Dane uwierzytelniające (najczęściej w postaci loginu i hasła) od lat stanowią – zaraz po stosującym je człowieku – najsłabsze ogniwo systemu cyfrowego bezpieczeństwa. Według różnych raportów ogromna większość jego naruszeń to efekt kradzieży tych informacji i ataków wykorzystujących sztuczki socjotechniczne, takie jak phishing. Z powodu zmian, jakie przyniosło upowszechnienie się pracy zdalnej (poza firmową siecią i bez obecności firmowego firewalla), poziom zagrożenia związanego z przejęciem haseł i ich przestępczym wykorzystaniem jeszcze bardziej się podniósł.

Hasła są tradycyjnie najpopularniejszym i podstawowym mechanizmem uwierzytelniania, ale jednocześnie uciążliwym dla użytkownika, od którego wymaga się ich zapamiętywania. Dlatego niezmiennie słyszy się o działaniach zmierzających do ograniczenia ich podstawowej roli, bądź nawet ich wyeliminowania. Działaniach, których skutek jest w ostatnim czasie coraz bardziej widoczny, przede wszystkim pod postacią uwierzytelniania wieloskładnikowego.

Jak ograniczyć rolę hasła?

Z ryzykiem, że atakujący będą w stanie obejść zabezpieczenia, mamy do czynienia w każdej metodzie uwierzytelniania. Jeśli więc osiągnięcie pełnego bezpieczeństwa nie jest i zapewne w dającej się przewidzieć przyszłości nie będzie możliwe, szczególnie ważne staje się łączenie różnych metod ochrony dostępu oraz nieustanne ich ulepszanie. Dużym krokiem w podniesieniu poziomu ochrony dostępu staje się coraz powszechniej stosowane w firmach uwierzytelnianie dwuskładnikowe (2FA), w którym do hasła dodawane są najczęściej kody SMS, tokeny albo jakaś forma uwierzytelniania biometrycznego.

Trzeba jednak zdawać sobie sprawę, że każda z tych dodatkowych metod ma nie tylko zalety, ale i wady (patrz: ramka na str. 20). Takie zabezpieczenia nie są doskonałe, bo przykładowo hakerzy potrafią przechwytywać wiadomości tekstowe. Z kolei sprzętowe tokeny, nawet jeśli stanowią bardzo bezpieczną metodę uwierzytelniania, są zwykle drogie i mogą okazać się trudne w zarządzaniu dla działów IT. Przy bardziej wyrafinowanych mechanizmach, takich jak uwierzytelnianie biometryczne, istnieje niezerowe prawdopodobieństwo fałszywych wyników negatywnych i fałszywych wyników pozytywnych. Co więcej, kradzież danych biometrycznych może mieć potencjalnie katastrofalne skutki, chociażby w postaci fałszowania paszportów i innych ważnych dokumentów.

Wciąż, choć wolniej niż początkowo zakładano, rozwija się trend wprowadzania uwierzytelniania zupełnie bez hasła. „Pass-wordless authentication” bazuje najczęściej na takich mechanizmach, jak FIDO2, kryptografia klucza publicznego/prywatnego albo WebAuthN. Standardy te mają na celu zastąpienie haseł urządzeniami, których ludzie już używają i mają przy sobie, takimi jak inteligentne karty i zegarki, klucze USB czy smartfony.

Obiecującym trendem jest stosowanie w kontekście ochrony dostępu analityki dotyczącej zachowania użytkowników i urządzeń, która przy wsparciu uczenia maszynowego może przyczynić się do uwierzytelniania w sposób w dużej mierze niewidoczny. Polega to na zbudowaniu wzorca typowego zachowania użytkownika – uchwyceniu niektórych unikalnych cech osoby związanych z korzystaniem z urządzeń i systemów. Wśród takich wzorców może być nawet sposób naciskania klawiszy komputera. Analityka może obejmować także lokalizację uwierzytelniającej się osoby. Mechanizm taki zareaguje, gdy pojawi się podejrzane zjawisko, na przykład nagłe „przemieszczenie się” do odległego kraju.

– Skuteczne w redukowaniu zagrożeń jest uwierzytelnianie bazujące na ryzyku (risk-based authentication). Polega ono na ocenie ryzyka związanego z dostępem do konta na podstawie różnych czynników, takich jak lokalizacja, urządzenie, historia logowania czy też wykrycie podejrzanego zachowania. Dzięki temu ochrona jest skoncentrowana na rzeczywistym ryzyku, a nie na metodach takich jak hasła czy tokeny – twierdzi Piotr Kawa, Business Development Director w Bakotechu.

Zdaniem integratora 

Paweł Zwierzyński, Network&Security Team Leader, Vernity  

Nie ma jednego idealnego rozwiązania dla ochrony dostępu ze względu na zbyt dużą liczbę zmiennych elementów. Na wybór zabezpieczeń wpływają systemy i licencje, które klient już posiada, jego budżet, a także funkcjonalność z punktu widzenia użytkownika końcowego. Bez wątpienia w ciągu ostatnich dwóch lat można odnotować znacznie większą świadomość klientów co do tego, że uwierzytelnianie samym hasłem nie jest wystarczające. Obecnie raczej nie zdarza nam się wdrażanie systemów dostępu bez 2FA. Jeśli chodzi o poziom ochrony, to najlepszym obecnie rozwiązaniem są klucze sprzętowe U2F – to jedyna metoda, która chroni w 100 procentach przed phishingiem. Ominięcie innych rodzajów podwójnej autentykacji (kody z aplikacji mobilnej, kody SMS), chociaż trudne do wykonania, jest jednak możliwe. Kody SMS to najsłabsza z wymienionych metod MFA, ale zarazem najszybsza w implementacji. Dlatego, jeśli rozmawiam z klientem opornym na tego typu rozwiązania, zazwyczaj proponuję kody SMS ze względu na łatwość i małą inwazyjność wdrożenia. Jakiekolwiek zabezpieczenie 2FA jest bowiem zdecydowanie lepsze niż jego brak.