Uwierzytelnianie bez hasła to metoda weryfikowania tożsamości użytkowników bez użycia haseł lub innego zapamiętanego sekretu. Zamiast haseł, tożsamość można zweryfikować na podstawie „współczynnika posiadania”, czyli obiektu, który jednoznacznie identyfikuje użytkownika (np. generator haseł jednorazowych, zarejestrowane urządzenie mobilne/token sprzętowy) lub „nieodłączny czynnik” jak podpis biometryczny osoby (np. odcisk palca, twarz, siatkówka, itp.). W przeciwieństwie do posiadania lub czynników nieodłącznych, uwierzytelnianie oparte na czymś, co zna użytkownik (np. hasło lub kod PIN), jest podatne na łatwą kradzież, udostępnianie przez użytkowników oraz wymaga stałego zarządzania i obsługi zarówno przez użytkowników, jak i menedżerów IT.
To, co sprawia, że platformy bez hasła są wyjątkowe, to fakt, że poświadczenia uwierzytelniające nigdy nie są ustalane w systemie. Za każdym razem, gdy użytkownik wysyła żądanie dostępu, należy wygenerować nową wiadomość uwierzytelniającą. Dzieje się tak na przykład wtedy, gdy system wysyła link potwierdzający na twój adres e-mail. Kliknięcie odsyłacza wskazuje serwerowi, że użytkownik został zweryfikowany. Podobny proces zachodzi w przypadku haseł jednorazowych wysyłanych e-mailem lub SMS-em. Po wpisaniu kodu aplikacja potwierdza, że w rzeczywistości jest to ten, który został wygenerowany krótko wcześniej i dostarczony do Ciebie. Umożliwia to rozpoczęcie żądanej sesji.
Zastosowanie autoryzacji bezhasłowej występuje najczęściej w poniższych problemach:
Inżynieria społeczna to socjotechnika polegającą na manipulacji społeczeństwem wykorzystywana przez cyberprzestępców, którzy za jej pomocą manipulują osobami w celu ujawnienia danych logowania. Platformy mediów społecznościowych często stanowią idealne miejsce dla hakerów, aby pod przykrywką dotrzeć do potencjalnych ofiar i wydobyć informacje. Niektóre metody inżynierii społecznej nie wymagają nawet od atakujących bezpośredniego kontaktu z ofiarami. Przestępcy mogą udać się bezpośrednio do dostawcy usług użytkownika, takiego jak telefon komórkowy lub firma internetowa, i oszukać przedstawiciela, aby dostarczył nowe hasła do wybranego telefonu lub urządzenia.
Bezpieczeństwo uwierzytelniania bez hasła zależy od tego, w jaki sposób jest ono wdrażane i jakiego rodzaju dowód tożsamości jest stosowany. Na przykład używanie bezpiecznych powiadomień “push” na urządzeniu przenośnym właściciela konta jest ogólnie uważane za bezpieczniejsze niż hasła. Kody SMS wysyłane na urządzenie mobilne właściciela konta można uznać za mniej bezpieczne, ponieważ SMS jest niezabezpieczonym kanałem komunikacji i istnieje wiele udokumentowanych ataków na systemy uwierzytelniania SMS-ów.
Dla wielu firm przeszkodą przed opuszczeniem systemu opartego na hasłach jest po prostu brak znajomości tematu. Menedżerowie często myślą, że przejście na nową platformę bez haseł będzie miało poważny wpływ na wygodę użytkowników i zakłóci przepływ pracy. W rzeczywistości przytłaczająca większość dzisiejszych pracowników korporacji woli technologie bez hasła ze względu na łatwość obsługi, jaką zapewniają. Rozwiązania takie jak np. powiadomienia “push” rewolucjonizują uwierzytelnianie, zapewniając nie tylko znaczny wzrost bezpieczeństwa, ale także zwalniając użytkowników z ciężaru zapamiętywania i zabezpieczania haseł.
Stosowanie metod uwierzytelniania bez hasła, takich jak biometria i rozpoznawanie twarzy, stało się normą na urządzeniach mobilnych, ale wiele organizacji wciąż ma trudności z wdrożeniem tej technologii w swoich sieciach korporacyjnych. To, czy można wdrożyć uwierzytelnianie bez hasła w sieci, zależy od infrastruktury, która je obsługuje. Na szczęście twórcy najbardziej znanych systemów operacyjnych i standardów uwierzytelniania uznają potrzebę zintegrowania opcji uwierzytelniania bez hasła w swoim oprogramowaniu. Firma Microsoft niedawno ogłosiła obsługę logowania bez hasła zarówno w indywidualnych produktach Windows, jak i w sieciach działających w Microsoft Active Directory. Użytkownicy będą mogli używać kluczy FIDO2 wyposażonych w skanery linii papilarnych lub skanery linii papilarnych zintegrowane z ich laptopami, aby logować się do kont Microsoft i AD.
Linux od kilku lat obsługuje również logowanie SSH bez hasła. Administratorzy sieci mogą skonfigurować swoje serwery tak, aby używały kluczy oprogramowania oprócz lub zamiast haseł. Oznacza to, że oba systemy mogą egzekwować zasady, zgodnie z którymi użytkownicy mogą logować się tylko przy użyciu technologii uwierzytelniania bez hasła.
Obie usługi katalogowe w systemie Windows i Linux obsługują również uwierzytelnianie SAML, otwarty standard, który umożliwia administratorom sieci wdrażanie własnego mechanizmu uwierzytelniania.
W ostatnich latach organy regulacyjne zaczęły uznawać słabości i zagrożenia bezpieczeństwa związane z przechowywaniem i używaniem haseł, przez co stale podnoszą poprzeczkę w zakresie minimalnych wymagań dotyczących haseł (długość, złożoność, szyfrowanie, cykle zmian) i nakładają obowiązek dodawania uwierzytelniania dwuskładnikowego w wielu ustawieniach. NIST, czyli organ państwowy, który wyznacza standardy technologiczne w USA i działa jako punkt odniesienia dla wielu innych krajów, wymaga, aby w wielu ustawieniach usługi zabezpieczały tożsamość użytkowników za pomocą uwierzytelniania wieloskładnikowego (MFA). Oznacza to, że usługa musi obsługiwać co najmniej dwa z następujących elementów:
W niektórych dziedzinach, takich jak np. usługi finansowe, organ normalizacyjny wyraźnie wymaga stosowania danych biometrycznych jako jednego z czynników uwierzytelniania. Oznacza to, że technologia Secret Double Octopus, która łączy poza pasmem uwierzytelnianie mobilne i biometryczne, jest dobrym wyborem, ponieważ masz pewność, że Twoja organizacja działa zgodnie ze standardami i przepisami bezpieczeństwa, a jednocześnie korzysta z wygodnej oraz przyjaznej dla użytkowników technologii.
Uwierzytelnianie bez hasła posiada szereg zalet, wśród których wyróżnić należy:
“Niewidoczność” hasła lub jego brak to zarówno wygoda użytkownika, jak i większe bezpieczeństwo, ponieważ bezpieczeństwo systemów uwierzytelniania bez hasła zależy wyłącznie od dowodu tożsamości.