Nigdy więcej Dnia Zmiany Hasła

Nigdy wiecej Dnia Zmiany Hasla 02

Na początku lutego obchodziliśmy Dzień Zmiany Hasła.  Muszę przyznać, że po raz kolejny go przegapiłem.  I mam nadzieję, że Wy również…

Już tłumaczę dlaczego.

Koncepcja zmiany hasła ma swoje korzenie jeszcze w czasach, kiedy pracowaliśmy w środowiskach UNIX’owych, które początkowo przechowywały nasze “sekrety”, co prawda w formie zaszyfrowanej, za to dostępnej dla wszystkich. Znaczy to mniej więcej tyle, że każdy mógł spróbować rozszyfrować hasło innej osoby.  A ponieważ zajmowało to – w zależności od długości hasła i stopnia jego skomplikowania – od minut do kilku miesięcy, rozmaite poradniki namawiały do okresowej zmiany naszego tajnego słowa. Później, w dobie popularyzacji Internetu, a zwłaszcza wczesnego Weba, hasła były przesyłane w formie jawnej.  I ta sama dobra praktyka miała chronić nas przed sytuacjami, kiedy hasła mogłyby być przez kogoś przechwycone i wykorzystane.

Od tego czasu jednak wiele się zmieniło.  Nie pracujemy w środowiskach terminalowych, protokół HTTP stał się HTTPS-em, z dodatkowa literką “S” oznaczającą “Secure” (m.in. oznaczające zabezpieczenia naszych haseł).  Niestety zmiany poszły również i w złym kierunku.  Mnogość i wartość danych, jakie znalazły się w sieci spowodowały, że przestępcy opracowali wiele mechanizmów pozwalających na łatwe ich przejęcie. Najczęstszym i pierwszym krokiem w tym kierunku jest poznanie naszego hasła poprzez jego podejrzenie, podsłuchanie, wykradzenie, wyłudzenie, odgadnięcie czy odszyfrowanie.  

Na szczęście dziś nie musimy już polegać na samym haśle.  Opracowano bowiem inne, bezpieczniejsze, a często i wygodniejsze metody potwierdzania tożsamości w sieci, czyli tzw. uwierzytelniania. Są to mechanizmy bazujące na tym, co mamy przy sobie – na przykład przypominające pendrive’y klucze sprzętowe czy wyposażone w odpowiednie aplikacje mobilne smartphony, które sprawdzają naszą tożsamość w oparciu o nasze cechy biometryczne. W końcu stosunkowo niedawno wprowadzone do powszechnego użytku telefony z iOS’em czy Androidem odblokowujemy głównie odciskiem palca czy obrazem twarzy, ewentualnie krótkim PIN’em, a nie skomplikowanym hasłem.  Tę funkcjonalność – nie bez powodu przecież – coraz częściej przejmują komputery osobiste i pracujące na nich systemy operacyjne.

Nigdy wiecej Dnia Zmiany Hasla 01
Nigdy wiecej Dnia Zmiany Hasla 01

Okresowa zmiana hasła traci więc sens.  I zamiast pamiętać o przestarzałym, jak samo hasło dniu jego święta, proponuję, żebyśmy korzystali z innych sposobów uwierzytelniania.  I to każdego dnia i w każdym serwisie, gdzie mamy swoje jakiekolwiek konto.

Krzysztof Góźdź drives sales and new business development. Krzysztof has more than 20 years of experience in Information Technology & Services sales and has previously worked for IBM and Hewlett-Packard bringing on board enterprise customers and cooperating with them. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Jak wdrożyć 2FA bez polegania na telefonach komórkowych?

Specjaliści ds. cyberbezpieczeństwa pracujący w środowiskach korporacyjnych doskonale zdają sobie sprawę ze znaczenia silnych metod uwierzytelniania, takich jak FIDO i passkeys. Technologie te oferują silne,…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Passkeys i zgodność z przepisami: Zgodność ze standardami PSD2, RODO, HIPAA i CCPA

Passkeys, opracowane w oparciu o standardy FIDO Alliance FIDO2 i U2F, są kluczami kryptograficznymi zaprojektowanymi w celu zastąpienia tradycyjnych haseł, zapewniając zwiększone bezpieczeństwo bez luk…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 5 MIN

Przewodnik po PSD3: Co to jest, kogo dotyczy i jak zapewnić zgodność

Co to jest PSD3? PSD3 (Payment Services Directive 3) to trzecia wersja unijnej dyrektywy regulującej rynek usług płatniczych. Głównym celem PSD3 jest zwiększenie bezpieczeństwa transakcji…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.