Od słabych haseł, przez silne uwierzytelnianie aż do celu – bezpieczna przyszłość bez haseł

przez-silne-uwierzytelnianie-az-po-przyszlosc-bez-hasel

“Bo tam były pieniądze” – tak w filmie Vabank Henryk Kwinto odpowiada na pytanie, dlaczego “zrobił” tyle banków.  I niestety, nie wszyscy włamywacze wchodzą do skarbców z tak etycznych pobudek, jak te opisane w doskonałej produkcji Juliusza Machulskiego.  Za to wielu przygotowuje się w równie drobiazgowy sposób, a dysponując kompleksową wiedzą i narzędziami, okazuje się tak samo skutecznymi. Czy przyszłość bez haseł to właściwy kierunek aby zabezpieczyć banki i ich klientów przed nowoczesnymi włamywaczami?  

Phishing, czyli nowoczesny włam

I dzisiaj osiągają oni ten sam rezultat bez podkopów, wysadzeń i stetoskopów, a – przykładowo – za pomocą phishingu, wireless sniffingu czy ataków typu Man-in-the-Middle.  To znaczy mogą podawać się za zaufane instytucje i prosić o przekazanie naszych danych, w tym loginów i haseł, podsłuchiwać transmisję w sieciach Wi-Fi i odczytywać przesyłane tam loginy oraz hasła, a także podszywać się pod odwiedzane serwisy, przechwytywać ruch i wykorzystywać zdobyte w ten sposób dane do nieautoryzowanego dostępu.

Banki a cyberbezpieczeństwo

Na szczęście instytucje finansowe zdają sobie sprawę, że zawsze były i nadal są łakomym kąskiem dla włamywaczy.  I nie chodzi tylko o te wymienione przez Kwinto możliwe do skradzenia pieniądze.  Wyciek danych może wiązać się z wysokimi karami nakładanymi przez instytucje nadzorujące, RODO i KNF, a sama tylko informacja o udanym włamaniu na pewno wpłynie na prestiż banku, co spowoduje odejścia klientów i mniejsze zainteresowanie ze strony inwestorów.  Dlatego banki wdrażają coraz bardziej zaawansowane procedury i narzędzia podnoszące bezpieczeństwo.  Jako klienci musimy autoryzować płatności kartami, co zostało zapisane w unijnej dyrektywie PSD2 (Revised Payment Services Directive).  Wiele innych operacji finansowych wymaga dodatkowego ich potwierdzania, za pomocą SMS’ów, kodów wysyłanych e-mailem czy przy użyciu dedykowanych aplikacji na smartphonach.  Czyli – poza wcześniejszym zalogowaniem się na nasze konta – korzystamy z tzw. drugiego składnika uwierzytelniania, a taka 2-etapowa operacja nazywana jest silnym uwierzytelnianiem.

Forum Bezpieczeństwa Banków i przyszłość bez haseł

Mamy więc zabezpieczoną pewną część sytuacji, w których może dojść do nadużyć.  A ponieważ wiadomo, że każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo, zastanówmy się, czy podobne silne uwierzytelnianie stosujemy w przypadku wszystkich aplikacji webowych, z jakich korzystają klienci, pracownicy czy współpracownicy banku.

Na początku maja uczestniczyliśmy w konferencji Forum Bezpieczeństwa Banków.  Przy tej okazji przedstawiliśmy, jak w prosty i szybki sposób, nie modyfikując istniejących aplikacji wdrożyć omawiane zabezpieczenia w całej organizacji.

W ciągu kilkunastu minut pokazaliśmy, jak działa opracowane przez nas rozwiązanie i zademonstrowaliśmy jego wdrożenie na przykładzie portalu organizatorów konferencji.

Najczęściej Zadawane Pytania o Secfense User Access Security Broker: Q&A Forum Bezpieczeństwa Banków

Odpowiedzieliśmy też na najczęściej zadawane pytania i zaprosili do kontaktu z nami.

Serdecznie zapraszamy do zapoznania się z materiałem filmowym z konferencji poprzez kliknięcie w powyższe obrazy.

Krzysztof Góźdź drives sales and new business development. Krzysztof has more than 20 years of experience in Information Technology & Services sales and has previously worked for IBM and Hewlett-Packard bringing on board enterprise customers and cooperating with them. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.