Choć systemy uwierzytelniania wieloskładnikowego (Multi-Factor Authentication – MFA) istnieją od dziesięcioleci, to dość długo pozostawały w niszy. Jednak od pewnego czasu cieszą się rosnącą popularnością zarówno wśród przedsiębiorstw, jak też instytucji. Czasami inwestują w te rozwiązania z troski o bezpieczeństwo danych, a niekiedy po prostu z przymusu, choćby ze względu na regulacje prawne, obowiązujące w określonych sektorach, bądź ze względu na politykę centrali w korporacji. Zwłaszcza, że jedną z najczęściej wykorzystywanych i nierzadko skutecznych metod ataku jest phishing, który notabene sprawdza się jako sposób na rozpowszechnianie złośliwego oprogramowania, w tym ransomware’u. Aż 83 proc. firm biorących udział w badaniu Proofpoint przyznało, że w ubiegłym roku zostało dotkniętych co najmniej jednym udanym atakiem phishingowym!

Analitycy zajmujący się cyberbezpieczeństwem wyliczyli, że średni współczynnik klikalności w kampanii phishingowej wynosi około 18 proc. Niestety, istnieją poważne i uzasadnione obawy, że ten wskaźnik jeszcze bardziej wzrośnie za sprawą rozwiązań wykorzystujących mechanizmy generatywnej sztucznej inteligencji. Oszuści coraz częściej wykorzystują do tworzenia mejli nie tylko ChataGPT, ale również nielegalne narzędzia, takie jak WormGPT czy FraudGPT. Eksperci SoSafe ujawnili niedawno, że wiadomości generowane przez chatboty uzyskują współczynnik klikalności na poziomie 78 proc., zaś 21 proc. adresatów pobiera załącznik ze złośliwym oprogramowaniem lub reaguje na link prowadzący do strony z malwarem.

Weryfikacja użytkowników nabrała dodatkowego znaczenia wraz ze wzrostem liczby osób pracujących w trybie zdalnym. Ta grupa pracowników stała się wymarzonym celem hakerów, którzy starają się wyłuskać od nich dane uwierzytelniające. Kolejnym czynnikiem napędzającym popyt na MFA jest migracja konsumentów do świata online, gdzie robią oni zakupy, zawierają umowy czy zamawiają wycieczki. To wymaga od nich tworzenia kolejnych kont i profili, a skalę tego zjawiska obrazują dane IBM-u, z których wynika, że przeciętna osoba fizyczna w czasie pandemii utworzyła średnio 15 nowych kont internetowych. Wymienione czynniki zmobilizowały firmy do wdrożenia uwierzytelniania wieloskładnikowego zarówno w miejscach pracy, jak i dla klientów.

W Unii Europejskiej do adaptacji MFA przyczyniła się dyrektywa PSD2, której celem jest poprawa poziomu ochrony konsumentów i ograniczenie oszustw. Wśród najważniejszych postanowień PSD2 znalazło się wprowadzania silnego uwierzytelniania klientów (Strong Customer Authentication – SCA). Wymóg ten zapewnia bezpieczne dokonywanie wszystkich płatności elektronicznych przy użyciu uwierzytelniania dwuskładnikowego (Two- Factor Authentication – 2FA). Na podobny ruch zdecydowali się prawodawcy w Stanach Zjednoczonych. W 2021 r. Joe Biden podpisał zarządzenie wykonawcze wymuszające na agencjach federalnych stosowanie MFA.

Dwa razy więcej MFA 

Jak wynika z tegorocznego raportu „Secure Sign-In Trends Report”, opracowanego przez analityków Okta, wykorzystanie uwierzytelniania wieloskładnikowego od 2020 r. się podwoiło. Adaptacja MFA najszybciej przebiega w spółkach technologicznych, gdzie 87 proc. loginów do kont bazuje na tym rozwiązaniu. Kolejne miejsca w tym zestawieniu zajmują: branża ubezpieczeniowa (77 proc.), profesjonalne usługi (75 proc.), budownictwo (74 proc.), a także media i oraz komunikacja (72 proc.). Co ważne, w Polsce mamy do czynienia z podobnym trendem.

– Obserwujemy szybkie tempo wzrostu adaptacji MFA spowodowane zwiększeniem świadomości cyberbezpieczeństwa, rygorystycznymi regulacjami prawnymi, a także przetwarzaniem coraz większej ilości wrażliwych informacji. Firmy i instytucje z sektora finansowego, technologicznego, publicznego oraz opieki zdrowotnej, najczęściej decydują się na wdrożenie uwierzytelniania wieloskładnikowego ze względu na wysoki poziom poufności i bezpieczeństwa danych – przyznaje Krzysztof Paździora, System Engineer w Exclusive Networks.

Choć uwierzytelnianie wieloskładnikowe zapewnia solidną ochronę, pracownicy oraz konsumenci nie przyjęli tego rozwiązania z entuzjazmem, narzekając na niedogodność w postaci dodawania kolejnej czynności do procesu logowania. Ostatecznie ten upór wyraźnie osłabł wskutek wzmożonej aktywność cyberprzestępców i nowych, zdalnych form zatrudnienia. Pracownicy poszli na kompromis i szybko zaakceptowali nowy, dłuższy sposób uwierzytelniania w zamian za swobodę w zakresie wyboru miejsca pracy.

Jednak najczęściej, o ile nie regulują tego przepisy, o wdrożeniu MFA decyduje głos właścicieli firm bądź szefów działów IT, którzy muszą kierować się chłodną kalkulacją. W większości wypadków rachunek jest prosty – lepiej zainwestować w system uwierzytelniania wieloskładnikowego niż tracić miliony dolarów w wyniku wycieku danych.

Zdaniem specjalisty 

Kamil Budak, Product Manager Senhasegura (PAM), Dagma Bezpieczeństwo IT Kamil Budak, Product Manager Senhasegura (PAM), Dagma Bezpieczeństwo IT  

Jedną z najskuteczniejszych i najbezpieczniejszych metod uwierzytelniania jest skanowanie siatkówki lub tęczówki oka. Na jej korzyść przemawia fakt, że wzór oka przez całe życie dorosłej osoby praktycznie się nie zmienia. Dla porównania odcisk palca jest bardziej narażony na szumy niż wzór siatkówki. Co najważniejsze, fałszowanie biometrii oka jest niemalże niemożliwe i wymaga dostępu do najnowszych technologii oraz niebotycznych funduszy, czego nie można powiedzieć o podrabianiu odcisku palca. Skaner oka równocześnie jest jedną z najdroższych metod, przez co klienci decydują się na nią niezwykle rzadko. Największą popularnością cieszą się rozwiązania oparte na aplikacjach do smartfona, które generują TOTP (time-basedonetime password), gdyż są one powszechnie znane na rynku, działając nawet w trybie offline i często są darmowe.

  
Szymon Poliński, Systems Engineering Manager, Fortinet Szymon Poliński, Systems Engineering Manager, Fortinet  

W myśli idei „jesteś tak bezpieczny, jak twoje najsłabsze ogniwo”, uwierzytelnienie wieloskładnikowe powinno być stosowane we wszystkich punktach dostępu dla krytycznych i wrażliwych danych. Nie jest to jednak proste do osiągnięcia ze względu na ilość i różnorodność aplikacji, z jakich korzystają przedsiębiorstwa. Rozwiązania MFA zapewniają narzędzia do podniesienia poziomu bezpieczeństwa, jednak przy ich wykorzystaniu ważny jest aspekt ludzki oraz cykliczne szkolenia w tym zakresie. Tak, aby użytkownicy świadomie potwierdzali swoje dane do logowania, zwłaszcza że znane są przypadki, w których napastnicy wykorzystali „zmęczenie” użytkownika.

  
Chester Wisniewski, dyrektor ds. technologii, Sophos Chester Wisniewski, dyrektor ds. technologii, Sophos  

Zasadniczo uwierzytelnianie wieloskładnikowe działa tylko wtedy, kiedy jest wdrożone we wszystkich punktach dostępu do krytycznych i wrażliwych danych. MFA powinno zatem być domyślnym trybem autoryzacji dla wszystkich usług wewnątrz firmy. Problemem staje się kwestia egzekwowania takiego narzędzia. Niektórzy zezwalają na stosowanie mniej restrykcyjnych form uwierzytelniania lub wyjątków od stosowania tego rodzaju zabezpieczeń. W takich sytuacjach dysponujący odpowiednimi umiejętnościami przestępca będzie w stanie zidentyfikować i wykorzystać te luki w systemach ochronnych. Jednocześnie samo silne uwierzytelnianie nie jest w stanie powstrzymać każdego ataku. Kluczowe jest wdrożenie warstwowej architektury bezpieczeństwa i telemetrii, które sprawiają, że obrońcy zyskują czas i mają możliwość wykrycia ataku oraz prowadzenia działań obronnych.