Silne uwierzytelnianie jest najważniejszym procesem, jeśli chodzi o bezpieczeństwo konta. Nie boję się tego stwierdzenia. Dodatkowo jednak, razem z Secfense i User Access Security Broker, jestem wyznawcą tego, że najnowocześniejszym i najbezpieczniejszym podejściem do tej kwestii jest bazująca na MFA całkowita automatyzacja procesu wdrożenia w organizacji rozwiązań bezhasłowych.
O tych – jakże interesujących i wydających się jeszcze do niedawna melodią przyszłości – tematach rozmawiałem podczas zeszłotygodniowego webinarium, które zorganizowaliśmy razem z redakcją magazynu i portalu ITWIZ.
Na spotkanie pt.„Jak wdrożyć silne uwierzytelnienie i logowanie bez hasła w całej organizacji” zarejestrowało się ponad 100 osób, wśród nich bardzo wiele osób dobrze poruszających się w temacie MFA/U2F, FIDO, Zero Trust czy passwordless. Z tego względu webinar – ku mojemu ogromnemu zadowoleniu – przekształcił się w gorącą i dynamiczną dyskusję o silnym uwierzytelnianiu. Rozmawialiśmy m.in. o tym, jak Secfense i User Access Security Broker pomaga ujednolicić proces uwierzytelniania w całej organizacji i wprowadza firmę na ścieżkę do passwordless, czyli uwierzytelniania bez hasła.
Podczas rozmowy pokazaliśmy uczestnikom nasz Secfense, udowodniliśmy też, że każdą aplikację jesteśmy w stanie zabezpieczyć dowolnym MFA w 5 minut. Uczestnicy zadawali nam również ważne pytania, często dotyczące zagadnień, których nie braliśmy pod uwagę, przygotowując się prezentacji naszego rozwiązania.
Jakie? Wielu z Was chciało się dowiedzieć, czy i kto już na co dzień stosuje nasz Secfense i czy dostępny jest trial User Access Security Broker.
Otóż wśród naszych klientów znajduje się organizacja odpowiadająca za informatyzację sektora publicznego w Polsce, przewoźnik kolejowy, a także jeden z największych banków w Polsce.
Z kolei osoby chętne do przeprowadzenia testów brokera Secfense na własnym środowisku testowym zapraszamy do kontaktu z nami przez formularz kontaktowy. W ramach testów pomagamy w instalacji i konfiguracji brokera.
Dziękuję wszystkim za udział w webinarze, a redakcji ITWIZ za zorganizowanie spotkania. A tych, którzy chcieliby dowiedzieć się więcej o Secfense, zapraszam na www.secfense.pl oraz do lektury artykułów:
- User Access Security Broker, czyli wdrożenie MFA bez wyrzeczeń
- Po co komu „passwordless”, czyli logowanie bez hasła?
- Gdzie już dziś można skorzystać z bezpiecznego logowania bez hasła?
Pytania z webinarium
Postanowiliśmy również odnieść się nieco szerzej do pytań, które padły na webinarium, a były na tyle ciekawe że uznaliśmy, że warto opublikować je również na naszym blogu wraz z odpowiedziami. Oto kilka z pytań, które padły na naszym spotkaniu.
Czy są jakieś badania, ankiety, ile jest teraz w Polsce systemów wykorzystujcych logowanie dwuskładnikowe?
Zastanawiając się nad odpowiedzią, skupmy się nad jednym, krytycznym obszarem – systemach wewnętrznych w dużych organizacjach. To one w tej chwili przyciągają uwagę intruzów, ponieważ ekonomia ataku (jego opłacalność) jest największa. Organizacje nie publikują informacji o stanie zabezpieczeń swoich wewnętrznych aplikacji, natomiast z dużą pewnością można stwierdzić, że ilość systemów kompleksowo zabezpieczonych pod kątem możliwości przejęcia tożsamości użytkowników, jest wciąż zbyt mała. Spośród firm, z którymi rozmawiamy praktycznie 100% z nich używa już jakieś formy 2FA. Czasem są to tradycyjne SMSy, czasem kody generowane w aplikacji, czasem nawet uwierzytelnianie biometryczne oferowane natywnie w systemie Windows Hello. Jednocześnie 0% z firm z którymi rozmawiamy jest całkowicie zabezpieczona 2FA. Mówiąc całkowicie mamy na myśli zabezpieczenie wszystkich aplikacji w organizacji. Częściowe zabezpieczenie 2FA jest więc już lepsze niż nic, ale daleko jeszcze od zadowalającego poziomu zabezpieczenia danych.
W Polsce jesteśmy na etapie szybko rosnącej świadomości bezpieczeństwa. Większość dużych firm wie już, że 2FA jest koniecznością i szuka obecnie sposobów aby w sprawny sposób wprowadzić je na większej ilości programów i systemów.
Czy działanie brokera dotyczy tylko użytkowników znajdujących się w sieci lokalnej? Czy można wymusić 2FA dla osób korzystających z dowolnego urządzenia w dowolnym miejscu?
Żeby odpowiedzieć na to pytanie najpierw musimy zrobić krok w tył i wyjaśnić czym jest broker Secfense. User Access Security Broker to narzędzie, uruchamiane przez administratora systemu w infrastrukturze organizacji, więc tak blisko aplikacji, które będą chronione jak to tylko możliwe. Zatem broker jest w stanie analizować cały ruch, który odbywa się na linii użytkownicy-aplikacja. W tak skonfigurowanym środowisku, każde zdarzenie logowania, bez względu na to skąd się odbywa i z jakiego urządzenia jest wykonywane, podlega regułom zastosowanego dla ochrony aplikacji składnika 2FA/MFA z wykorzystaniem Secfense..
Czym ta aplikacja Secfense się różni od Google Authenicator?
Google Authenticator to aplikacja uwierzytelniająca generująca jednorazowe kody. Jest to aplikacja, która wciąż polega więc na metodzie TOTP, czyli hasłach generowanych i wpisywanych następnie w procesie logowania. Aplikacja Secfense to aplikacja odpowiadająca kluczom sprzętowym U2F/FIDO2. Aplikacja nie generuje żadnych kodów, w zamian za to powoduje, że telefon staje się – tak jak klucz – urządzeniem uwierzytelniającym. Podejście to bazuje na kryptografii klucza publicznego i na standardzie FIDO2, nie na kodach jak w wypadku aplikacji Google.
Czy jakaś jednostka budżetowa korzysta już z brokera?
Tak, pośród naszych klientów znajduje się organizacja odpowiadająca za informatyzację sektora publicznego w Polsce oraz przewoźnik kolejowy.
Czy można pobrać jakiś trial tego rozwiązania?
Trial jest jak najbardziej możliwy, dodatkowo w ramach testów pomagamy w w instalacji i konfiguracji brokera. Osoby chętne do przeprowadzenia testów brokera Secfense na własnym środowisku testowym, zapraszamy do kontaktu z nami przez formularz kontaktowy.
Antoni Sikora 