Atakujący i podmioty odpowiedzialne za zagrożenia chcą uzyskać dostęp do Twoich wrażliwych danych – nic nowego.
Jednak w ciągu ostatnich 18 miesięcy nastąpił bezprecedensowy wzrost udanych naruszeń danych, których główną przyczyną było słabe zabezpieczenie haseł lub połączenie niewystarczających haseł i słabych kontroli uwierzytelniania wieloczynnikowego (2FA/MFA).
(Jeśli nie znasz terminów uwierzytelniania wieloczynnikowego MFA i 2FA, na tej stronie znajdziesz potrzebne informacje).
Pozyskiwanie danych uwierzytelniających od nieświadomych użytkowników jest kluczową strategią wielu napastników i hakerów. A phishing okazał się jedną z ich ulubionych taktyk. Dlaczego? Ponieważ działa.
Ataki phishingowe w Wielkiej Brytanii gwałtownie wzrosły podczas pandemii, przy czym brytyjski departament HMRC odnotował 73% wzrost liczby e-maili phishingowych. W sytuacji, gdy więcej osób pracuje w domu, możliwość kradzieży danych uwierzytelniających użytkownika w celu uzyskania nieautoryzowanego bezpiecznego dostępu do kont firmowych była znaczna.
Co ważne, okazuje się, że wielu napastników nie przejmuje się tym, czy ich ofiara korzystała z 2FA lub MFA. Jak to możliwe?
Dlaczego metody uwierzytelniania wieloczynnikowego nie są tak bezpieczne, jak wielu uważa
Od wielu lat eksperci branżowi promują stosowanie MFA w celu zwiększenia bezpieczeństwa i powstrzymania złych ludzi przed uzyskaniem nieautoryzowanego dostępu. Twierdzą, że używanie kombinacji czegoś, co znasz i czegoś, co masz, bardzo utrudnia życie atakującemu, który chciałby pokonać Twoje zabezpieczenia uwierzytelniania.
To wszystko ma sens… a może jednak?
Branża cyberbezpieczeństwa jest ogromna. Największe banki wydają około 10% swoich wielomiliardowych rocznych budżetów IT na narzędzia cyberbezpieczeństwa. To bardzo dużo wydatków na ograniczanie i eliminowanie ryzyka.
Niestety, w branży tej jest wiele szumu.
Wielu dostawców rozwiązań cyberbezpieczeństwa przesadza z tym, co oferują ich produkty. Co ciekawsze i bardziej wymowne, wielu z nich przeznacza większość swoich budżetów na marketing i reklamę. Podczas gdy sprawia to wrażenie, że różne rozwiązania MFA dostarczają jakiegoś magicznego pocisku do uwierzytelniania, nie jest to pocieszające dla tych firm, które wydają pieniądze tylko po to, aby paść ofiarą ataku.
Jak hakerzy łamią zabezpieczenia MFA
Jak więc napastnik może obejść dzisiejsze rozwiązania uwierzytelniania wieloczynnikowego? Prosta odpowiedź brzmi: celuje w najsłabsze ogniwo rozwiązania: użytkownika.
Jedne z najnowszych udokumentowanych ataków wdrożonych w celu udaremnienia podstawowych rozwiązań 2FA/MFA obejmują MFA bombing. Jest to technika, w której ofiara jest bombardowana powiadomieniami push w nadziei, że po prostu naciśnie „approve” na swojej aplikacji uwierzytelniającej. Ten atak był szczególnie udany w przypadku naruszenia Ubera w sierpniu 2022 roku.
Innym podejściem jest nasz stary przyjaciel phishing.
Wiele rozwiązań uwierzytelniających wykorzystuje hasła jednorazowe (OTP), które są wysyłane za pomocą wiadomości SMS lub wyświetlane na aplikacjach mobilnych lub tokenach. Są one oparte na wstępnie udostępnionym sekrecie bardzo podobnym do hasła i podobnie jak hasło, mogą być wyłudzone, porwane i uzyskane przez atakującego.
Staje się to ogromnym problemem, jeśli korzystasz z rozwiązań jednokrotnego logowania (SSO), takich jak Okta, ponieważ ominięta kontrola MFA ujawni wszystkie twoje aplikacje.
Dotarcie do źródła problemu
Gdy coraz więcej organizacji zwiększa swoje wydatki na 2FA i MFA, pojawia się ważne pytanie: Czy są one naprawdę tak bezpieczne, jak się wydaje?
Cóż, dowody na to stają się coraz liczniejsze. Ostatnie naruszenia danych dotyczyły znanych marek, które polegały na rozwiązaniach 2FA i MFA i nadal były naruszane.
W rzeczywistości widzimy teraz wiele sytuacji, w których organizacje płacą duże opłaty za „zwiększone bezpieczeństwo”, ale nadal są narażone na naruszenie danych. To najgorszy scenariusz.
Jak więc to naprawić?
Cóż, aby naprawić ten problem należy zająć się pierwotną przyczyną, a nie tylko dodać więcej komplikacji do istniejących narzędzi, które są podatne na atak od samego początku. Podstawową przyczyną jest hasło i sekret wstępny.
Usuń je, a w prawie wszystkich przypadkach ryzyko zniknie.
Proste. A może jednak?
Czym jest bezhasłowe MFA odporne na phishing?
Passwordless phishing-resistant MFA to rozwiązanie uwierzytelniania bez hasła nowej generacji, które decentralizuje bezpieczeństwo. W ten sposób eliminuje ryzyko pozyskania danych uwierzytelniających i wykorzystania ich przez nieuprawnionych użytkowników w celu uzyskania dostępu do danych.
Koncepcja nie różni się od istniejących rozwiązań MFA poza jednym bardzo ważnym wyróżnikiem: usuwa człowieka z procesu.
Okazuje się, że „coś, co znasz” lub element odczytywany przez człowieka jest najsłabszym czynnikiem uwierzytelniającym w procesie. Pozbądź się tego i natychmiast zwiększasz swoją postawę bezpieczeństwa. Zasadniczo nie ma nikogo, kto mógłby wyłudzić dane, nie ma nikogo, kto mógłby ukraść dane uwierzytelniające, w rzeczywistości nie ma nic do kradzieży w pierwszej kolejności.
Uwierzytelnianie bez hasła – jakie są opcje?
Obecnie dostępne są rozwiązania, które mogą usunąć człowieka z procesu uwierzytelniania. Dwa główne z nich opierają się na asymetrycznych kluczach kryptograficznych do uwierzytelniania tożsamości użytkownika, ale ich wdrożenie, proces i procedury są różne.
Dwa, o których usłyszysz, to oparte na infrastrukturze klucza publicznego (PKI) i szybkie uwierzytelnianie online (FIDO).
Oba mają swoje mocne i słabe strony. Co ważne, ich słabości nie wynikają z wewnętrznych czynników ograniczających, ale raczej z tego, jak każdy z nich działa i dla jakiego scenariusza wdrożenia został zaprojektowany.
Używanie PKI jako metody uwierzytelniania bez hasła
PKI (infrastruktura klucza publicznego) istnieje już od wielu lat. W rzeczywistości stanowi ona podstawę całego sektora usług finansowych od ponad trzech dekad. Obecnie stosuje się ją wszędzie – od otwierania drzwi bezpieczeństwa, przez wysyłanie płatności online, po korzystanie z Apple Pay przy zakupie kawy.
Mówiąc prościej, jest wypróbowany i przetestowany.
Rozwiązania uwierzytelniania PKI bez hasła wykorzystują pary kluczy kryptograficznych (połączenie klucza publicznego i prywatnego użytkownika) do uwierzytelniania użytkowników. Jest to zbudowane na koncepcji, że istnieje jeden punkt zaufania w hierarchii (korzeń). Jeśli Ty i inni należą do tej hierarchii i ufają korzeniowi, to będą ufać sobie nawzajem.
PKI nie jest technologią, ale częścią zbioru elementów, w tym ludzi i procesów. W ramach PKI pokładasz zaufanie w technologii, ludziach i procesie, w którym rozwiązanie jest używane.
FIDO – nowy element uwierzytelniania bez hasła
FIDO to stosunkowo nowa metoda standaryzowana przez sojusz FIDO.
FIDO został zbudowany, aby umożliwić użytkownikowi bezpieczny dostęp do systemu bez użycia hasła, nawet jeśli może nie być w 100% znany przez podmiot, taki jak strona handlu elektronicznego. W ramach FIDO, użytkownik pokłada zaufanie w zatwierdzonym przez FIDO uwierzytelnianiu, a nie w centralnym punkcie zaufania, może to być coś takiego jak token Yubikey lub aplikacja mobilna.
Która metoda uwierzytelniania bez hasła jest lepsza?
Zarówno PKI jak i FIDO zapewniają możliwości odporne na phishing, które jak wiemy są niezbędne do zabezpieczenia danych… ale które jest najlepsze i dlaczego powinno Cię to obchodzić?
Cóż, zasadniczo zależy to od tego, jak chcesz wdrożyć rozwiązanie i komu.
Przejście na bezhasłowe rozwiązania w organizacji
PKI byłoby wyborem przedsiębiorstw do wdrożenia dla ich wewnętrznych użytkowników korporacyjnych. Powodem jest kilka czynników.
Po pierwsze, w przedsiębiorstwie nastąpi proces, w którym pracownicy są weryfikowani, przeprowadzane są rozmowy kwalifikacyjne i oceniani przez dział HR. Masz dobre pojęcie o tym, kim jest pracownik wewnętrzny i to ładnie pasuje do całego aspektu procesowego PKI.
Znana osoba, która ma jasną przeszłość i postępuje zgodnie z zasadami i procedurami, może mieć zaufanie do poświadczenia, które jest zaufane przez innych w organizacji. Osoba ta jest „własnością” organizacji i jest przez nią zarządzana w sposób, który pasuje do jej działalności i zobowiązań regulacyjnych.
Ponadto, ponieważ PKI istnieje od tak dawna, wiele starszych i nowoczesnych systemów IT obsługuje je natywnie. Oznacza to mniej czasu na integrację lub przepisywanie aplikacji. A to z kolei przekłada się na szybsze wdrażanie w celu wyeliminowania ryzyka.
Przejście na bezhasłowe podejście wśród klientów
Mocną stroną FIDO jest proces wdrażania klientów zewnętrznych (onboarding). Dlaczego? Ze względu na model zaufania.
Zaufanie jest ustanawiane poprzez korzystanie z rozwiązania akredytowanego przez FIDO. Nie musisz wiedzieć, czy dana osoba trzykrotnie pojawiła się w pracy z opóźnieniem lub czy obieca przestrzegać polityki lub procedur, ponieważ w tym scenariuszu osoba jest nieistotna. Zaufanie jest w ramach procesów, które rządzą uwierzytelnianiem FIDO – nie bez powodu nazywa się to szybką tożsamością on-line (Fast Identity Online).
FIDO może być również wdrożone w przedsiębiorstwie dla użytkowników wewnętrznych. Jednak do jego działania mogą być wymagane zmiany w systemach i aplikacjach. To może prowadzić do dłuższych i bardziej złożonych wdrożeń. Ma również pewne ograniczenia w odniesieniu do bezpieczeństwa sieci.
Co z Passkeyem i uwierzytelnianiem biometrycznym?
Ostatnio zaczęliśmy widzieć, jak firmy takie jak Apple i Google robią krok w kierunku uzależnienia użytkownika końcowego od uwierzytelniania opartego na hasłach.
Nowe rozwiązania „Passkey” od Apple i Google na przykład, udostępnią klucze FIDO każdemu, kto ma urządzenie Apple lub Android. Wykorzysta to dane biometryczne już wbudowane w urządzenia mobilne wielu użytkowników, a coraz częściej także w laptopy. Zapowiada to otwarcie zupełnie nowego świata dla rynku konsumenckiego.
5 mitów na temat rezygnacji z haseł w FinTechach dzięki MFA odpornemu na phishing
Chociaż rezygnacja z haseł nie jest pozbawiona wyzwań, istnieje wiele błędnych przekonań, które powstrzymują organizacje przed zrobieniem tego, co należy i całkowitym porzuceniem haseł.
Przyjrzyjmy się tym mitom bardziej szczegółowo:
- Taniej jest zwiększyć złożoność swoich haseł
Jednym z największych mitów dotyczących dostępu do komputera jest to, że hasła są darmowe, a dzięki temu, że są dłuższe, uwierzytelnianie hasłem staje się bardziej bezpieczne.
Po pierwsze, hasła są bardzo kosztowne w zarządzaniu. Według Forrester średni koszt resetu hasła wynosi 70 dolarów.
Po drugie, chociaż zwiększenie rozmiaru i złożoności hasła sprawia, że hasło jest matematycznie trudniejsze do złamania, zapominamy o elemencie ludzkim. Użytkownicy ponownie używają haseł. Złożone hasło nadal może zostać zapisane. Nadal można je wykorzystać społecznie. I nadal można je wyłudzić.
- Podstawowe 2FA/MFA jest lepsze niż nie robienie niczego
To, co mogło być postrzegane jako dobre rozwiązanie kilka lat temu, nie czyni go dobrym rozwiązaniem dzisiaj.
Ciągłe zarządzanie ryzykiem jest niezbędne dla każdej firmy z branży FinTech, jeśli ma ona zapobiegać naruszeniom danych, które powodują straty finansowe i utratę reputacji. Jeśli istnieje kontrola lub rozwiązanie, które może wyeliminować ryzyko, to właśnie to powinno być celem. Używanie i płacenie za rozwiązanie, które pokrywa tylko połowę ryzyka, nadal pozostawia Cię w połowie narażonym na niebezpieczeństwo. A w dzisiejszych czasach to po prostu nie jest wystarczająco dobre.
- Pozbawienie się hasła może być kosztowne i czasochłonne
Słyszymy, jak firmy martwią się o złożoność sposobu wdrażania metod uwierzytelniania bez hasła. Jednak wiele dzisiejszych usług pojedynczego logowania (SSO) może być obsługiwanych przez rozwiązania bezhasłowe. Często wymaga to tylko pojedynczej konfiguracji, a wdrożenie zajmuje kilka minut.
Jedną z korzyści wynikających z zastosowania rozwiązania bezhasłowego opartego na PKI jest to, że prawie wszystkie aplikacje internetowe obsługują certyfikaty. Oznacza to, że przepisywanie aplikacji może nie być wymagane. Jest możliwe, że przy dobrym planowaniu, można mieć większość aplikacji bez hasła w ciągu godzin lub dni.
- Przejście na bezhasłowe rozwiązania spowoduje więcej tarć w organizacji
W rzeczywistości jest wręcz odwrotnie.
W przypadku rozwiązania bezhasłowego proces logowania jest znacznie prostszy. Nie trzeba wprowadzać haseł, ani czytać i wprowadzać kodów. Rozwiązanie bezhasłowe eliminuje również konieczność używania i pamiętania hasła. Oznacza to, że można pożegnać się z procesami helpdesku, które sprawiają, że użytkownicy czekają godzinami, aby uzyskać dostęp do systemów i danych.
- Przejście na system bezhasłowy będzie uciążliwe dla wszystkich
Niestety, ludzie są z natury odporni na zmiany. Jednak dzięki odpowiedniemu planowi wdrożenia, edukacji i szkoleniom, przejście na system bezhasłowy stworzy wygodniejszy proces logowania dla każdego.
Zanim rozpoczniesz projekt wdrożenia, rozważ następujące kwestie:
- Uzyskaj wsparcie kierownictwa wyższego szczebla. Bez tego może być trudno przekonać wszystkich do siebie – to samo dotyczy każdej zmiany technologicznej.
- Opisz pracownikom korzyści. Pokaż im, jak będzie wyglądało życie bez konieczności używania hasła. Opisz, w jaki sposób ich frustracje związane z hasłami mogą odejść w przeszłość, jeśli zaczną pracować bez haseł.
- Zidentyfikuj mistrzów pracy bez hasła w firmie, którzy mogą pomóc innym kolegom w przyjęciu pracy bez hasła. Przyspieszy to wdrożenie i sprawi, że wszyscy będą zaangażowani.
Artykuł powstał na podstawie bloga naszego partnera, firmy Idenprotect.