Passwordless – czy NAPRAWDĘ wkrótce zrezygnujemy z haseł?

passwordless-czy-naprawde-zrezygnujemy-z-hasel-droga-do-passwordless

W ofercie dostawców rozwiązań informatycznych coraz częściej pojawia się tzw. PASSWORDLESS czyli odejście od haseł. Ale co naprawdę oznacza ta ‘passwordless’? Czy proces logowania całkiem zniknie? Czym zostanie zastąpione hasło? Jak możemy chronić nasze dane, jeśli zrezygnujemy z haseł? Zagłębmy się w ten temat nieco głębiej.

Co to jest logowanie bez hasła?

Aby zachować bezpieczeństwo danych przy jednoczesnej rezygnacji z haseł oczywistym jest, że hasło czymś musimy zastąpić. Uwierzytelnianie bez hasła wykorzystujemy już od tysięcy lat. Pomyśl o kluczu do drzwi, w żargonie informatycznym nazywanym fizycznym uwierzytelnianiem. W bezpieczeństwie danych wirtualnych klucz do drzwi zastępowany jest kartą płatniczą, telefonem komórkowym czy fizycznym kluczem kryptograficznym. Korzystamy więc z tego tradycyjnego sposobu uwierzytelniania elementem fizycznym na każdym kroku i całkiem nieświadomie.

Czy uwierzytelnianie bez hasła jest bezpieczne?

Wiemy już zatem, że uwierzytelnienie bez hasła jest możliwe. Ale czy jest bezpieczne? Zagrożenia związane z używaniem tylko fizycznego uwierzytelniania są dość oczywiste. Klucz można ukraść, zgubić, złamać, a także zduplikować. Ale co gdy stracimy kartę płatniczą lub telefon komórkowy? W takim przypadku aby z nich skorzystać złodziej potrzebowałby jeszcze mimo wszystko element dodatkowy w postaci PINu w przypadku karty lub na przykład odcisku palca w przypadku smartfonów. Ten dodatkowy element, to inaczej drugim składnik procesu uwierzytelniania. Dochodzimy więc do tak zwanego 2FA (two-factor authentication) czyli dwuskładnikowego uwierzytelniania kiedy do zalogowania się potrzebujemy dwóch różnych elementów.  

Co to jest biometria fizjologiczna?

Wiemy już, że możemy uwierzytelniać się bez hasła w przypadku telefonów (jeden składnik to fizyczne urządzenie które musimy posiadać, a drugie to odcisk palca) lub kart płatniczych (jeden składnik to fizyczna karta a drugi to PIN). Co jednak z uwierzytelnianiem w internecie, który zdominowany jest przez aplikacje, które wymagają od użytkownika podania loginu i hasła. Czy tutaj również możemy liczyć na dwa składniki rezygnując jednocześnie z haseł?

Tak. Alternatywą dla haseł może być na przykład biometria i uwierzytelnianie biometryczne. Wiele osób uważa, że ​​biometria jest najwyższym poziomem bezpieczeństwa, podczas gdy prawda jest zupełnie inna. Prawie wszystkie istniejące cechy biometryczne mogą być przejęte przez intruza lub ‘oddane’ przez użytkownika nieumyślnie. Biometria sama w sobie jest więc bardzo wygodna, ale jako pojedyncza metoda uwierzytelnienia daleka od bezpiecznej.

Biometria Kciuka

Odciski palców pozostawiamy na wszystkim. Więc w bardzo łatwy sposób kelner lub asystent w sklepie może pobrać kopię odcisku palca i wykorzystać ją wbrew Twojej woli.

Biometria oka i rozpoznawanie tęczówki

Futurystyczne skany oczu znamy z wielu filmów sci-fi. W rzeczywistości wzory tęczówki są dość łatwe do uzyskania, zwłaszcza jeśli osoba ma niebieskie oczy. Wystarczy zwykłe zdjęcie  telefonem komórkowym z dobrej jakości kamerą, aby skopiować wzory tęczówki, a następnie użyć ich do uwierzytelnienia.

Co to znaczy że biometria nie jest deterministyczna?

Dane biometryczne nie są deterministyczną metodą uwierzytelniania. Oznacza to, że uwierzytelnianie biometryczne nie determinuje zero-jedynkowo czy użytkownik jest osoba za którą się podaje. W przypadku haseł czy PINów jeśli, któryś ze znaków jest niewłaściwy aplikacja nie pozwoli na uwierzytelnienie. Hasło nie może być w 98% prawidłowe. Albo jest właściwe, albo nie. Biometria jest inna. Jeśli system uważa, że przed kamerą znajdujesz się Ty, pomimo, że jest to Twój bliźniak albo osoba posiadająca Twoje zdjęcie to zaakceptuje prośbę dostępu. Jeśli uzna, że skan jest niewyraźny, pomimo tego, że faktycznie Ty próbujesz się uwierzytelnić, ale masz na przykład brudne dłonie, to system nie wpuści Cię, mimo, że jesteś tym kto powinien dostęp uzyskać.  

Coraz skuteczniejsze uwierzytelnianie biometryczne

Jakość odczytywania cech biometrycznych stale się poprawia. Z roku na rok jest coraz mniej fałszywych wskaźników akceptacji (false positives) czyli sytuacji kiedy urządzenie uwierzytelni osobę, która w rzeczywistości nie jest do tego uprawniona. Jednak sam fakt, że funkcje biometryczne nie są odnawialne, nigdy nie pozwoli, aby ta metoda uwierzytelniania zastąpiła hasła i była jedynym czynnikiem umożliwiającym dostęp do zasobów online. Biometria to podejście którego wyróżnikiem jest więc wygoda.

Zarówno uwierzytelnianie za pomocą kodu PIN i jak i uwierzytelnianie przy wykorzystaniu danych biometrycznych ma swoje słabe punkty i nie są wolne od wad. Jednakże wykorzystanie dwóch elementów jednocześnie zapewnia znacznie wyższy poziom bezpieczeństwa niż najbardziej zaawansowany pojedynczy składnik logowania.

Czy już dziś dotarliśmy do Passwordless?

Passwordless czy bezhasłowość zależy od tego, co tak naprawdę przez to pojęcie rozumiemy.

Jeśli na myśli mamy wyeliminowanie haseł i zastąpienie ich na przykład wyłącznie uwierzytelnianiem biometrycznym to nie jest to bezpieczna i realna alternatywa. Podobnie rzecz ma się jeśli hasła zastąpimy wyłącznie powiadomieniami ‘push’ lub kodami jednorazowymi.

Realnym jest, że hasła odejdą do lamusa, ale ich miejsce zastąpi nie jeden ale dwa lub więcej składników uwierzytelniania (MFA, multi-factor authentication), które razem w kombinacji tworzyć będą barierę o wiele trudniejszą do pokonania przez przestępców.

Passwordless może więc w jednej organizacji oznaczać uwierzytelnianie przy wykorzystaniu kluczy kryptograficznych i powiadomień ‘push’. W innej firmie będzie to uwierzytelnianie biometryczne na urządzeniu mobilnym plus wpisanie kodu PIN, a jeszcze gdzie indziej uwierzytelnianie będzie sprawdzało lokację z której uwierzytelnia się użytkownik, biometrię kciuka oraz jego zachowanie wewnątrz aplikacji (biometria behawioralna).

Jak wdrożyć uwierzytelnianie bez hasła

Transformacja do passwordless już trwa. Kolejne firmy wprowadzają na coraz szerszą skalę uwierzytelnianie dwuskładnikowe. Bank BNP Paribas Polska rozpoczął współpracę z Secfense kontynuując swoją drogę do modelu zero trust security i silnego uwierzytelniania wszystkich pracowników na wszystkich aplikacjach.

krzysztof slotwinski bank bnp paribas o wspolpracy z secfense 1
Krzysztof Słotwiński, dyrektor Pionu Bezpieczeństwa w Banku BNP Paribas o współpracy z Secfense

Podejście Secfense do passwordless to w pierwszej kolejności pomoc organizacjom w zmarginalizowaniu znaczenia haseł. Dzięki rozwiązaniu User Access Security Broker organizacje mogą pozostać przy hasłach (jeśli chcą) ale mogą przestać martwić się tym czy pracownicy dbają o higienę haseł. Nawet bowiem jeśli hasła wyciekną to i tak wieloskładnikowe uwierzytelnianie wprowadzone dzięki Secfense nie pozwoli przestępcom na przedostanie się przez proces uwierzytelniania.

tomasz kowalski ceo i wspolzalozyciel secfense o podejsciu secfense do passwordless 1
Tomasz Kowalski, CEO i Współzałożyciel Secfense o podejściu Secfense do Passwordless

Czy organizacje przestaną używać haseł? Tak, jeśli będą miały na to ochotę. Hasło może pozostać w użyciu jako jeden z wielu składników uwierzytelniania. Secfense umożliwia jednak również wejście na drogę do pełnego passwordless, czyli uwierzytelniania bez użycia haseł. Oznacza to, że firmy współpracujące z Secfense mają możliwość wdrożenia dowolnych metod uwierzytelniania i dopasowanie uwierzytelniania do swoich potrzeb i kiedy tylko będą na to gotowe odejście od haseł i zastąpienie ich znacznie pewniejszymi metodami uwierzytelniania.

Secfense otwiera przed organizacjami drogę do passwordless dzięki narzędziu User Access Security Broker. Zachęcamy do zapoznania się z technologią i zadawania pytań na które bardzo chętnie odpowiemy.  

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.