Niewidzialne uwierzytelnianie PASSWORDLESS i logowanie bez hasła

Niewidzialne uwierzytelnianie PASSWORDLESS z Secfense i logowanie bez hasła

Passwordless i logowanie bez hasła to słowa, które w cyber-marketingowym przekazie w 2022 roku powtarzać się będą bez przerwy. O ile poprzednie lata upłynęły pod znakiem koncepcji zero trust security i pod znakiem uwierzytelniania wieloskładnikowego (MFA), o tyle 2022 będzie rokiem passwordless i logowania bez hasła.

Po co komu passwordless i logowanie bez hasła?

No dobrze, ale o ile dla przeciętnego użytkownika smartfona lub laptopa możliwość zalogowania się do swojego urządzenia bez hasła to oczywista wygoda, to czy rzeczywiście ta ‘rewolucja’ sprowadza się głównie do komfortu użytkowania?

Co to jest passwordless?

Passwordless authentication, lub po polsku logowanie bez hasła to podejście do uwierzytelniania, w którym tradycyjne hasło zastępowane jest alternatywnymi metodami uwierzytelniania.

Liczba mnoga pojawia się tu nie przypadkiem, bo w praktycznie wszystkich przypadkach, w których firmy decydują się na odejście od haseł, decydują się również na zastąpienie ich nie jedną, ale klikoma metodami uwierzytelniania często bazującymi na uwierzytelnianiu biometrycznym (ang. biometric authentication).

Czy passwordless i MFA to to samo? 

Logowanie passwordless w naturalny sposób wiąże się z uwierzytelnianiem wieloskładnikowym (MFA), a najbardziej zaś z uwierzytelnianiem biometrycznym. Biometria twarzy albo kciuka, czyli mechanizmy pozwalające na rozpoznanie nas dzięki zeskanowaniu naszych linii papilarnych, lub rozpoznaniu naszej twarzy, to mechanizmy, o których najczęściej myślimy mówiąc o logowaniu bez hasła.

Firmy, które odchodzą od haseł wykorzystują najczęściej otwarty standard uwierzytelniania w sieci o nazwie FIDO2, lub będące poprzednikami tego standardu klucze kryptograficzne U2F. Urządzenia obsługujące standard FIDO2/U2F pozwalają bowiem użytkownikowi uwierzytelnić się odciskiem palca, spojrzeniem w kamerę rozpoznającą twarz, lub przyciśnięciem guzika na kluczu U2F.

Passwordless czyli logowanie bez hasła z Secfense
Passwordless czyli logowanie bez hasła

Dlaczego firmy wdrażają passwordless?

Wiemy już czym jest passwordless i wiemy, że ułatwia on znacznie wygodniejsze logowanie niż to wymagające użycie haseł. Czy wygoda jest powodem dla której dochodzi do tej dużej zmiany w podejściu do uwierzytelniania?

Czy passwordless jest bezpieczne?

W tym momencie dochodzimy do kluczowej kwestii i zarazem jednego z najistotniejszych powodów, dla których hasła przechodzą do lamusa zostając zastąpionymi logowaniem bez wykorzystania haseł. Tym powodem jest oczywiście bezpieczeństwo.

Bezpieczeństwo to główny argument wymieniany przez ankietowanych w badaniu przeprowadzonym przez portal Cybersecurity Insiders. W ankiecie aż 91% respondentów jako najważnieszy powód odejścia od haseł wymieniło wyeliminowanie problemu wykorzystania skradzionych lub złamanych haseł.

Wygoda oczywiście również ma znaczenie, bo na drugim miejscu z 64% głosów znalazła się właśnie ona jednak to chęć uniknęcia ataków związanych z hasłami jest kluczowym powodem dla których coraz więcej firm przechodzi na pełne passwordless, czyli na całkowite wyeliminowanie haseł z ogranizacji.

Firmy wdrażają passwordless czyli uwierzytelnianie bez hasła ze względu na bezpieczeństwo
Firmy wdrażają passwordless czyli uwierzytelnianie bez hasła ze względu na bezpieczeństwo

Dlaczego passwordless jest tak bezpieczne?

No dobrze, wiemy już, że passwordless i logowanie bez hasła eliminuje wszystkie bolączki związane z hasłami i wszystkie ataki, które z haseł korzystały. Co jednak oferują metody uwierzytelniania wieloskładnikowego i logowanie bez haseł, co powoduje, że są one lepszą alternatywą dla haseł? Czy nie mają one wad?

Wielowarstwowe bezpieczeństwo

Pierwsza rzecz, o której wspominaliśmy na początku artykułu to to, że hasła, żadko zastępowane są jedynie jednym składnikiem. Logowanie do aplikacji przy użyciu smartfona, to już kilka warstw z których nawet nie zdajemy sobie sprawy. Po pierwsze rozpoznanie twarzy czy kciuka działa tylko na tym jednym urządzeniu (w przeciwieństwie do haseł, które posiadane, pozwalają dostać się do aplikacji z dowolnego urządzenia). Po drugie telefony często zapamiętują lokację więc jeśli logowanie nastąpi z innej sieci, lub innej szerokości geograficznej aplikacja może poprosić o ponowne uwierzytelnienie push lub wyśle jednorazowy kod SMS. W przypadku jeśli kamera nie rozpozna twarzy użytkownik zostanie poproszony o wstukanie kodu PIN. W samym tym przypadku wymienionych zostało już 5 różnych czynników logowania:

  • Czynnik obecności (użytkownik musi fizycznie być przed kamerą, żeby zeskanować swoją twarz).
  • Czynnik wiedzy (użytkownik musi znać PIN).
  • Czynnik lokalizacji (użytkownik musi być w znanej urządzeniu geolokacji lub sieci). 
  • Czynnik czasu (użytkownik ma określony czas na wpisanie kodu otrzymanego SMSem).
  • Czynnik posiadania (użytkonik musi posiadać smartfon na który otrzyma kod SMS).

Kryptografia i standard FIDO2

O FIDO2 piszemy bardzo obszernie na stronach poświęconych temu niezwykłemu standardowi uwierzytelniania. W bardzo dużym skrócie standard ten zupełnie eliminuje ryzyko związane z atakami typu phishing i wykorzystującymi wykradzione hasła. Logowanie FIDO2 uniemożliwia bowiem użytkownikowi zalogowanie się na fałszywej domenie. Nawet jeśli osoba padłaby ofiarą mistrzowsko przeprowadzonego ataku socjotechnicznego jeśli konto użytkownika zabezpieczone jest uwierzytelnianiem FIDO2 lub kluczami U2F, nie jest możliwym, aby przestępca przedostał się dalej nie posiadając fizycznie klucza U2F ofiary lub jego urządzenia i palca lub twarzy. Innymi słowy przestępca nie zaloguje się do aplikacji użytkownika bez fizycznej obecności użytkownika, który fizycznie przyłoży swój kciuk, lub zeskanuje swoją twarz w momencie logowania. FIDO2 nie pozwoli zalogować się do fałszywej aplikacji.

Jak wdrożyć passwordless?

Jeśli uwierzytelnianie bez haseł to znacznie lepsza i bezpieczniejsza forma uwierzytelninia to czemu wciąż zaledwie pojedyncze firmy skutecznie wdrożyły to podejście w życie? Odpowiedź jak zwykle sprowadza się do zasobów. Czas, praca i koszty. 

Uwierzytelnianie dwuskładnikowe (2FA) to dla wielu firm wciąż wyzwanie z którym się borykają. Co dopiero wykorzystanie większej ilości składników lub całkowite wyeliminowanie hasła jako podstawowego składnika uwierzytelniania.

Istnieje wiele sposobów aby rozpocząć drogę do pełnego passwordless i zupełnie zrezygnować z haseł. Zaproponowane przez Secfense podejście wykorzystuje brokera bezpieczeństwa, tzw. user access security broker, czyli technologię umożliwiającą w bezinwazyjny sposób wdrożenie dowolnej metody uwierzytelniania wieloskładnikowego (MFA) na dowolnej aplikacji. 

Jak wdrożyć passwordless i uwierzytelnianie bez haseł z Secfense
Jak wdrożyć passwordless i uwierzytelnianie bez haseł z Secfense

Wdrożenie passwordless i logowania bez hasła z user access security broker

O koncepcji user access security broker napisaliśmy bardzo obszernie na dedykowanej temu podejściu stronie, do której odsyłamy. W kilku zdaniach głównymi zaletami brokera są:

  • elastyczność w wyborze metod silnego uwierzytelniania – możliwość łatwego wdrożenia dowolnej metody wieloskładnikowego uwierzytelniania dostępnej na rynku
  • niezależność metody silnego uwierzytelniania od aplikacji – uwierzytelnianie MFA dodawane jest do aplikacji bez żadnej ingerencji w kod chronionej aplikacji
  • skalowalność wdrożenia – cała organizacja może być objęta wieloskładnikowym uwierzytelnianiem MFA, a nie, jak w większości organizacji, wyłącznie wybrane aplikacje
  • Wyeliminowanie kosztów produkcyjnych – szybkie wdrożenie, które w żadnym stopniu nie angażuje zespołów programistycznych 
  • optymalizacja zasobów – obsługa brokera w minimalny sposób angażuje dział cyberbezpieczeństwa (zwykle jedna osoba dedykowana do obsługi narzędzia).  

Więcej o passwordless i uwierzytelnianiu bez haseł

Na naszych stronach poświęciliśmy bardzo dużo miejsca passwordless authentication, uwierzytelnianiu bez haseł i podejściu do łatwej implementacji silnego uwierzytelniania w organizacjach. Jeśli ten artykuł wydał się Państwu ciekawy zachęcamy do zapoznania się z naszymi innymi artykułami i stronami, w szczególności:

W każdym momencie mogą Państwo również zadać nam pytanie, zaproponować temat kolejnego artykułu, lub też po prostu podzielić się opinią na temat tego co robimy tutaj.

Czytaj więcej

Referencje

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.