Rozwiązania
Uwierzytelnianie FIDO2

FIDO2 to standard uwierzytelniania, które pozwala użytkownikom wykorzystanie podręcznych urządzeń (jak laptop czy smartfon) w celu łatwego uwierzytelniania w sieci.

fido

Co to jest uwierzytelnianie FIDO2?

Przed wprowadzeniem do koncepcji FIDO2 warto przedstawić krótkie i krótkie wprowadzenie wyjaśniające hasła i związane z nimi problemy.

Największy problem z hasłami jest bardzo podstawowy. Użytkownicy po prostu muszą je tworzyć i są w tym niezwykle przewidywalni. Ta łatwość prowadzi natychmiast do czegoś, co nazywa się atakami rozpylonymi. Atak typu „spray” oznacza, że cyberprzestępcy w zasadzie „rozpylają hasło” na wiele kont. Nie koncentrują się na jednym konkretnym koncie, ale raczej strzelają swobodnie, mając nadzieję, że trafią na ofiarę. Atakujący zwykle szukają nisko zawieszonego owocu, używając różnego rodzaju przewidywalnych haseł. Niestety wiele razy im się to udaje i dostają się na czyjeś konto.

Innym alternatywnym atakiem jest tak zwany „atak brutalnej siły”. Tego typu ataki są znacznie łatwiejsze do rozpoznania i łatwiejsze do zapobieżenia. Opierają się one na ciągłym atakowaniu jednego konkretnego konta, dzięki czemu administratorzy sieci łatwo zauważą, że dzieje się coś podejrzanego.

Inny problem z hasłami dotyczy „wspólnego hasła”. Hasła to wspólne sekrety, które użytkownik przekazuje stronie ufającej. Ta strona ufająca jest zasobem, do którego użytkownik próbuje uzyskać dostęp. Ten zasób (aplikacja) zapewni Ci, że będzie przechowywać Twoje dane w bezpieczny sposób. Jednak bazy danych haseł są codziennie hakowane, kradzione i sprzedawane. Dane logowania użytkownika są sprzedawane w Dark Web, więc cyberprzestępcy mogą je po prostu kupić bez żadnego wysiłku.

Następnie jest phishing. A więc atak za pomocą inżynierii społecznej, który sprawia, że osoba myśli, że to, co robi, jest w porządku. Otrzymujesz wiadomość e-mail z banku, dostawcy usług internetowych lub szefa z pracy i jesteś proszony o wykonanie czynności, która wydaje się całkowicie rozsądna i logiczna. Ludzie mają tendencję do myślenia, że nie da się ich łatwo oszukać i wprowadzić w błąd, ale większość ludzi w rzeczywistości się myli. Dobrze zaprojektowane ataki phishingowe mogą oszukać nawet osoby pracujące w firmach związanych z IT.

Wszyscy specjaliści ds. Bezpieczeństwa są zgodni co do jednego. Musimy edukować użytkowników w zakresie używania haseł i sposobów zwiększania bezpieczeństwa cybernetycznego na poziomie osobistym. Hasła można łatwoa tak zwane uwierzytelnianie wieloskładnikowe (MFA) lub uwierzytelnianie dwuskładnikowe złamać,(2FA) jest absolutną koniecznością, jeśli chcesz mieć pewność, że Twoje zasoby online są lepiej chronione.

Usługa MFA może wyeliminować zdecydowaną większość logowania przy użyciu złamanych haseł. MFA zapewnia po prostu tę dodatkową warstwę ochrony. Tak więc w przypadku „ataków sprayu” z MFA po prostu nie mogą się zdarzyć. Nawet użycie bardzo podstawowego i dość starego podejścia MFA opartego na SMS-ach wystarczy do ochrony przed tego typu atakami.

W przypadku kont o dużej wartości warto rozważyć bardziej zaawansowane podejście do MFA, oparte na uwierzytelnianiu aplikacji lub powiadomieniach push email.

Metody te mogą jednak oszukać Cię również do wygodnego poczucia całkowitego bezpieczeństwa. Problem polega na tym, że jeśli ludzie przyzwyczają się do przyjmowania powiadomień push, po prostu nie sprawdzają wtedy podwójnie, a także mogą zaakceptować złego aktora, który oszukuje Cię do myślenia, że to powiadomienie push pochodzi z prawidłowego źródła, podczas gdy w rzeczywistości dajesz napastnikowi zielone światło, aby przejść przez MFA. I jedna z fajnych rzeczy, niektórzy używają czegoś w rodzaju nieautentycznej pułapki, która używa powiadomień push, ludzie mogą po prostu otrzymać powiadomienie i zatwierdzić. Jedno, co powiem, to nie przesadzaj z prośbą o MFA. Jest to zbyt proste, zwłaszcza jeśli używasz opakowania uwierzytelniającego. Zostajesz poproszony i idziesz: Och, akceptuję, a potem znowu pojawia się monit. Idź zatwierdzić. I zanim się zorientujesz, nie myślisz o tym, dlaczego proszono mnie o zatwierdzenie? Po prostu akceptujesz. I oczywiście, kiedy siedzisz na plaży na wakacjach i pojawia się monit i po prostu zatwierdzasz, ktoś cię zaatakował.

I to jest moment, w którym dochodzimy do uwierzytelniania FIDO2 zwanego również standardem WebAuth lub Web Authentication. FIDO2 to globalny standard uwierzytelniania opracowany przez konsorcjum World Wide Web. WebAuthn jest jednym z dwóch głównych składników, które wraz z protokołem Client to Authenticator Protocol (CTAP) tworzą standard FIDO2. Standard FIDO2 pozwala użytkownikom korzystać z ich typowych urządzeń, takich jak laptopy lub smartfony, i używać ich jako lokalnych uwierzytelniaczy zamiast polegać na tradycyjnych metodach, takich jak nazwy użytkowników i hasła.

fido2 illlustration

FIDO2 jest obsługiwany przez wszystkie główne platformy i przeglądarki WebAuth wykorzystuje kryptografię klucza publicznego, aby chronić konta użytkowników przed atakami phishingowymi. Użytkownicy mogą wybierać między wewnętrznymi lub zewnętrznymi uwierzytelniaczami i łatwo logować się na różnych urządzeniach i usługach, zachowując wysoki poziom bezpieczeństwa.

code

Jak zaimplementować uwierzytelnianie FIDO2?

Secfense User Access Security Broker umożliwia korzystanie z dowolnej metody Multi-Factor Authentication w dowolnej aplikacji. Ale gdy jesteśmy proszeni o radę, zawsze wspominamy o FIDO2 i sugerujemy naszym klientom zapoznanie się z tym standardem. FIDO2 to najbezpieczniejszy i najwygodniejszy sposób korzystania z ochrony MFA. FIDO2 to także najlepszy sposób na wykorzystanie mikroautoryzacji, funkcjonalności brokera Secfense, która pozwala na dodanie dodatkowych wymagań uwierzytelniania w dowolnym miejscu aplikacji. Poniżej znajduje się film, w którym można zobaczyć, jak działa FIDO2 i jak można go wdrożyć i skalować w aplikacjach internetowych z użytkownikiem brokera bezpieczeństwa Secfense.

Aby dowiedzieć się:

Możesz umówić się na rozmowę telefoniczną z nami poniżej.

ZAPLANUJ POŁĄCZENIE