Passwordless i logowanie bez hasła to słowa, które w cyber-marketingowym przekazie w 2022 roku powtarzać się będą bez przerwy. O ile poprzednie lata upłynęły pod znakiem koncepcji zero trust security i pod znakiem uwierzytelniania wieloskładnikowego (MFA), o tyle 2022 będzie rokiem passwordless i logowania bez hasła.
Po co komu passwordless i logowanie bez hasła?
No dobrze, ale o ile dla przeciętnego użytkownika smartfona lub laptopa możliwość zalogowania się do swojego urządzenia bez hasła to oczywista wygoda, to czy rzeczywiście ta ‘rewolucja’ sprowadza się głównie do komfortu użytkowania?
Co to jest passwordless?
Passwordless authentication, lub po polsku logowanie bez hasła to podejście do uwierzytelniania, w którym tradycyjne hasło zastępowane jest alternatywnymi metodami uwierzytelniania.
Liczba mnoga pojawia się tu nie przypadkiem, bo w praktycznie wszystkich przypadkach, w których firmy decydują się na odejście od haseł, decydują się również na zastąpienie ich nie jedną, ale klikoma metodami uwierzytelniania często bazującymi na uwierzytelnianiu biometrycznym (ang. biometric authentication).
Czy passwordless i MFA to to samo?
Logowanie passwordless w naturalny sposób wiąże się z uwierzytelnianiem wieloskładnikowym (MFA), a najbardziej zaś z uwierzytelnianiem biometrycznym. Biometria twarzy albo kciuka, czyli mechanizmy pozwalające na rozpoznanie nas dzięki zeskanowaniu naszych linii papilarnych, lub rozpoznaniu naszej twarzy, to mechanizmy, o których najczęściej myślimy mówiąc o logowaniu bez hasła.
Firmy, które odchodzą od haseł wykorzystują najczęściej otwarty standard uwierzytelniania w sieci o nazwie FIDO2, lub będące poprzednikami tego standardu klucze kryptograficzne U2F. Urządzenia obsługujące standard FIDO2/U2F pozwalają bowiem użytkownikowi uwierzytelnić się odciskiem palca, spojrzeniem w kamerę rozpoznającą twarz, lub przyciśnięciem guzika na kluczu U2F.
Dlaczego firmy wdrażają passwordless?
Wiemy już czym jest passwordless i wiemy, że ułatwia on znacznie wygodniejsze logowanie niż to wymagające użycie haseł. Czy wygoda jest powodem dla której dochodzi do tej dużej zmiany w podejściu do uwierzytelniania?
Czy passwordless jest bezpieczne?
W tym momencie dochodzimy do kluczowej kwestii i zarazem jednego z najistotniejszych powodów, dla których hasła przechodzą do lamusa zostając zastąpionymi logowaniem bez wykorzystania haseł. Tym powodem jest oczywiście bezpieczeństwo.
Bezpieczeństwo to główny argument wymieniany przez ankietowanych w badaniu przeprowadzonym przez portal Cybersecurity Insiders. W ankiecie aż 91% respondentów jako najważnieszy powód odejścia od haseł wymieniło wyeliminowanie problemu wykorzystania skradzionych lub złamanych haseł.
Wygoda oczywiście również ma znaczenie, bo na drugim miejscu z 64% głosów znalazła się właśnie ona jednak to chęć uniknęcia ataków związanych z hasłami jest kluczowym powodem dla których coraz więcej firm przechodzi na pełne passwordless, czyli na całkowite wyeliminowanie haseł z ogranizacji.
Dlaczego passwordless jest tak bezpieczne?
No dobrze, wiemy już, że passwordless i logowanie bez hasła eliminuje wszystkie bolączki związane z hasłami i wszystkie ataki, które z haseł korzystały. Co jednak oferują metody uwierzytelniania wieloskładnikowego i logowanie bez haseł, co powoduje, że są one lepszą alternatywą dla haseł? Czy nie mają one wad?
Wielowarstwowe bezpieczeństwo
Pierwsza rzecz, o której wspominaliśmy na początku artykułu to to, że hasła, żadko zastępowane są jedynie jednym składnikiem. Logowanie do aplikacji przy użyciu smartfona, to już kilka warstw z których nawet nie zdajemy sobie sprawy. Po pierwsze rozpoznanie twarzy czy kciuka działa tylko na tym jednym urządzeniu (w przeciwieństwie do haseł, które posiadane, pozwalają dostać się do aplikacji z dowolnego urządzenia). Po drugie telefony często zapamiętują lokację więc jeśli logowanie nastąpi z innej sieci, lub innej szerokości geograficznej aplikacja może poprosić o ponowne uwierzytelnienie push lub wyśle jednorazowy kod SMS. W przypadku jeśli kamera nie rozpozna twarzy użytkownik zostanie poproszony o wstukanie kodu PIN. W samym tym przypadku wymienionych zostało już 5 różnych czynników logowania:
- Czynnik obecności (użytkownik musi fizycznie być przed kamerą, żeby zeskanować swoją twarz).
- Czynnik wiedzy (użytkownik musi znać PIN).
- Czynnik lokalizacji (użytkownik musi być w znanej urządzeniu geolokacji lub sieci).
- Czynnik czasu (użytkownik ma określony czas na wpisanie kodu otrzymanego SMSem).
- Czynnik posiadania (użytkonik musi posiadać smartfon na który otrzyma kod SMS).
Kryptografia i standard FIDO2
O FIDO2 piszemy bardzo obszernie na stronach poświęconych temu niezwykłemu standardowi uwierzytelniania. W bardzo dużym skrócie standard ten zupełnie eliminuje ryzyko związane z atakami typu phishing i wykorzystującymi wykradzione hasła. Logowanie FIDO2 uniemożliwia bowiem użytkownikowi zalogowanie się na fałszywej domenie. Nawet jeśli osoba padłaby ofiarą mistrzowsko przeprowadzonego ataku socjotechnicznego jeśli konto użytkownika zabezpieczone jest uwierzytelnianiem FIDO2 lub kluczami U2F, nie jest możliwym, aby przestępca przedostał się dalej nie posiadając fizycznie klucza U2F ofiary lub jego urządzenia i palca lub twarzy. Innymi słowy przestępca nie zaloguje się do aplikacji użytkownika bez fizycznej obecności użytkownika, który fizycznie przyłoży swój kciuk, lub zeskanuje swoją twarz w momencie logowania. FIDO2 nie pozwoli zalogować się do fałszywej aplikacji.
Jak wdrożyć passwordless?
Jeśli uwierzytelnianie bez haseł to znacznie lepsza i bezpieczniejsza forma uwierzytelninia to czemu wciąż zaledwie pojedyncze firmy skutecznie wdrożyły to podejście w życie? Odpowiedź jak zwykle sprowadza się do zasobów. Czas, praca i koszty.
Uwierzytelnianie dwuskładnikowe (2FA) to dla wielu firm wciąż wyzwanie z którym się borykają. Co dopiero wykorzystanie większej ilości składników lub całkowite wyeliminowanie hasła jako podstawowego składnika uwierzytelniania.
Istnieje wiele sposobów aby rozpocząć drogę do pełnego passwordless i zupełnie zrezygnować z haseł. Zaproponowane przez Secfense podejście wykorzystuje brokera bezpieczeństwa, tzw. user access security broker, czyli technologię umożliwiającą w bezinwazyjny sposób wdrożenie dowolnej metody uwierzytelniania wieloskładnikowego (MFA) na dowolnej aplikacji.
Wdrożenie passwordless i logowania bez hasła z user access security broker
O koncepcji user access security broker napisaliśmy bardzo obszernie na dedykowanej temu podejściu stronie, do której odsyłamy. W kilku zdaniach głównymi zaletami brokera są:
- elastyczność w wyborze metod silnego uwierzytelniania – możliwość łatwego wdrożenia dowolnej metody wieloskładnikowego uwierzytelniania dostępnej na rynku
- niezależność metody silnego uwierzytelniania od aplikacji – uwierzytelnianie MFA dodawane jest do aplikacji bez żadnej ingerencji w kod chronionej aplikacji
- skalowalność wdrożenia – cała organizacja może być objęta wieloskładnikowym uwierzytelnianiem MFA, a nie, jak w większości organizacji, wyłącznie wybrane aplikacje
- Wyeliminowanie kosztów produkcyjnych – szybkie wdrożenie, które w żadnym stopniu nie angażuje zespołów programistycznych
- optymalizacja zasobów – obsługa brokera w minimalny sposób angażuje dział cyberbezpieczeństwa (zwykle jedna osoba dedykowana do obsługi narzędzia).
Więcej o passwordless i uwierzytelnianiu bez haseł
Na naszych stronach poświęciliśmy bardzo dużo miejsca passwordless authentication, uwierzytelnianiu bez haseł i podejściu do łatwej implementacji silnego uwierzytelniania w organizacjach. Jeśli ten artykuł wydał się Państwu ciekawy zachęcamy do zapoznania się z naszymi innymi artykułami i stronami, w szczególności:
- Twoje hasło wygasło i… czas żeby również wymarło
- Secfense i droga do passwordless
- Dlaczego złe wykorzystanie VPN może być niebezpieczne?
- Co to jest klucz U2F i jak go używać?
- Passwordless – czy NAPRAWDĘ wkrótce zrezygnujemy z haseł?
W każdym momencie mogą Państwo również zadać nam pytanie, zaproponować temat kolejnego artykułu, lub też po prostu podzielić się opinią na temat tego co robimy tutaj.
