bezpieczeństwo nie ma ceny. Są też organizacje, w których ma to ogromny sens.
Uwierzytelnianie oparte na ryzyku: Jest to podejście dynamiczne, które polega na każdorazowym ocenianiu ryzyka związanego z próbą logowania na podstawie różnych czynników. Są wśród nich między innymi zachowanie użytkownika, jego lokalizacja czy informacje o urządzeniu, z którego korzysta. Jeśli coś budzi podejrzenia lub odbiega od normy, użytkownik proszony jest o wykonanie dodatkowych czynności potwierdzających jego tożsamość.
– Nowoczesne bezpieczne uwierzytelnianie musi być przyjazne dla użytkownika i na tyle proste, aby bez żalu ograniczył stosowanie znanych mu haseł, do których przywykł i które zaakceptował. Dostęp do zasobów polegający na alternatywnych lub uzupełniających metodach uwierzytelniania często staje się częścią wdrażanej w firmach polityki Zero Trust. Zarówno uwierzytelnianie bez haseł, jak i Zero Trust wzmacniają bezpieczeństwo organizacji i poprawiają doświadczenia użytkownika. Dzięki temu mogą pomóc w zerwaniu naszej emocjonalnej i trwałej więzi z hasłami – podsumowuje Mateusz Ossowski.
