O problemach, których z hasłami doświadczają zarówno użytkownicy, jak i administratorzy rozwiązań IT, można pisać książki. Tym pierwszym zwykle brakuje kreatywności przy tworzeniu odpowiednio silnych i unikalnych haseł, trudnych do złamania metodami technicznymi lub socjotechnicznymi. Często też zapominają swoich haseł, co prowadzi do konieczności uruchamiania procesu ich resetowania, który zresztą też może być punktem potencjalnej podatności na włamanie. Z kolei wprowadzanie dodatkowych mechanizmów uwierzytelniania, jak fizyczne tokeny czy kod do logowania udostępniany w specjalnej aplikacji lub poprzez SMS-a, postrzegane są wyłącznie jako utrudnienie życia i strata czasu.

Z perspektywy administratorów nie jest lepiej, chociaż tutaj poziom świadomości jest oczywiście wyższy. Muszą oni monitorować i chronić systemy IT przed atakami siłowymi, w których następuje próba odgadnięcia hasła z wykorzystaniem różnych kombinacji. To może wymagać dodatkowych środków bezpieczeństwa, takich jak blokowanie kont po określonej liczbie nieudanych prób logowania. Problem stanowi też to, że hasła często nie są skorelowane z uprawnieniami dostępu, co może prowadzić do chaosu w tym zakresie. Konieczne jest też uwzględnienie kwestii zarządzania hasłami w polityce bezpieczeństwa – utrzymywanie i egzekwowanie reguł dotyczących haseł, takich jak minimalna długość, wymóg różnorodności znaków czy regularna zmiana. Do tego administratorzy często muszą obsługiwać uruchamiany przez użytkowników proces resetowania haseł, co prowadzi do konieczności wykonywania dodatkowej pracy i utraty czasu. Wysiłek stanowią też działania związane z (często nieskuteczną) edukacją użytkowników w zakresie bezpiecznego używania haseł.

Z uwagi na te wyzwania, wielu administratorów systemów IT poszukuje alternatywnych metod uwierzytelniania, które mogą być bardziej bezpieczne i skuteczne w ochronie dostępu do cyfrowych zasobów. Na przestrzeni ostatnich kilku lat na rynku powstało kilka trendów związanych z uwierzytelnianiem i zarządzaniem tożsamością.

Uwierzytelnianie wieloskładnikowe

Mimo wspomnianej niechęci użytkowników do tej metody, obecnie staje się ona standardem, szczególnie w przedsiębiorstwach, w których przetwarzane są wrażliwe dane. Wyróżniane są w niej trzy rodzaje składników, za pomocą których można uwierzytelnić użytkownika: coś co wie (hasło), coś co ma (kod udostępniany w coraz mniej popularniejszych fizycznych tokenach lub najczęściej przesyłany w specjalnej aplikacji, przez SMS lub w wiadomości e-mail) oraz coś czym jest (biometria – odcisk palca, rozpoznawanie twarzy, skan oka, weryfikacja głosowa).

Obecnie bardzo rzadko stosowane są mechanizmy, w których wymagane jest uwierzytelnienie za pomocą wszystkich trzech składników. Integratorzy prowadzą głównie projekty, w których wdrażane są systemy udostępniające użytkownikom kod konieczny do wprowadzenia w procedurze logowania.

Popularnością zaczynają się cieszyć też klucze U2F (Universal 2nd Factor) używane do dwuskładnikowej weryfikacji podczas procesu uwierzytelniania. Taki klucz należy zarejestrować dla konta, z którym ma być używany (musi on być obsługiwany także po stronie serwera aplikacyjnego). Po tej operacji użytkownik w trakcie logowania nie tylko podaje login i hasło, ale także musi włożyć kluczyk do portu USB lub skorzystać z funkcji komunikacji bezprzewodowej (poprzez naciśnięcie przycisku na kluczyku), jeśli dane urządzenie ją obsługuje. Serwer odbiera informacje od klucza U2F, a potwierdzająca jego autentyczność informacja jest następnie wykorzystywana do zakończenia procesu uwierzytelniania.

Metoda U2F działa na zasadzie publicznego i prywatnego klucza kryptograficznego. Klucz publiczny jest przesyłany do serwera podczas procesu rejestracji, natomiast klucz prywatny pozostaje na samym kluczu. Podczas każdej próby logowania klucz U2F podpisuje unikalną dla danego żądania transakcję, co pozwala na weryfikację autentyczności klucza. Główną zaletą kluczy U2F jest to, że są one odporne na wiele rodzajów ataków, takich jak phishing czy ataki man-in-the-middle. Ponadto, ponieważ klucze są fizyczne, trudniej je przechwycić zdalnie.

Dostępne na rynku modele kluczy różnią się funkcjonalnością, taką jak obsługa standardu NFC, USB-C czy FIDO2. Ważne jest też, aby korzystać z kluczy od renomowanych producentów, aby mieć pewność co do ich bezpieczeństwa i skuteczności. Na rynku jest wielu dostawców – liderem jest firma Yubico, ale mają je w ofercie także Google, SoloKeys, Feitian, HyperFIDO czy Thetis.