Twoje hasło wygasło i… czas żeby również wymarło

Twoje hasło wygasło i... czas żeby również wymarło. Secfense wyjaśnia dlaczego już czas odejść od haseł.

Twoje hasło wygasło i musi być zmienione

Wygaśnięcie hasła to umierająca koncepcja. Przymusowe zmienianie hasła to wciąż standardowa polityka bezpieczeństwa wielu firm. Organizacja wymaga zwykle od swoich pracowników aby zmienili swoje hasło co kilkadziesiąt dni. O ile w przeszłości ta polityka miała sens, o tyle obecnie jest już wyłącznie archaiczną praktyką wymuszającą dodatkowe, uciążliwe działanie nie podnoszące poziomu bezpieczeństwa ani pracownika ani organizacji.

Skąd wzięły się polityki zmiany haseł

Dziesięciolecia temu szacowano, że przeciętny komputer potrzebuje około 90 dni, aby „złamać” skrót hasła (tak zwane zahaszowane hasło). Jeśli atakującemu udało się włamać na stronę internetową organizacji i skopiować listę zahaszowanych haseł, był on również w stanie zautomatyzować proces odgadywania haseł. Zakładano więc, że skoro przeciętne hasło można było wtedy złamać w 90 dni, ludzie powinni zmieniać hasła właśnie co 90 dni aby rozwiązać problem skradzionych i odgadniętych haseł. Z biegiem czasu ta wytyczna stała się wymogiem dla wielu organizacji i została przyjęta w świecie cyberbezpieczeństwa jako powszechna praktyka. 

Bezpieczeństwo haseł dzisiaj

Przejdźmy teraz do współczesności. Rzeczy radykalnie się zmieniły. Wygaśnięcie hasła nie ma już najmniejszego znaczenia. Co więcej, jeśli przyjrzeć się temu bliżej, można dojść do wniosków, że przymusowy reset hasła wyrządza o wiele więcej szkody niż pożytku i realnie zwiększa, a nie zmniejsza ryzyko utraty danych. Problem polega na tym, że organizacje i standardy bezpieczeństwa nie nadążają za zmianami i wciąż promują przestarzałe i szkodliwe praktyki tylko dlatego, że “zawsze tak było”.

Secfense bezpieczeństwo aplikacji webowych i droga do passwordless
Secfense bezpieczeństwo aplikacji webowych i droga do passwordless

Dlaczego hasła muszą odejść?

  • Przestarzały model oceny ryzyka: 

W ciągu ostatnich dwudziestu lat zarówno technologia, jak i model oceny ryzyka uległy radykalnym zmianom. Po pierwsze, większość dzisiejszych „przeciętnych” lub „złych” haseł można szybko złamać w chmurze. Hasła, których złamanie 20 lat temu zajęłoby przeciętnemu cyberprzestępcy 90 dni, teraz zajmuje dosłownie sekundy.

Ponadto największym zagrożeniem dla haseł nie jest już łamanie ich, ale po prostu zbieranie (tzw. harvesting). Cyberprzestępcy infekują bowiem komputer ofiary rejestratorami naciśnięć klawiszy (tzw. keyloggerami), zbierają dane za pośrednictwem witryn phishingowych, czy też przeprowadzają ataki socjotechniczne przez telefon, fałszywe SMS-y i wiele innych metod, które oszukują ofiarę i skłaniają ją do samodzielnego oddania hasła atakującemu. 

Jeśli hasło ofiary zostanie przejęte w formie zahaszowanej, to obecnie zostanie ono również odkryte w ciągu kilku sekund, a nie, jak kiedyś w ciągu miesięcy. A kiedy przestępca zdobędzie już hasło, nie będzie czekać wymaganych „90 dni”, ale wykorzysta je w ciągu kilku godzin. Więc zanim ofiara zorientuje się, że powinna zmienić hasło, przestępca już dawno zniknie ze skradzionymi informacjami. 

Dlaczego zmiana hasła jest szkodliwa? Ponieważ usypia czujność pracowników, oraz działów bezpieczeństwa i wprowadza mylne poczucie zwiększonego bezpieczeństwa. Zmiana hasła sprawia tylko, że czujemy się bezpieczniejsi podczas gdy naprawdę nic nie zmienia.

  • Koszt zbędnego działania

Osoby odpowiadające za cyberbezpieczeństwo w organizacjach najczęściej spoglądają na nie przez pryzmat ograniczania ryzyka, często zapominając o perspektywie kosztów. 

Firmy tym samym obciążone są gigantycznymi kosztami wiążącymi się z koniecznością utrzymania haseł. Mowa tu nie tylko o straconym czasie pracownika i niekończących się telefonach do helpdesku z prośbą o reset hasła. Koszty to również tworzenie złych nawyków pracowników. 

Dlaczego pracownicy w organizacjach zapisują swoje hasła na karteczkach samoprzylepnych i publikują je wszędzie gdzie tylko się da? Dlatego że jest to wygodne i naturalne. Ludzie nie są stworzeni do zapamiętywania długich i skomplikowanych ciągów znaków. Powtórne, żmudne i nudne czynności, w których nie widzimy żadnego sensu po prostu nas nudzą i naturalną rzeczą jest omijanie ich. Szukanie łatwiejszej drogi. Ułatwianie sobie życia. To naturalne. Dlatego polityki bezpieczeństwa poza samym bezpieczeństwem powinny kierować się jak najmniejszą uciążliwością dla użytkownika, w przeciwnym wypadku człowiek będzie robił wszystko co w jego mocy, aby procedury ominąć.

  • Wzrost ryzyka

Kilka razy pisaliśmy już że przymusowa zmiana haseł zamiast zmniejszać ryzyko zwiększa je. Ale dlaczego tak jest? Pomyślmy co robią pracownicy kiedy dostaną nakaz zmiany hasła? 

Kiedy osoba zmuszona jest do wymyślenia nowego hasła naprędce, na pewno zmieni je dodając 1,2,! albo @ albo inny symbol de facto nie zmieniający hasła, a jedynie rozbudowujący je o jeden kolejny znak. Twoje polityki haseł zabraniają takich praktyk i uniemożliwiają wykorzystanie haseł podobnych lub wykorzystanych wcześniej? Okej, pracownik zmieni hasło z poniedziałek1 na wtorek1 albo zmieni datę urodzin córki na datę urodzin żony. Zawsze będziemy ułatwiać sobie życie bo jest to naturalne, więc żadne polityki nakazująco-wymuszające tego nie zmienią. 

Wiemy o tym my, wiesz o tym Ty i wiedzą o tym również doskonale “ci źli”.

Warto przekonać się samemu zwracając do dowolnego pentestera i zadać mu pytanie: “czy polityki haseł kiedykolwiek powstrzymały twój atak?”

Hasło wygasło

Polityki haseł kiedyś w przeszłości miały sens. Nikt tego nie kwestionuje. Nadszedł jednak czas, aby hasła zniknęły na dobre z dobrych praktyk cyberbezpieczeństwa. Od kilku lat mówi się już o przyszłości bez haseł i tak zwanym passwordless. Prawdą jest, że istnieje już wiele usług, które oferują zwiększenie poziomu bezpieczeństwa przy jednoczesnym wyeliminowaniu haseł. Oto kilka wskazówek jak wkroczyć na ścieżkę do tak zwanego zero trust security, czyli modelu bezpieczeństwa, w którym brak zaufania jest stosowany domyślnie, a użytkownicy zawsze i wszędzie wymagają weryfikacji.

Passwordless – co zamiast haseł?

  • W pierwszym kroku wprowadź uwierzytelnianie wieloskładnikowe (MFA), lub uwierzytelnianie dwuskładnikowe (2FA) w zależności ilu kroków uwierzytelniania potrzebujesz, na najistotniejszych aplikacjach. Bez wątpienia jest to jeden z najprostszych i najskuteczniejszych sposobów zabezpieczenia wszelkich wymagań dotyczących uwierzytelniania. 
  • W drugim kroku zajmij się skalowaniem MFA czyli wprowadzeniem silnego uwierzytelniania nie na wybranych, ale na wszystkich aplikacjach w firmie. Najlepszym podejściem aby tego dokonać jest wykorzystanie koncepcji user access security broker, która pozwala na wdrożenie dowolnej ilości metod MFA na dowolnej ilości aplikacji bez ingerencji w ich kod. Oznacza to, że wdrożenie silnego uwierzytelniania jest bezinwazyjne, skalowalne, a co za tym idzie może być wdrożone globalne w całej organizacji, niezależnie od jej rozmiarów. 
  • W trzecim kroku sprawdź czy twoj organizacja jest już gotowa na przejście na pełne passwordless. Metody uwierzytelniania wieloskładnikowego mogą skutecznie wyeliminować hasła. Spośród licznych składników uwierzytelniania hasło nie musi być już żadnym z nich. Skutecznie można je zastąpić uwierzytelnianiem opartym o standard FIDO2, uwierzytelnianiem biometrycznym, kluczami U2F, czy także starszymi metodami opartymi o TOTP. Kluczowe jest tutaj zastosowanie mnogości składników, bowiem każda kolejna warstwa powoduje, że przestępca prędzej zajmie się organizacją którą łatwiej będzie sforsować.
Co to jest klucz U2F i jak go używać
Co to jest klucz U2F i jak go używać

Hasła – iluzja bezpieczeństwa

W dzisiejszych czasach zmiana hasła co 90 dni daje już tylko iluzję bezpieczeństwa, przynosząc niepotrzebne komplikacje, koszty, a w ostateczności dodatkowe ryzyko dla organizacji. Na szczęście sytuacja powoli się zmienia. Kolejni giganci technologiczni umożliwiają zabezpieczenie kont użytkowników silnym uwierzytelnianiem, w tym również kluczami U2F. Kolejne rządy wymuszają na organizacjach publicznych wdrożenie metod wieloskładnikowego uwierzytelniania. Jedyne co pozostaje to edukowanie naszych bliskich i namawianie ich do korzystania z zupełnie darmowych sposobów (poza kluczami U2F, które stanowią jednak wydatek) zabezpieczania swoich danych silnymi i wygodnymi metodami uwierzytelniania.

Czytaj więcej

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Opinie Klientów

„Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.”

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

„Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.”

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.