Od słabych haseł, przez silne uwierzytelnianie aż do celu – bezpieczna przyszłość bez haseł

przez-silne-uwierzytelnianie-az-po-przyszlosc-bez-hasel

“Bo tam były pieniądze” – tak w filmie Vabank Henryk Kwinto odpowiada na pytanie, dlaczego “zrobił” tyle banków.  I niestety, nie wszyscy włamywacze wchodzą do skarbców z tak etycznych pobudek, jak te opisane w doskonałej produkcji Juliusza Machulskiego.  Za to wielu przygotowuje się w równie drobiazgowy sposób, a dysponując kompleksową wiedzą i narzędziami, okazuje się tak samo skutecznymi. Czy przyszłość bez haseł to właściwy kierunek aby zabezpieczyć banki i ich klientów przed nowoczesnymi włamywaczami?  

Phishing, czyli nowoczesny włam

I dzisiaj osiągają oni ten sam rezultat bez podkopów, wysadzeń i stetoskopów, a – przykładowo – za pomocą phishingu, wireless sniffingu czy ataków typu Man-in-the-Middle.  To znaczy mogą podawać się za zaufane instytucje i prosić o przekazanie naszych danych, w tym loginów i haseł, podsłuchiwać transmisję w sieciach Wi-Fi i odczytywać przesyłane tam loginy oraz hasła, a także podszywać się pod odwiedzane serwisy, przechwytywać ruch i wykorzystywać zdobyte w ten sposób dane do nieautoryzowanego dostępu.

Banki a cyberbezpieczeństwo

Na szczęście instytucje finansowe zdają sobie sprawę, że zawsze były i nadal są łakomym kąskiem dla włamywaczy.  I nie chodzi tylko o te wymienione przez Kwinto możliwe do skradzenia pieniądze.  Wyciek danych może wiązać się z wysokimi karami nakładanymi przez instytucje nadzorujące, RODO i KNF, a sama tylko informacja o udanym włamaniu na pewno wpłynie na prestiż banku, co spowoduje odejścia klientów i mniejsze zainteresowanie ze strony inwestorów.  Dlatego banki wdrażają coraz bardziej zaawansowane procedury i narzędzia podnoszące bezpieczeństwo.  Jako klienci musimy autoryzować płatności kartami, co zostało zapisane w unijnej dyrektywie PSD2 (Revised Payment Services Directive).  Wiele innych operacji finansowych wymaga dodatkowego ich potwierdzania, za pomocą SMS’ów, kodów wysyłanych e-mailem czy przy użyciu dedykowanych aplikacji na smartphonach.  Czyli – poza wcześniejszym zalogowaniem się na nasze konta – korzystamy z tzw. drugiego składnika uwierzytelniania, a taka 2-etapowa operacja nazywana jest silnym uwierzytelnianiem.

Forum Bezpieczeństwa Banków i przyszłość bez haseł

Mamy więc zabezpieczoną pewną część sytuacji, w których może dojść do nadużyć.  A ponieważ wiadomo, że każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo, zastanówmy się, czy podobne silne uwierzytelnianie stosujemy w przypadku wszystkich aplikacji webowych, z jakich korzystają klienci, pracownicy czy współpracownicy banku.

Na początku maja uczestniczyliśmy w konferencji Forum Bezpieczeństwa Banków.  Przy tej okazji przedstawiliśmy, jak w prosty i szybki sposób, nie modyfikując istniejących aplikacji wdrożyć omawiane zabezpieczenia w całej organizacji.

W ciągu kilkunastu minut pokazaliśmy, jak działa opracowane przez nas rozwiązanie i zademonstrowaliśmy jego wdrożenie na przykładzie portalu organizatorów konferencji.

Najczęściej Zadawane Pytania o Secfense User Access Security Broker: Q&A Forum Bezpieczeństwa Banków

Odpowiedzieliśmy też na najczęściej zadawane pytania i zaprosili do kontaktu z nami.

Serdecznie zapraszamy do zapoznania się z materiałem filmowym z konferencji poprzez kliknięcie w powyższe obrazy.

Czytaj więcej

Opinie Klientów

„Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.”

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

„Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.”

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.