Kategorie
Szukaj
Sklep
Kalkulatory
Obserwowane
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Technologia » Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

27 sierpnia 2021, 11:02
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
shutterstock
Logowanie bez hasła. Korzystanie z haseł jest niewygodne dla użytkowników i powoduje liczne luki w zabezpieczeniach. Ale nadal jeszcze nie ma lepszej metody logowania. Hasła są więc konieczne, bowiem firmy są zobowiązane do zapewnienia bezpieczeństwa użytkownikom. Ci z kolei twierdzą w większości, że bezpieczeństwo jest ważniejsze niż wygoda, ale ich działania mówią co innego. Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA).

Uwierzytelnianie wieloskładnikowe (MFA) - jeszcze z hasłem

Badania przeprowadzone przez Google sugerują, że nawet jeśli użytkownicy doświadczyli przejęcia ich kont, mniej niż 10% z nich zastosuje uwierzytelnianie wieloskładnikowe (MFA) ze względu na związaną z tym złożoność i utrudnienia. Dzisiejsze rozwiązania MFA zazwyczaj polegają na hasłach połączonych z SMS-em lub jednorazowym hasłem za pośrednictwem poczty elektronicznej czy fizycznego tokena.
Jednak całość uwierzytelniania musi reprezentować równowagę między użytecznością, bezpieczeństwem i możliwością wdrażania. Celem wyeliminowania czy zastąpienia haseł, nowe rozwiązanie musi równać się zabezpieczeniom hasłami na wszystkich trzech frontach i być lepsze przynajmniej na jednym z nich.  Zamiana jednego zestawu korzyści na inny nie wystarczy, aby zachęcić zarówno organizacje, jak i użytkowników do zmiany.

Co więc możemy dziś zrobić, aby złagodzić tarcia związane z hasłami i zbliżyć się ideału równowagi?

Lepsze niewidoczne uwierzytelnianie wieloskładnikowe - iMFA (bez haseł)

Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA). W przeciwieństwie do aktualnych rozwiązań MFA - iMFA opiera się na czynnikach niewidocznych dla użytkownika. W szczególności, bez trudu zbiera i przetwarza maksymalną liczbę sygnałów. Rozłóżmy to na czynniki pierwsze:

  • Maksymalna liczba informacji Uwierzytelnianie w sieci Web jest zbieżne z modelem uwierzytelniania niebinarnego, w którym wszystkie dostępne informacje są uwzględniane dla każdej transakcji. Cały kontekst interakcji użytkownika z witryną można wykorzystać do zapewnienia najlepszego wglądu w profil ryzyka użytkownika.
  • Bezproblemowe zbieranie i przetwarzanie sygnału Zabezpieczenia powinny być dostarczone w sposób pośredni (backend), aby nie przeszkadzały klientom. Zapewniając bezpieczeństwo tą drogą, firmy mogą minimalizować zagrożenia przy minimalnych kosztach bez wprowadzania utrudnień dla niecierpliwych użytkowników. Dla przykładu: większość dostawców poczty e-mail zdecydowała się na podejście, w którym klasyfikacja poczty przebiega na podstawie znanych wzorców zachowań atakujących. Te zabezpieczenia nie są darmowe ani łatwe do wdrożenia, niemniej duzi operatorzy sieci często poświęcają znaczne zasoby, aby zapobiegać nadużyciom, w miarę jak te ewoluują. Niemniej, te koszy są zwykle znacznie niższe niż w przypadku podejścia wymagającego od użytkownika zmiany zachowania.

iMFA można zaimplementować za pomocą kombinacji narzędzi, takich jak WebAuthn i sygnały behawioralne. WebAuthn może zapewnić bezpieczne przechowywanie danych logowania i weryfikację użytkowników, a ciągłą autoryzację można uzupełnić o sygnały behawioralne. Tradycyjne elementy MFA - „coś, co znasz”, „masz” i „jesteś” - pochodzą z WebAuthn. Najnowszy element uwierzytelniania, „coś, co robisz”, pochodzi z sygnałów behawioralnych, w tym z nowych rodzajów danych biometrycznych. Ponadto generowanie tak różnorodnych sygnałów wymaga od użytkownika tylko jednej czynności, co stanowi znacznie mniejszy wysiłek niż wprowadzanie haseł. Dzięki połączeniu tych metod i ciągłemu udoskonalaniu ich poprzez uczenie maszynowe możemy osiągnąć efekt zwiększonego poziomu bezpieczeństwa z jednoczesnym obniżaniem poziomu utrudnień dla użytkownika.

Hasła nie znikną z dnia na dzień

Niemniej iMFA nie może zastąpić haseł z dnia na dzień. Użytkownicy odporni na zmiany będą potrzebować ewolucji. Witryny nadal będą musiały uwzględniać rozwiązanie takie jak WebAuthn w swoich protokołach uwierzytelniania. Bez pilnej potrzeby związanej z określonym zagrożeniem bezpieczeństwa wiele witryn prawdopodobnie nie będzie spieszyć się z przyjęciem tego standardu.

W przypadku, gdyby przyjęcie nowej metody miało trwać latami konieczne jest podjęcie dodatkowych działań utrudniających ataki. Cyberprzestępcy przeprowadzający ataki upychania poświadczeń są zwykle zmotywowani finansowo i nie mają nieskończonych zasobów kapitałowych. Jeśli organizacja może znacznie wydłużyć czas potrzebny na skuteczny atak, spowoduje, że większość cyberprzestępców zrezygnuje z trudniejszego celu na rzecz łatwiejszych do osiągnięcia.

Dalszy ciąg materiału pod wideo

Zabezpieczenia przed cyberprzestępczością - co warto zrobić

Pierwszym, odpowiednim w takiej sytuacji krokiem będzie utrudnienie dekodowania wycieków poświadczeń. Każda firma powinna ulepszyć swoje metody zabezpieczania haseł. Jeśli hasła są szyfrowane za pomocą MD5, organizacje muszą dokonać aktualizacji do bardziej bezpiecznego poziomu, na przykład bcrypt. W efekcie atakujący będą musieli poświęcić zbyt dużo czasu na złamanie naruszonych danych zanim jeszcze będą mogli przeprowadzić atak.

Organizacje mogą również zbadać sposoby wymuszania na atakujących opracowywania unikalnych metod ataków dla każdego celu. Załóżmy, że wyrafinowany napastnik zdobył 100 000 odszyfrowanych danych uwierzytelniających, co do których jest pewien, że nikt inny nie ma do nich dostępu, przynajmniej na razie. Atakujący wie, że 100 000 nowych poświadczeń powinno prowadzić w dużej witrynie do przejęcia średnio około 1000 kont. Dla tak wyrafinowanego napastnika, przejęcie ponad 1000 kont detalicznych może nie być warte kilku tygodni, które zajęłoby opracowanie, przetestowanie, uruchomienie unikalnego ataku i zarabianie na nim. Kluczem do sukcesu atakujących byłoby znalezienie firm, które mogłyby zostać zaatakowane przy użyciu tego samego oprogramowania - innymi słowy, celów z podobną infrastrukturą.

W rezultacie takiego podejścia, przestępca atakuje kilka podmiotów jednocześnie – np. sprzedawcę detalicznego, bank, firmę zajmującą się mediami społecznościowymi i aplikację mobilną do zamawiania przejazdów taxi. Opracowany atak jest skierowany na wersję aplikacji mobilnych na Androida, które zostały zbudowane na tej samej platformie. Wyrafinowanie takiego ataku polega na tym, że przestępca nie wykorzystuje żadnych zasobów częściej niż dwukrotnie i omija wszelkie środki ograniczające szybkość ataku, które wdrożono w organizacji. Mimo, że atakujący jest na tyle wyrafinowany, żeby nie wykorzystywać zasobów ponownie podczas ataku na pojedynczy cel, nie przypuszcza, że zostanie przyłapany na przetwarzaniu zasobów na różne cele.

Podobna sytuacja miała miejsce w 2018 roku u czterech klientów firmy Shape. Ponieważ wszyscy działali na wspólnej platformie ochrony, atak na jednego z nich był w efekcie atakiem na nich wszystkich. Ponieważ osoba atakująca przetworzyła zasoby i wzorce zachowań we wszystkich czterech firmach w bardzo krótkim czasie, firma Shape była w stanie bardzo szybko zebrać wystarczającą ilość danych, aby zidentyfikować atak. Tak więc przybrana metoda „łączenia ataków” faktycznie działała na niekorzyść atakującego, ale tylko dlatego, że inteligentne rozwiązanie było dzielone między różnymi celami.

Ważne!
Niemożliwe jest natychmiastowe wykrycie 100 procent ataków w 100 procentach przypadków. Możliwe jest za to doprowadzenie do sytuacji, w której ataki staną się zbyt kosztowne dla kryminalistów, a ci się poddadzą, a może nawet nie spróbują ponownie. Cyberprzestępczość to biznes - ataki są organizowane w oparciu o przewidywalną stopę zwrotu. Dla biznesu i cyberprzestępców czas – to pieniądz.

Shuman Ghosemajumder, globalny szef AI w F5

Reklama
Zaktualizuj swoją wiedzę z naszymi publikacjami i szkoleniami
Źródło: Newseria.pl
Wersja do druku
Napisz do nas
Zapisz się na newsletter
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Najnowsze
Popularne
Najstarsze
Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Coraz więcej sztucznej inteligencji w handlu
    23 mar 2023

    Wartość wdrożeń sztucznej inteligencji na globalnym rynku detalicznym w 2023 roku ma wynieść 10,76 mld dolarów. To dopiero początek.
    Onboarding – wdrożenie do pracy zdalnie. Jak zwiększyć efektywność?
    23 mar 2023

    Praca zdalna daje możliwości, które jeszcze kilka lat temu były nieosiągalne. Coraz więcej organizacji stawia na ten model, dając możliwość pracy z własnego domu czy nawet z drugiego końca świata. O ile samo działanie jest już w większości przypadków bezproblemowe, warto zwrócić uwagę na proces wdrożenia w świat nowej organizacji i nowych obowiązków. 
    Wymiana opon na letnie 2023. Kiedy, jak i za ile? Sprawdźmy
    23 mar 2023

    Wymiana opon na letnie 2023, czyli dziś przygotujemy dla kierowców tabletkę wiedzy na ten temat. Kiedy zmienić opony, o czym pamiętać i ile to kosztuje w 2023 roku?
    Czy 2023 Będzie Znów Rokiem Obligacji? Co z akcjami?
    23 mar 2023

    Ubiegły rok na rynkach finansowych stał bez wątpienia pod znakiem obligacji. Wzrosty oprocentowania obligacji wystąpiły na niemal wszystkich znaczących rynkach. Oprocentowanie obligacji rosło zarówno w krajach Unii Europejskiej, w tym w Polsce, jak i na amerykańskim rynku obligacji. Roczny wzrost na amerykańskich obligacjach dziesięcioletnich wyniósł 62,35%.
    Najem instytucjonalny – sektor PRS z ambitnymi planami budowy
    23 mar 2023

    Przedłużający się konflikt w Ukrainie oraz znacznie obniżona zdolność kredytowa ludzi zwiększają popyt na wynajem mieszkań i tym samym wpływają na rozwój rynku PRS w Polsce. Według danych Eurostatu z 2021 roku, w Unii Europejskiej około 30 proc. ludności mieszka w wynajmowanych mieszkaniach, podczas gdy w Polsce tylko około 13 proc.
    Czy można dostać mandat z kamery? I to na kilka sposobów
    23 mar 2023

    Czy można dostać mandat z kamery? Oczywiście że tak. Co więcej, sposobów zdobywania nagrań służby mają co najmniej kilka. Poznajmy je.
    Mitsubishi L200 2024. Tak będzie wyglądać nowe wcielenie pick-up`a
    23 mar 2023

    Mitsubishi L200 2024, czyli kolejna generacja modelu ujrzy światło dzienne jeszcze w tym roku lub na początku kolejnego. Co wiadomo o modelu?
    Volkswagen ID.2all. Tak będzie wyglądać elektryczne Polo?
    23 mar 2023

    Volkswagen ID.2all zapowiada koncepcję dostępnej, elektrycznej mobilności dla Europejczyków. Jest rozmiarów modelu Polo. Trafi zatem do segmentu B.
    Na co zwracają uwagę najemcy mieszkań wybierając mieszkanie?
    22 mar 2023

    Pieniądze to nie wszystko. Długa lista pytań od lokatorów do właścicieli mieszkań na wynajem                  
    Dlaczego warto kupić mieszkanie w kamienicy?
    22 mar 2023

    Mieszkania w kamienicach przeżywają prawdziwy renesans! Oto 3 powody, dla których warto je teraz kupić.
    Dane GUS o sprzedaży detalicznej – komentarz rynkowy
    22 mar 2023

    Główny Urząd Statystyczny opublikował wczoraj dane na temat sprzedaży detalicznej w lutym 2023. Porównując rok do roku spadła ona aż o 5 proc. (rok temu w lutym zanotowano wzrost o 8,1 proc.), a w porównaniu ze styczniem spadek wyniósł 3,6 proc.
    Przewoźniku - dopilnuj nowego obowiązku, jeśli nie chcesz stracić zezwolenia
    22 mar 2023

    Pakiet mobilności ponownie o sobie przypomina. Zgodnie ze zmianami w ustawie o transporcie drogowym, przewoźnicy są zobowiązani do spełnienia kolejnego obowiązku. Chodzi o przepis, wprowadzający konieczność zgłoszenia ilości zatrudnionych kierowców. W tym roku oświadczenie należy zgłosić już do 31 marca, a brak wypełnienia formalności może wiązać się poważnymi konsekwencjami dla przewoźników.
    Po kryzysie niektórych banków USA, cały świat patrzy na Fed
    22 mar 2023

    Śmiało można stwierdzić, że dzisiejsza decyzja ws. stóp procentowych w USA, jest jedną z najważniejszych i najbardziej wyczekiwanych w ciągu ostatnich lat. Wszystko za sprawą niedawnych wydarzeń, gdy po rynkach rozlała się fala systemowych zagrożeń w sektorze bankowym. Jeszcze przed upadkiem SVB, rynkowy konsensus zakładał, że marcowe posiedzenie amerykańskiego Federalnego Komitetu Otwartego Rynku pozostawi po sobie podwyżkę stóp o 50 pb. Przewidywania te spotkały się z falą krytyki ze strony największych banków na Wall Street. Sytuacja jednak uległa zmianie. Jaka więc będzie decyzja Fedu i co się zmieniło w kwestii dolara? 
    Coraz więcej Polek zakłada własny biznes
    22 mar 2023

    Jednym z kluczowych wyzwań wymienianych przez respondentki jest niewystarczająca wiedza na temat formalności związanych z prowadzeniem własnej działalności gospodarczej oraz niechęć do ryzyka.
    SCT Warszawa. Warszawscy rodzice chcą ostrzejszych restrykcji
    22 mar 2023

    SCT w Warszawie powstanie. Siedem postulatów wobec władz Warszawy wystosowała wspólna inicjatywa rodziców i ruchów społecznych. O co wnoszą?
    Kobieta z misją nie tylko gospodarczą
    22 mar 2023

    Przedsiębiorcy, którzy w swoim regionie zrobili już wszystko, mogą nadal dużo zrobić w krajach gdzie brakuje tego, w czym oni się wyspecjalizowali. O misjach gospodarczych opowiada Beata Drzazga – Przedsiębiorca Wizjoner, który czerpie radość i energię z pomagania w biznesie i w życiu innym ludziom. 
    Mercedes GLB 2023. Lifting mocno delikatny. Zmian zbyt wiele nie ma
    22 mar 2023

    Mercedes GLB 2023, czyli SUV niemieckiej marki przeszedł właśnie lifting. Co zmieniło się w modelu? Zmian prawie nie widać. To dobrze czy źle?
    Samochód do strefy czystego transportu. O czym pamiętać kupując auto używane?
    22 mar 2023

    Samochód do strefy czystego transportu to pojęcie, którym Polacy interesują się coraz mocniej. O czym powinien pamiętać podczas zakupu mieszkaniec SCT?
    Kolizji mniej, ale likwidacja szkód coraz droższa...
    22 mar 2023

    Kolizji mniej, ale likwidacja szkód coraz droższa? To zdanie idealnie opisuje zeszłoroczną sytuację na rynku ubezpieczeń komunikacyjnych.
    Czy ChatGPT pomoże w walce z cyberprzestępczością?
    22 mar 2023

    ChatGPT stał się groźnym narzędziem w rękach cyberprzestępców. Jednak, jak przekonują eksperci z Sophos, ten zaawansowany model językowy, zdolny do pisania i analizowania nawet dłuższych tekstów, może być również bardzo pomocny w walce z hakerami i internetowymi oszustami. Sztuczną inteligencję da się z powodzeniem wykorzystać do namierzania podejrzanej aktywności, filtrowania wiadomości e-mail czy przeciwdziałania cyberatakom z wykorzystaniem komponentów wbudowanych w system Microsoft Windows (LOLBin). 
    Mitsubishi Eclipse Cross Ralliart. PHEV z rajdowym sznytem. Tylko sznytem
    22 mar 2023

    Mitsubishi Eclipse Cross Ralliart to nowa wersja japońskiego coupe SUV-a napędzanego hybrydą plug-in. Zmiany? Te dotyczą tylko stylizacji. Szkoda...
    Mercedes GLA 2023. Mały SUV z Niemiec przeszedł drobny zabieg
    22 mar 2023

    Mercedes GLA 2023, czyli mniejszy z niemieckich SUV-ów przeszedł lifting. W jego ramach nieznacznie zmienił się design, ale i paleta silników.
    Toyota Hilux powstała w 1968 roku. Kończy właśnie 55 lat!
    22 mar 2023

    Toyota Hilux zadebiutowała na rynku w roku 1968. A więc jak nietrudno policzyć, powoli zbliża się do wieku emerytalnego. Tyle że pick-up ani myśli się zatrzymywać!
    Polacy kochają mięso, jedzą je nawet 6 razy w tygodniu! Jakie wybierają najczęściej?
    22 mar 2023

    Polacy jedzą dużo mięsa. Prawie czterech na dziesięciu badanych sięga po nie zazwyczaj 2-3 razy w tygodniu. Co trzecia osoba robi to nawet 4-6 razy w tym czasie. Na co dzień rodacy wybierają drób i wieprzowinę, ale ważne miejsca na liście zakupowej zajmują też ryby i owoce morza. Z kolei wołowina plasuje się wysoko w kategorii mięs jadanych od czasu do czasu. Natomiast dziczyzna i jagnięcina są rzadko wybierane przez konsumentów. Takie wnioski płyną z ogólnopolskiego badania Kantar Polska i Grupy BLIX, przeprowadzonego na próbie blisko 1,8 tys. konsumentów.
    Śniadanie biznesowe w Gdańsku: sygnaliści w firmie, zmiany w prawie pracy 2023, ochrona danych osobowych
    21 mar 2023

    18 kwietnia 2023 r. w Gdańsku odbędzie się Śniadanie biznesowe – prawo w pigułce, poświęcone praktycznym zagadnieniom prawnym obowiązującym przedsiębiorców w 2023 r. Szkolenie organizuje Rödl & Partner. Partnerem medialnym szkolenia są: portal Infor.pl, organizacja pracodawców „Pracodawcy Pomorza”, Francusko-Polska Izba Gospodarcza, Polsko-Niemieckie Koło Gospodarcze, a także Brytyjsko-Polska Izba Handlowa. Udział w szkoleniu jest bezpłatny.