Uwierzytelnianie

Uwierzytelnianie FIDO2

Dzięki FIDO2, otwartemu standardowi uwierzytelniania w sieci, możesz używać kluczy bezpieczeństwa lub lokalnych urządzeń uwierzytelniających (takich jak laptopy i smartfony), aby bezpiecznie logować się online i wyeliminować ryzyko związane z phishingiem i kradzieżą uwierzytelnień w organizacji.

Co to jest uwierzytelnianie FIDO2?

FIDO2 to globalny standard uwierzytelniania opracowany przez konsorcjum FIDO, a następnie zatwierdzony przez W3C (World Wide Web Consortium). WebAuthn jest jednym z dwóch głównych składników, które wraz z protokołem Client to Authenticator Protocol (CTAP) tworzą standard FIDO2. Od drugiej połowy 2019 roku standard FIDO2 umożliwia użytkownikom wykorzystanie czytników biometrycznych wbudowanych w komputery, smartfony czy tablety. Standard FIDO2 jest znakomitą alternatywą dla tradycyjnych metod uwierzytelniania, takich jak loginy i hasła, i w niedalekiej przyszłości ma szansę wprowadzić nas w przyszłość bez haseł (passwordless), w której uwierzytelniać się będziemy metodami nie bazującymi na współdzielonym sekrecie – haśle.

Standard FIDO2 powstał jako odpowiedź branży cyberbezpieczeństwa na globalny problem haseł rozwiązując jednocześnie wszystkie problemy związane z tradycyjnym uwierzytelnianiem:

Bezpieczeństwo

Uwierzytelnianie bazujące na kryptografii sprawia, że dane uwierzytelniające są unikalne dla każdej witryny, nigdy nie opuszczają urządzenia użytkownika i nigdy nie są przechowywane na serwerze. Taki model bezpieczeństwa eliminuje ryzyko phishingu oraz wszelkich form kradzieży haseł i ataków typu replay.

Wygoda

Uwierzytelnianie kryptograficzne następuje przy wykorzystaniu urządzeń wykorzystywanych codziennie – telefonów i laptopy z czytnikami linii papilarnych lub czytnikami twarzy. Osoby nie posiadające smartfonów lub te które nie chcą wykorzystywać urządzeń prywatnych w celu uwierzytelniania mogą skorzystać z łatwych w użyciu kluczy bezpieczeństwa FIDO. Klucze te wymagają jedynie włożenia ich do portu USB i naciśnięcia guzika w celu potwierdzenia swojej tożsamości. Standard FIDO2 pozwala na wybór urządzenia, które najbardziej odpowiada potrzebom konsumenta.

Prywatność

Ponieważ uwierzytelnienie kryptograficzne oparte o standard FIDO2 jest unikalne dla każdej witryny internetowej, nie pozwala na śledzenie użytkowników w różnych witrynach. Ponadto dane biometryczne (odcisk palca czy rozpoznawanie twarzy), nigdy nie opuszczają urządzenia użytkownika.

Skalowalność

Witryny internetowe mogą uruchomić uwierzytelnianie FIDO2 za pomocą prostego wywołania interfejsu API JavaScript, obsługiwanego we wszystkich wiodących przeglądarkach internetowych i platformach na miliardach urządzeń codziennie wykorzystywanych przez konsumentów.

Silne uwierzytelniania odpowiedzią na ułomne hasła

Jeśli mowa jest o uwierzytelnianiu zawsze wszystkie drogi prowadzą do haseł i ich zawodności. Największym problemem związanym z hasłami jest ich przewidywalność. Często bardzo łatwo je odgadnąć, co sprawia, że są podatne na ataki typu spray. Ataki tego rodzaju polegają na próbie zastosowania często używanych haseł na dużej liczbie kont z nadzieją, że w którymś przypadku hasło będzie poprawne. Nie jest to zbyt wyszukana metoda, gdyż wiele zależy od szczęścia. Niestety, wiele kont jest chronionych słabymi hasłami i cyberprzestępcom często udaje się uzyskać do nich dostęp właśnie za sprawą ataków spray.

Innym typem często stosowanego ataku jest atak brute force. Dużo łatwiej go rozpoznać i mu zapobiec, gdyż cyberprzestępcy próbują podejścia siłowego, co oznacza nieprzerwane próby przejęcia danego konta. Dzięki temu administratorzy sieci mają więcej czasu na wykrycie podejrzanej aktywności.

Kolejną wadą haseł jest fakt, że są „współdzielonym sekretem”. Oznacza to, że w najlepszym przypadku hasło jest zawsze znane zarówno użytkownikowi, jak i stronie ufającej. Strona ufająca to coś, co chroni dostępu do zasobów, z których chce skorzystać użytkownik, a więc innymi słowy – aplikacja. Aplikacje zapewniają użytkowników, że będą przechowywać ich dane w bezpieczny sposób, jednakże należy pamiętać, że bazy danych zawierające hasła są każdego dnia kradzione i sprzedawane. Dane logowania użytkownika są sprzedawane w Dark Web, więc cyberprzestępcy mogą je po prostu kupić bez żadnego wysiłku.

Następnym problemem związanym z hasłami jest phishing – atak wykorzystujący techniki inżynierii społecznej, którego celem jest skłonienie ofiary do dobrowolnego przekazania wrażliwych informacji. Atak tego rodzaju może przyjąć formę wiadomości e-mail od banku, dostawcy usług internetowych lub przełożonego z prośbą o wykonanie czynności, która wydaje się całkowicie rozsądna i logiczna, lecz w istocie jest cyberatakiem. Chociaż ludzie na ogół uważają, że nie jest łatwo wywieść ich w pole, to skuteczność omawianej metody zdaje się wskazywać na coś innego. Dobrze zaplanowane ataki phishingowe mogą oszukać nawet pracowników branży IT.

Wszyscy specjaliści ds. bezpieczeństwa są zgodni co do jednego. Należy edukować użytkowników w zakresie używania haseł i sposobów zwiększania bezpieczeństwa cybernetycznego na poziomie osobistym. Hasła można łatwo złamać. Tym samym uwierzytelnianie wieloskładnikowe (MFA) lub uwierzytelnianie dwuskładnikowe (2FA) są absolutnie konieczne, aby mieć pewność, że zasoby internetowe są odpowiednio chronione.

Uwierzytelnianie wieloskładnikowe jest w stanie wyeliminować większość przypadków logowania się za pomocą wykradzionych danych, gdyż zapewnia dodatkową ochronę i zabezpiecza proces uwierzytelniania przed atakami typu spray i innymi. Wystarczy nawet korzystanie z najbardziej podstawowego i dość starego podejścia MFA opartego na wiadomościach SMS, aby zapewnić ten stopień ochrony.

W przypadku kont o dużej wartości warto rozważyć wdrożenie bardziej zaawansowanego MFA, które wykorzystuje aplikacje uwierzytelniające i powiadomienia push w wiadomościach email.

FIDO2 jako najsilniejszy sposób silnego uwierzytelniania

Większość metod uwierzytelniania obarczonych jest pewnymi wadami i niebezpieczeństwami. Użytkownicy mogą na przykład przyzwyczaić się do akceptowania powiadomień push i przestać sprawdzać ich treść. Tym samym łatwo o nieumyślne zaakceptowanie prośby o logowanie wysłanej z urządzenia cyberprzestępcy, który w ten sposób pokona MFA.

Uwierzytelnianie oparte o standard FIDO2 chroni użytkownika przed cyberprzestępcą ale także przed samym sobą. Nie pozwala ono bowiem na przekazanie tożsamości przestępcy nawet jeśli użytkownik sam (nieświadomie) chciałby to zrobić, co może zdarzyć się w przypadku uwierzytelniania opartego o SMSy lub hasła TOTP.

Klucze kryptograficzne U2F (przodek standardu FIDO2) wprowadzone zostały w korporacji Google dla wszystkich ponad 85 tysięcy użytkowników i od tego czasu nie odnotowano ani jednej udanej próby wrogiego przejęcia konta użytkownika.

Jak zaimplementować uwierzytelnianie FIDO2?

Secfense User Access Security Broker umożliwia korzystanie z dowolnej metody Multi-Factor Authentication w dowolnej aplikacji. Ale gdy jesteśmy proszeni o radę, zawsze wspominamy o FIDO2 i sugerujemy naszym klientom zapoznanie się z tym standardem. FIDO2 to najbezpieczniejszy i najwygodniejszy sposób korzystania z ochrony MFA. FIDO2 to także najlepszy sposób na wykorzystanie mikroautoryzacji, funkcjonalności brokera Secfense, która pozwala na dodanie dodatkowych wymagań uwierzytelniania w dowolnym miejscu aplikacji. Poniżej znajduje się film, w którym można zobaczyć, jak działa FIDO2 i jak można go wdrożyć i skalować w aplikacjach internetowych z użytkownikiem brokera bezpieczeństwa Secfense.

Umów się z nami na rozmowę i dowiedz się:

  • jak uwierzytelnianie FIDO2 może działać w Twojej firmie;
  • jak możesz wdrożyć i skalować uwierzytelnianie FIDO2 w swojej organizacji;
  • co zrobić, by cała organizacja mogła korzystać z FIDO2;
  • jak zaktualizować starsze mechanizmy uwierzytelniania o standard FIDO2.

Możesz umówić się na rozmowę telefoniczną z nami poniżej.

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.