Telefon – każdy ma go dziś przy sobie. Od teraz, dzięki aplikacji mobilnej Secfense Authenticator, smartfon może być również wygodną metodą uwierzytelniania na dowolnej aplikacji w firmie. Nowa technologia rewolucjonizuje proces logowania, który nie będzie wymagał już od pracowników wpisania niewygodnego i niebezpiecznego – bo łatwego do przechwycenia przez cyberprzestępców – hasła.
Secfense Authenticator
Uwierzytelnianie to proces potwierdzenia tożsamości przez użytkownika w sieci. Jeśli użytkownik weryfikuje swoją tożsamość przy wykorzystaniu więcej niż jednego czynnika, mówimy o uwierzytelnianiu wieloskładnikowym (MFA). Najskuteczniejszym obecnie standardem uwierzytelniania w sieci jest uwierzytelnianie FIDO2, który według założenia twórców, pozwala prosto uwierzytelnić się używanym na co dzień smartfonem. FIDO2 jednak to nie tylko wygoda, ale również to, na czym zależy wszystkim dziś najbardziej – bezpieczeństwo, które chroni dostępu do aplikacji dzięki wykorzystaniu kryptografii.
– Firmy, które podchodzą poważnie do ochrony swoich zasobów, powinny na każdym koncie pracownika, który ma dostęp do wrażliwych danych, włączyć uwierzytelnienie wieloskładnikowe – mówi Tomasz Kowalski, CEO i współzałożyciel firmy Secfense. – Ale uwaga, żeby mieć pewność, że zabezpieczenia nie da się obejść, nie wystarczy już kod generowany na telefonie lub wysyłany SMS-em. Z takimi metodami intruzi potrafią sobie dzisiaj poradzić. Firma powinna zastosować uwierzytelnianie oparte o standard FIDO2.
Dlaczego więc, jeśli istnieje taki otwarty i skuteczny standard, to firmy nadal mają problem z zabezpieczeniem kont swoich pracowników wieloskładnikowym uwierzytelnianiem? Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli firma posiada w swojej organizacji setki aplikacji, masowa implementacja na wszystkich programach, jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 – choć zaprojektowany w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.
– W Secfense zauważyliśmy ten problem i opracowaliśmy rozwiązanie o nazwie User Access Security Broker (UASB), dzięki któremu w zautomatyzowany sposób, bez ingerencji w kod, firmy mogą zabezpieczać dowolne aplikacje w organizacji, wykorzystując uwierzytelnianie wieloskładnikowe – mówi Tomasz Kowalski.
Bez hasła – passwordless w firmie
Firma opracował właśnie kolejne ułatwienie – Secfense Authenticator, który pozwala bankom i organizacjom używającym UASB korzystać z uwierzytelniania FIDO2 na dowolnej aplikacji i bez konieczności zakupu żadnego dodatkowego sprzętu. Oznacza to, że organizacje korzystające z User Access Security Broker, mogą przejść do pełnego passwordless, czyli uwierzytelniania bez haseł, zastępując hasła innymi, znacznie silniejszymi metodami uwierzytelniania.
Wyobraźmy sobie dużą organizację zatrudniającą setki lub tysiące pracowników. Każdego dnia korzystają oni z kilku lub kilkunastu aplikacji, z których większość zabezpieczonych jest jedynie hasłem. Większość firm, będących świadomych zagrożeń w sieci wdrożyło już MFA przynajmniej na części aplikacji. Niewielu z nich udało się jednak zrobić to na wszystkich aplikacjach. Zrobił to np. Google i Twitter. Co więcej, swoje MFA opierają na najsilniejszym standardzie, czyli FIDO2.
– Można powiedzieć, że User Access Security Broker otwiera ścieżkę do masowego wykorzystania MFA w biznesie, a aplikacja Secfense Authenticator dodatkowo umożliwia sięgnięcie po najmocniejszy standard FIDO2 – mówi Tomasz Kowalski – Dzieje się to bez generowania kosztów związanych z zatrudnieniem programistów, bez kosztu zakupu kluczy sprzętowych i bez żadnego wpływu na płynność operacji.
Za drogo, za dużo, za trudno
Zastosowanie telefonu jako urządzenia uwierzytelniającego nie tylko poprawia bezpieczeństwo, ale optymalizuje znacząco koszty. Jeśli użytkownik chciałby zabezpieczyć swoje konto w usługach Google przy wykorzystaniu kryptografii, może to zrobić, dodając jako kolejny składnik uwierzytelniania tzw. klucz kryptograficzny. Problem jednak w tym, że usługa Google wymaga dodania od razu dwóch kluczy (na wypadek jakby użytkownik jeden zgubił lub zepsuł). Koszt jednego klucza to średnio 200 PLN, jeśli chcielibyśmy więc kryptograficznie zabezpieczyć swoje konto w Google musimy zapłacić za to 400 PLN. Organizacje, chcące zapewnić taki wysoki poziom bezpieczeństwa swoim pracownikom, stawały więc przed astronomicznymi kosztami spowodowanymi przez klucze sprzętowe.
– Standard FIDO2 umożliwia wykorzystanie posiadanych przez pracowników smartfonów, a Secfense wraz z aplikacją na telefon – Secfense Authenticator zastępuje klucze i sprawia, że każda aplikacja w firmie może ten standard ‘zrozumieć’ i pozwolić użytkownikom na korzystanie z niego – dodaje Kowalski.
Kryptografia dla mas
Secfense pracuje również nad wersją aplikacji Secfense Authenticator – dla osób indywidualnych. Na razie aplikacja działa bowiem tam, gdzie wdrożony jest User Access Security Broker.
Wersja open source aplikacji Secfense Authenticator spowoduje, że wszędzie tam gdzie dany program umożliwia korzystanie z uwierzytelniania kryptograficznego (zwykle jest to określone jako “możliwość wykorzystania klucza U2F”, czyli przodka standardu FIDO2), będzie opcja zabezpieczenia kryptograficznego bez konieczności kupowania kluczy sprzętowych. Mowa tutaj o wielu platformach mediów społecznościowych, skrzynkach pocztowych czy giełdach kryptowalut.
Niezauważalna rewolucja
Nowy sposób zabezpieczeń użytkowników podczas logowania to swego rodzaju niewidzialna ewolucja, albo raczej niezauważalna rewolucja. Dlaczego? Ponieważ jeszcze rok czy dwa lata temu normą było odblokowywanie telefonów palcem (robienie wzorków na klawiaturze) czy wpisywanie pinów. Dziś większość z nas odblokowuje ekran, skanując swoją twarz.
Naturalną koleją rzeczy jest więc to, że wkrótce, w taki sam sposób będziemy się logować do aplikacji, które obecnie wymagają od nas niewygodnego i niebezpiecznego – bo łatwego do przechwycenia przez cyberprzestępców – hasła.
