Uwierzytelnianie bez hasła to metoda weryfikowania tożsamości użytkowników bez użycia haseł lub innego zapamiętanego sekretu. Zamiast haseł, tożsamość można zweryfikować na podstawie „współczynnika posiadania”, czyli obiektu, który jednoznacznie identyfikuje użytkownika (np. generator haseł jednorazowych, zarejestrowane urządzenie mobilne/token sprzętowy) lub „nieodłączny czynnik” jak podpis biometryczny osoby (np. odcisk palca, twarz, siatkówka, itp.). W przeciwieństwie do posiadania lub czynników nieodłącznych, uwierzytelnianie oparte na czymś, co zna użytkownik (np. hasło lub kod PIN), jest podatne na łatwą kradzież, udostępnianie przez użytkowników oraz wymaga stałego zarządzania i obsługi zarówno przez użytkowników, jak i menedżerów IT.
Jak działa autoryzacja bez hasła?
To, co sprawia, że platformy bez hasła są wyjątkowe, to fakt, że poświadczenia uwierzytelniające nigdy nie są ustalane w systemie. Za każdym razem, gdy użytkownik wysyła żądanie dostępu, należy wygenerować nową wiadomość uwierzytelniającą. Dzieje się tak na przykład wtedy, gdy system wysyła link potwierdzający na twój adres e-mail. Kliknięcie odsyłacza wskazuje serwerowi, że użytkownik został zweryfikowany. Podobny proces zachodzi w przypadku haseł jednorazowych wysyłanych e-mailem lub SMS-em. Po wpisaniu kodu aplikacja potwierdza, że w rzeczywistości jest to ten, który został wygenerowany krótko wcześniej i dostarczony do Ciebie. Umożliwia to rozpoczęcie żądanej sesji.
Przykładowe zastosowanie autoryzacji bezhasłowej
Zastosowanie autoryzacji bezhasłowej występuje najczęściej w poniższych problemach:
- Rozpylanie haseł to atak polegający na próbie uzyskania dostępu do dużej liczby kont (nazw użytkowników) za pomocą kilku powszechnie używanych lub nawet tych samych haseł. Usuwając hasła, Secret Double Octopus sprawia, że konto jest odporne na włamanie.
- Wypychanie referencji to rodzaj cyberataku, w którym skradzione dane uwierzytelniające konta, zwykle składające się z list nazw użytkowników lub adresów e-mail oraz odpowiadających im haseł. Są one wykorzystywane do uzyskania nieautoryzowanego dostępu do kont użytkowników. Z wypychaniem referencji związane jest niejako rozpylanie haseł, ponieważ zwykle opiera się ono na hasłach generowanych przez użytkowników, które zostały uzyskane w wyniku dużych naruszeń.
- Przez “spear phishing” rozumie się rodzaj cyberataków zaprojektowanych w celu nakłonienia użytkownika do ujawnienia poufnych informacji. Wiadomości typu spear phishing są dostosowywane do tego aby przekonać użytkowników, że komunikacja jest legalna. Odbywa się to zwykle poprzez uzyskanie danych osobowych ofiary, takich jak znajomi, miasto rodzinne, pracodawca, lokalizacje, które często odwiedzają etc. Następnie atakujący podszywają się pod godnego zaufania przyjaciela lub podmiot i próbują wydobyć poufne informacje, zazwyczaj za pośrednictwem poczty e-mail lub innych wiadomości online. Obecnie spear phishing jest najbardziej skuteczną formą uzyskiwania danych uwierzytelniających i innych wrażliwych danych przez Internet, ponieważ stanowi 91% wszystkich ataków.
- Cracking offline to próba wyodrębnienia jednego lub więcej haseł z pliku przechowywania haseł, który został odzyskany z systemu docelowego. Zazwyczaj ta forma łamania zabezpieczeń będzie wymagać, aby osoba atakująca uzyskała już wysoki poziom dostępu do systemu, co pozwoli jej uzyskać dostęp do niezbędnego pliku
- “Brute Force Attack” to ataki siłowe polegające na wielokrotnych próbach logowania przy użyciu każdej możliwej kombinacji liter, cyfr i znaków w celu odgadnięcia hasła. Zarówno “cracking offline”, jak i “Brute Force Attack” to ataki polegające na naruszeniu dostępu do poświadczeń. Hakerzy atakują systemy, które polegają na hasłach jako pierwszym czynniku. W wielu przypadkach hakerzy wykorzystują słabe protokoły komunikacyjne łączące sieci z serwerami i stosują te metody do ominięcia MFA.
Co to jest inżynieria społeczna?
Inżynieria społeczna to socjotechnika polegającą na manipulacji społeczeństwem wykorzystywana przez cyberprzestępców, którzy za jej pomocą manipulują osobami w celu ujawnienia danych logowania. Platformy mediów społecznościowych często stanowią idealne miejsce dla hakerów, aby pod przykrywką dotrzeć do potencjalnych ofiar i wydobyć informacje. Niektóre metody inżynierii społecznej nie wymagają nawet od atakujących bezpośredniego kontaktu z ofiarami. Przestępcy mogą udać się bezpośrednio do dostawcy usług użytkownika, takiego jak telefon komórkowy lub firma internetowa, i oszukać przedstawiciela, aby dostarczył nowe hasła do wybranego telefonu lub urządzenia.
Czy uwierzytelnianie bez hasła jest bardziej bezpieczne niż autoryzacja hasłem?
Bezpieczeństwo uwierzytelniania bez hasła zależy od tego, w jaki sposób jest ono wdrażane i jakiego rodzaju dowód tożsamości jest stosowany. Na przykład używanie bezpiecznych powiadomień “push” na urządzeniu przenośnym właściciela konta jest ogólnie uważane za bezpieczniejsze niż hasła. Kody SMS wysyłane na urządzenie mobilne właściciela konta można uznać za mniej bezpieczne, ponieważ SMS jest niezabezpieczonym kanałem komunikacji i istnieje wiele udokumentowanych ataków na systemy uwierzytelniania SMS-ów.
Czy autoryzacja bez hasła jest przyjazna dla użytkownika?
Dla wielu firm przeszkodą przed opuszczeniem systemu opartego na hasłach jest po prostu brak znajomości tematu. Menedżerowie często myślą, że przejście na nową platformę bez haseł będzie miało poważny wpływ na wygodę użytkowników i zakłóci przepływ pracy. W rzeczywistości przytłaczająca większość dzisiejszych pracowników korporacji woli technologie bez hasła ze względu na łatwość obsługi, jaką zapewniają. Rozwiązania takie jak np. powiadomienia “push” rewolucjonizują uwierzytelnianie, zapewniając nie tylko znaczny wzrost bezpieczeństwa, ale także zwalniając użytkowników z ciężaru zapamiętywania i zabezpieczania haseł.
Czy uwierzytelnianie bez hasła powinno stać się zasadą firm?
Stosowanie metod uwierzytelniania bez hasła, takich jak biometria i rozpoznawanie twarzy, stało się normą na urządzeniach mobilnych, ale wiele organizacji wciąż ma trudności z wdrożeniem tej technologii w swoich sieciach korporacyjnych. To, czy można wdrożyć uwierzytelnianie bez hasła w sieci, zależy od infrastruktury, która je obsługuje. Na szczęście twórcy najbardziej znanych systemów operacyjnych i standardów uwierzytelniania uznają potrzebę zintegrowania opcji uwierzytelniania bez hasła w swoim oprogramowaniu. Firma Microsoft niedawno ogłosiła obsługę logowania bez hasła zarówno w indywidualnych produktach Windows, jak i w sieciach działających w Microsoft Active Directory. Użytkownicy będą mogli używać kluczy FIDO2 wyposażonych w skanery linii papilarnych lub skanery linii papilarnych zintegrowane z ich laptopami, aby logować się do kont Microsoft i AD.
Linux od kilku lat obsługuje również logowanie SSH bez hasła. Administratorzy sieci mogą skonfigurować swoje serwery tak, aby używały kluczy oprogramowania oprócz lub zamiast haseł. Oznacza to, że oba systemy mogą egzekwować zasady, zgodnie z którymi użytkownicy mogą logować się tylko przy użyciu technologii uwierzytelniania bez hasła.
Obie usługi katalogowe w systemie Windows i Linux obsługują również uwierzytelnianie SAML, otwarty standard, który umożliwia administratorom sieci wdrażanie własnego mechanizmu uwierzytelniania.
Czy autoryzacja bez hasła jest zgodna z normami regulacyjnymi?
W ostatnich latach organy regulacyjne zaczęły uznawać słabości i zagrożenia bezpieczeństwa związane z przechowywaniem i używaniem haseł, przez co stale podnoszą poprzeczkę w zakresie minimalnych wymagań dotyczących haseł (długość, złożoność, szyfrowanie, cykle zmian) i nakładają obowiązek dodawania uwierzytelniania dwuskładnikowego w wielu ustawieniach. NIST, czyli organ państwowy, który wyznacza standardy technologiczne w USA i działa jako punkt odniesienia dla wielu innych krajów, wymaga, aby w wielu ustawieniach usługi zabezpieczały tożsamość użytkowników za pomocą uwierzytelniania wieloskładnikowego (MFA). Oznacza to, że usługa musi obsługiwać co najmniej dwa z następujących elementów:
- coś, co znasz (hasła),
- coś, co masz (urządzenie mobilne lub klucz FIDO),
- coś, czym jesteś (dane biometryczne).
W niektórych dziedzinach, takich jak np. usługi finansowe, organ normalizacyjny wyraźnie wymaga stosowania danych biometrycznych jako jednego z czynników uwierzytelniania. Oznacza to, że technologia Secret Double Octopus, która łączy poza pasmem uwierzytelnianie mobilne i biometryczne, jest dobrym wyborem, ponieważ masz pewność, że Twoja organizacja działa zgodnie ze standardami i przepisami bezpieczeństwa, a jednocześnie korzysta z wygodnej oraz przyjaznej dla użytkowników technologii.
Jakie są zalety uwierzytelniania bez hasła?
Uwierzytelnianie bez hasła posiada szereg zalet, wśród których wyróżnić należy:
- Doświadczenie użytkownika (UX): uwierzytelnianie bez hasła oznacza koniec zapamiętywanych przez użytkownika haseł lub innych “sekretów’, co usprawnia jednocześnie sam proces uwierzytelniania i uzyskiwania dostępu do danych.
- Lepsze bezpieczeństwo: hasła kontrolowane przez użytkowników stanowią główną lukę w zabezpieczeniach, ponieważ użytkownicy ponownie używają haseł i mogą udostępniać je innym. Hasła są największym wektorem ataków, odpowiedzialnym za 81% naruszeń, a także prowadzą do cyberataków, takich jak wypychanie referencji, przejęcie konta korporacyjnego (CATO), rozpylanie haseł czy atak siłowy.
- Zmniejszenie całkowitego kosztu posiadania (TCO): hasła są drogie i wymagają stałej konserwacji ze strony personelu IT, przez co usunięcie haseł zmniejszy liczbę zgłoszeń do pomocy technicznej i pozwoli IT zająć się rzeczywistymi problemami w firmie.
- IT zyskuje kontrolę i widoczność: wyłudzanie informacji, ponowne wykorzystanie i udostępnianie są częstymi problemami w przypadku polegania na hasłach, natomiast z uwierzytelnianiem bez hasła IT odzyskuje swój cel, jakim jest uzyskanie pełnego wglądu w zarządzanie tożsamością i dostępem. W takiej sytuacji nie ma nic do wyłudzania informacji, udostępniania lub ponownego wykorzystywania, ponieważ użytkownik nie jest już dziką kartę w schemacie tożsamości organizacji.
“Niewidoczność” hasła lub jego brak to zarówno wygoda użytkownika, jak i większe bezpieczeństwo, ponieważ bezpieczeństwo systemów uwierzytelniania bez hasła zależy wyłącznie od dowodu tożsamości.
