Nigdy więcej Dnia Zmiany Hasła

Nigdy wiecej Dnia Zmiany Hasla 02

Na początku lutego obchodziliśmy Dzień Zmiany Hasła.  Muszę przyznać, że po raz kolejny go przegapiłem.  I mam nadzieję, że Wy również…

Już tłumaczę dlaczego.

Koncepcja zmiany hasła ma swoje korzenie jeszcze w czasach, kiedy pracowaliśmy w środowiskach UNIX’owych, które początkowo przechowywały nasze “sekrety”, co prawda w formie zaszyfrowanej, za to dostępnej dla wszystkich. Znaczy to mniej więcej tyle, że każdy mógł spróbować rozszyfrować hasło innej osoby.  A ponieważ zajmowało to – w zależności od długości hasła i stopnia jego skomplikowania – od minut do kilku miesięcy, rozmaite poradniki namawiały do okresowej zmiany naszego tajnego słowa. Później, w dobie popularyzacji Internetu, a zwłaszcza wczesnego Weba, hasła były przesyłane w formie jawnej.  I ta sama dobra praktyka miała chronić nas przed sytuacjami, kiedy hasła mogłyby być przez kogoś przechwycone i wykorzystane.

Od tego czasu jednak wiele się zmieniło.  Nie pracujemy w środowiskach terminalowych, protokół HTTP stał się HTTPS-em, z dodatkowa literką “S” oznaczającą “Secure” (m.in. oznaczające zabezpieczenia naszych haseł).  Niestety zmiany poszły również i w złym kierunku.  Mnogość i wartość danych, jakie znalazły się w sieci spowodowały, że przestępcy opracowali wiele mechanizmów pozwalających na łatwe ich przejęcie. Najczęstszym i pierwszym krokiem w tym kierunku jest poznanie naszego hasła poprzez jego podejrzenie, podsłuchanie, wykradzenie, wyłudzenie, odgadnięcie czy odszyfrowanie.  

Na szczęście dziś nie musimy już polegać na samym haśle.  Opracowano bowiem inne, bezpieczniejsze, a często i wygodniejsze metody potwierdzania tożsamości w sieci, czyli tzw. uwierzytelniania. Są to mechanizmy bazujące na tym, co mamy przy sobie – na przykład przypominające pendrive’y klucze sprzętowe czy wyposażone w odpowiednie aplikacje mobilne smartphony, które sprawdzają naszą tożsamość w oparciu o nasze cechy biometryczne. W końcu stosunkowo niedawno wprowadzone do powszechnego użytku telefony z iOS’em czy Androidem odblokowujemy głównie odciskiem palca czy obrazem twarzy, ewentualnie krótkim PIN’em, a nie skomplikowanym hasłem.  Tę funkcjonalność – nie bez powodu przecież – coraz częściej przejmują komputery osobiste i pracujące na nich systemy operacyjne.

Nigdy wiecej Dnia Zmiany Hasla 01
Nigdy wiecej Dnia Zmiany Hasla 01

Okresowa zmiana hasła traci więc sens.  I zamiast pamiętać o przestarzałym, jak samo hasło dniu jego święta, proponuję, żebyśmy korzystali z innych sposobów uwierzytelniania.  I to każdego dnia i w każdym serwisie, gdzie mamy swoje jakiekolwiek konto.

Krzysztof Góźdź drives sales and new business development. Krzysztof has more than 20 years of experience in Information Technology & Services sales and has previously worked for IBM and Hewlett-Packard bringing on board enterprise customers and cooperating with them. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.