W ofercie dostawców rozwiązań informatycznych coraz częściej pojawia się tzw. PASSWORDLESS czyli odejście od haseł. Ale co naprawdę oznacza ta ‘passwordless’? Czy proces logowania całkiem zniknie? Czym zostanie zastąpione hasło? Jak możemy chronić nasze dane, jeśli zrezygnujemy z haseł? Zagłębmy się w ten temat nieco głębiej.
Co to jest logowanie bez hasła?
Aby zachować bezpieczeństwo danych przy jednoczesnej rezygnacji z haseł oczywistym jest, że hasło czymś musimy zastąpić. Uwierzytelnianie bez hasła wykorzystujemy już od tysięcy lat. Pomyśl o kluczu do drzwi, w żargonie informatycznym nazywanym fizycznym uwierzytelnianiem. W bezpieczeństwie danych wirtualnych klucz do drzwi zastępowany jest kartą płatniczą, telefonem komórkowym czy fizycznym kluczem kryptograficznym. Korzystamy więc z tego tradycyjnego sposobu uwierzytelniania elementem fizycznym na każdym kroku i całkiem nieświadomie.
Czy uwierzytelnianie bez hasła jest bezpieczne?
Wiemy już zatem, że uwierzytelnienie bez hasła jest możliwe. Ale czy jest bezpieczne? Zagrożenia związane z używaniem tylko fizycznego uwierzytelniania są dość oczywiste. Klucz można ukraść, zgubić, złamać, a także zduplikować. Ale co gdy stracimy kartę płatniczą lub telefon komórkowy? W takim przypadku aby z nich skorzystać złodziej potrzebowałby jeszcze mimo wszystko element dodatkowy w postaci PINu w przypadku karty lub na przykład odcisku palca w przypadku smartfonów. Ten dodatkowy element, to inaczej drugim składnik procesu uwierzytelniania. Dochodzimy więc do tak zwanego 2FA (two-factor authentication) czyli dwuskładnikowego uwierzytelniania kiedy do zalogowania się potrzebujemy dwóch różnych elementów.
Co to jest biometria fizjologiczna?
Wiemy już, że możemy uwierzytelniać się bez hasła w przypadku telefonów (jeden składnik to fizyczne urządzenie które musimy posiadać, a drugie to odcisk palca) lub kart płatniczych (jeden składnik to fizyczna karta a drugi to PIN). Co jednak z uwierzytelnianiem w internecie, który zdominowany jest przez aplikacje, które wymagają od użytkownika podania loginu i hasła. Czy tutaj również możemy liczyć na dwa składniki rezygnując jednocześnie z haseł?
Tak. Alternatywą dla haseł może być na przykład biometria i uwierzytelnianie biometryczne. Wiele osób uważa, że biometria jest najwyższym poziomem bezpieczeństwa, podczas gdy prawda jest zupełnie inna. Prawie wszystkie istniejące cechy biometryczne mogą być przejęte przez intruza lub ‘oddane’ przez użytkownika nieumyślnie. Biometria sama w sobie jest więc bardzo wygodna, ale jako pojedyncza metoda uwierzytelnienia daleka od bezpiecznej.
Biometria Kciuka
Odciski palców pozostawiamy na wszystkim. Więc w bardzo łatwy sposób kelner lub asystent w sklepie może pobrać kopię odcisku palca i wykorzystać ją wbrew Twojej woli.
Biometria oka i rozpoznawanie tęczówki
Futurystyczne skany oczu znamy z wielu filmów sci-fi. W rzeczywistości wzory tęczówki są dość łatwe do uzyskania, zwłaszcza jeśli osoba ma niebieskie oczy. Wystarczy zwykłe zdjęcie telefonem komórkowym z dobrej jakości kamerą, aby skopiować wzory tęczówki, a następnie użyć ich do uwierzytelnienia.
Co to znaczy że biometria nie jest deterministyczna?
Dane biometryczne nie są deterministyczną metodą uwierzytelniania. Oznacza to, że uwierzytelnianie biometryczne nie determinuje zero-jedynkowo czy użytkownik jest osoba za którą się podaje. W przypadku haseł czy PINów jeśli, któryś ze znaków jest niewłaściwy aplikacja nie pozwoli na uwierzytelnienie. Hasło nie może być w 98% prawidłowe. Albo jest właściwe, albo nie. Biometria jest inna. Jeśli system uważa, że przed kamerą znajdujesz się Ty, pomimo, że jest to Twój bliźniak albo osoba posiadająca Twoje zdjęcie to zaakceptuje prośbę dostępu. Jeśli uzna, że skan jest niewyraźny, pomimo tego, że faktycznie Ty próbujesz się uwierzytelnić, ale masz na przykład brudne dłonie, to system nie wpuści Cię, mimo, że jesteś tym kto powinien dostęp uzyskać.
Coraz skuteczniejsze uwierzytelnianie biometryczne
Jakość odczytywania cech biometrycznych stale się poprawia. Z roku na rok jest coraz mniej fałszywych wskaźników akceptacji (false positives) czyli sytuacji kiedy urządzenie uwierzytelni osobę, która w rzeczywistości nie jest do tego uprawniona. Jednak sam fakt, że funkcje biometryczne nie są odnawialne, nigdy nie pozwoli, aby ta metoda uwierzytelniania zastąpiła hasła i była jedynym czynnikiem umożliwiającym dostęp do zasobów online. Biometria to podejście którego wyróżnikiem jest więc wygoda.
Zarówno uwierzytelnianie za pomocą kodu PIN i jak i uwierzytelnianie przy wykorzystaniu danych biometrycznych ma swoje słabe punkty i nie są wolne od wad. Jednakże wykorzystanie dwóch elementów jednocześnie zapewnia znacznie wyższy poziom bezpieczeństwa niż najbardziej zaawansowany pojedynczy składnik logowania.
Czy już dziś dotarliśmy do Passwordless?
Passwordless czy bezhasłowość zależy od tego, co tak naprawdę przez to pojęcie rozumiemy.
Jeśli na myśli mamy wyeliminowanie haseł i zastąpienie ich na przykład wyłącznie uwierzytelnianiem biometrycznym to nie jest to bezpieczna i realna alternatywa. Podobnie rzecz ma się jeśli hasła zastąpimy wyłącznie powiadomieniami ‘push’ lub kodami jednorazowymi.
Realnym jest, że hasła odejdą do lamusa, ale ich miejsce zastąpi nie jeden ale dwa lub więcej składników uwierzytelniania (MFA, multi-factor authentication), które razem w kombinacji tworzyć będą barierę o wiele trudniejszą do pokonania przez przestępców.
Passwordless może więc w jednej organizacji oznaczać uwierzytelnianie przy wykorzystaniu kluczy kryptograficznych i powiadomień ‘push’. W innej firmie będzie to uwierzytelnianie biometryczne na urządzeniu mobilnym plus wpisanie kodu PIN, a jeszcze gdzie indziej uwierzytelnianie będzie sprawdzało lokację z której uwierzytelnia się użytkownik, biometrię kciuka oraz jego zachowanie wewnątrz aplikacji (biometria behawioralna).
Jak wdrożyć uwierzytelnianie bez hasła
Transformacja do passwordless już trwa. Kolejne firmy wprowadzają na coraz szerszą skalę uwierzytelnianie dwuskładnikowe. Bank BNP Paribas Polska rozpoczął współpracę z Secfense kontynuując swoją drogę do modelu zero trust security i silnego uwierzytelniania wszystkich pracowników na wszystkich aplikacjach.
Podejście Secfense do passwordless to w pierwszej kolejności pomoc organizacjom w zmarginalizowaniu znaczenia haseł. Dzięki rozwiązaniu User Access Security Broker organizacje mogą pozostać przy hasłach (jeśli chcą) ale mogą przestać martwić się tym czy pracownicy dbają o higienę haseł. Nawet bowiem jeśli hasła wyciekną to i tak wieloskładnikowe uwierzytelnianie wprowadzone dzięki Secfense nie pozwoli przestępcom na przedostanie się przez proces uwierzytelniania.
Czy organizacje przestaną używać haseł? Tak, jeśli będą miały na to ochotę. Hasło może pozostać w użyciu jako jeden z wielu składników uwierzytelniania. Secfense umożliwia jednak również wejście na drogę do pełnego passwordless, czyli uwierzytelniania bez użycia haseł. Oznacza to, że firmy współpracujące z Secfense mają możliwość wdrożenia dowolnych metod uwierzytelniania i dopasowanie uwierzytelniania do swoich potrzeb i kiedy tylko będą na to gotowe odejście od haseł i zastąpienie ich znacznie pewniejszymi metodami uwierzytelniania.
Secfense otwiera przed organizacjami drogę do passwordless dzięki narzędziu User Access Security Broker. Zachęcamy do zapoznania się z technologią i zadawania pytań na które bardzo chętnie odpowiemy.
