Hasła, jako tradycyjnie najpopularniejszy, podstawowy mechanizm uwierzytelniania, mają wiele ograniczeń. Największe wynika z tego, że to na użytkowniku spoczywa obowiązek ich pamiętania i regularnego zmieniania. Właśnie z tego powodu rodzą się największe problemy i zagrożenia. Zerknijmy na statystyki. Według raportu firmy Verizon z 2020 r. w sumie 37 proc. naruszeń danych wynikało z kradzieży danych uwierzytelniających, do których doszło w wyniku błędów użytkowników lub ataków socjotechnicznych. Tymczasem podczas pandemii Covid-19 ta liczba wzrosła do 80 proc.! To bardzo niepokojący trend, a przecież zagwarantowanie komuś, że jego hasła nie wpadną w niepowołane ręce, jest w zasadzie niemożliwe.

W nie tak znowu odległych latach, gdy hasła były uważane za skuteczną ochronę, często podchodzono do nich w sposób – delikatnie mówiąc – niefrasobliwy. Nazwą użytkownika był zazwyczaj adres mailowy, hasło było krótkie, łatwe do zapamiętania i związane z czymś, co znamy (np. imieniem psa). Te czasy to już na szczęście przeszłość, bo nawet w tych firmach, które wciąż polegają wyłącznie na hasłach, widać jednak pewną zmianę w zachowaniu użytkowników i administratorów.

– W przedsiębiorstwach, w których istnieje jako taka świadomość w obszarze cyberbezpieczeństwa, ale też bardzo mocne ograniczenia budżetowe, stosuje się zarządzanie polityką haseł. Nadaje im się wymagania co do długości, rodzaju użytych znaków oraz wymusza cykliczne zmiany hasła, uwzględniając wcześniejszą historię zmian. Takie rozwiązanie co prawda nie jest najlepsze, ale dobrze, że w ogóle jest stosowane – mówi Jakub Jagielak, lider technologiczny w obszarze cyberbezpieczeństwa w Atende.

Na przestrzeni ostatnich lat zaszło wiele zmian w sposobach realizacji dostępu do wszelkiego rodzaju zasobów. Nowa normalność to dziś praca hybrydowa albo nawet całkowicie zdalna. W budowaniu cyberbezpieczeństwa stosowane od dawna podejście „zamku i fosy” (wokół firmowej sieci) przestaje być efektywne z perspektywy nie tylko ochrony, ale również wygody użytkownika. Za trendami muszą podążać sposoby i narzędzia uwierzytelniania. Dziś hasło to za mało, nawet naprawdę skomplikowane. Proces uwierzytelniania bazujący tylko na nim lub czymkolwiek innym, co człowiek zna, to proszenie się o kłopoty.

Kilka składników zamiast hasła  

W nowej rzeczywistości rośnie zainteresowanie rozwiązaniami MFA (Multi-Factor Authentication), czyli uwierzytelnienia wieloskładnikowego, najczęściej realizowanego w formie dwuskładnikowej (2FA). Przy odpowiedniej implementacji daje ono wyraźny wzrost bezpieczeństwa i ogranicza kradzieże tożsamości. Jeśli hasło wyciekło, to – dajmy na to – bez urządzenia mobilnego, które służy jako drugi wektor uwierzytelnienia, napastnikowi na niewiele się przyda.

– To, że fizycznie nie siedzimy już przy swoich służbowych biurkach, nie zmienia faktu, że potrzebujemy stałego i bezpiecznego dostępu do naszych narzędzi – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro.– Z tego samego powodu firmy coraz chętniej migrują do chmury: dla prostego dostępu do zasobów czy współużytkowania dokumentów. Jak wtedy upewnić administratora systemu, że dostęp uzyskuje uprawniona osoba? W takim przypadku 2FA to podstawa.

Najbliższa przyszłość należy więc do dwuskładnikowego, czy nawet kilkuskładnikowego uwierzytelniania, w którym oprócz tradycyjnej metody (login plus hasło) stosuje się dodatkowe składniki potwierdzające, że osoba, która się właśnie loguje jest tą, za którą się podaje: token sprzętowy lub programowy, kod SMS albo wiadomość push.

– Jako dodatek do hasła, silną metodą podwójnego uwierzytelnienia jest klucz sprzętowy, z tego powodu, że generowanie drugiego składnika odbywa się poza systemem komputera. Token nie ma połączenia z internetem, więc hakerzy nie są w stanie go przejąć. Popularnym i dobrym rozwiązaniem są też aplikacje na smartfonie, ale tutaj nie można już wykluczyć kompromitacji urządzenia – mówi Jakub Jagielak.

Wymieniając inne sposoby weryfikacji tożsamości niż hasła, Michał Sanecki, architekt rozwiązań IT w NetFormers, zwraca uwagę na dane biometryczne. W tym sposobie uwierzytelniania wykorzystywane są unikalne cechy biologiczne osoby, aby zweryfikować jej tożsamość. System może analizować odciski palców, głos, siatkówkę, rysy twarzy itp. Dane biometryczne są bezpieczne, ponieważ są prawie niemożliwe do podrobienia lub powielenia. Metoda ta jest również przyjazna dla użytkownika – skany są szybkie, a sam sposób uwierzytelnienia całkiem wygodny. Nie trzeba pamiętać kodu ani nosić przy sobie urządzenia zewnętrznego. Jednak, aby ograniczyć ryzyko włamania, lepiej rozszerzyć podejście do zabezpieczeń.

– Hasło pozostaje ważnym czynnikiem, pod warunkiem, że nie jest używane samodzielnie. To samo dotyczy biometrii, która również ma swoje wady i w pewnych sytuacjach może okazać się zawodna. Dlatego wdrażamy rozwiązania, które łączą dwa lub więcej mechanizmów bezpieczeństwa dostępu do zasobów IT, w tym aplikacji i urządzeń. Zapewniają one bezpieczny dostęp do zasobów sieciowych, wykorzystujący właśnie wielopoziomową autentykację. Wspieranych w nich jest wiele metod uwierzytelniania, chociażby za pomocą aplikacji mobilnej, tokena, wiadomości SMS, czy czujników biometrycznych – mówi Michał Sanecki.