Kategorie

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
shutterstock
Logowanie bez hasła. Korzystanie z haseł jest niewygodne dla użytkowników i powoduje liczne luki w zabezpieczeniach. Ale nadal jeszcze nie ma lepszej metody logowania. Hasła są więc konieczne, bowiem firmy są zobowiązane do zapewnienia bezpieczeństwa użytkownikom. Ci z kolei twierdzą w większości, że bezpieczeństwo jest ważniejsze niż wygoda, ale ich działania mówią co innego. Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA).

Uwierzytelnianie wieloskładnikowe (MFA) - jeszcze z hasłem

Badania przeprowadzone przez Google sugerują, że nawet jeśli użytkownicy doświadczyli przejęcia ich kont, mniej niż 10% z nich zastosuje uwierzytelnianie wieloskładnikowe (MFA) ze względu na związaną z tym złożoność i utrudnienia. Dzisiejsze rozwiązania MFA zazwyczaj polegają na hasłach połączonych z SMS-em lub jednorazowym hasłem za pośrednictwem poczty elektronicznej czy fizycznego tokena.
Jednak całość uwierzytelniania musi reprezentować równowagę między użytecznością, bezpieczeństwem i możliwością wdrażania. Celem wyeliminowania czy zastąpienia haseł, nowe rozwiązanie musi równać się zabezpieczeniom hasłami na wszystkich trzech frontach i być lepsze przynajmniej na jednym z nich.  Zamiana jednego zestawu korzyści na inny nie wystarczy, aby zachęcić zarówno organizacje, jak i użytkowników do zmiany.

Co więc możemy dziś zrobić, aby złagodzić tarcia związane z hasłami i zbliżyć się ideału równowagi?

Lepsze niewidoczne uwierzytelnianie wieloskładnikowe - iMFA (bez haseł)

Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA). W przeciwieństwie do aktualnych rozwiązań MFA - iMFA opiera się na czynnikach niewidocznych dla użytkownika. W szczególności, bez trudu zbiera i przetwarza maksymalną liczbę sygnałów. Rozłóżmy to na czynniki pierwsze:

  • Maksymalna liczba informacji Uwierzytelnianie w sieci Web jest zbieżne z modelem uwierzytelniania niebinarnego, w którym wszystkie dostępne informacje są uwzględniane dla każdej transakcji. Cały kontekst interakcji użytkownika z witryną można wykorzystać do zapewnienia najlepszego wglądu w profil ryzyka użytkownika.
  • Bezproblemowe zbieranie i przetwarzanie sygnału Zabezpieczenia powinny być dostarczone w sposób pośredni (backend), aby nie przeszkadzały klientom. Zapewniając bezpieczeństwo tą drogą, firmy mogą minimalizować zagrożenia przy minimalnych kosztach bez wprowadzania utrudnień dla niecierpliwych użytkowników. Dla przykładu: większość dostawców poczty e-mail zdecydowała się na podejście, w którym klasyfikacja poczty przebiega na podstawie znanych wzorców zachowań atakujących. Te zabezpieczenia nie są darmowe ani łatwe do wdrożenia, niemniej duzi operatorzy sieci często poświęcają znaczne zasoby, aby zapobiegać nadużyciom, w miarę jak te ewoluują. Niemniej, te koszy są zwykle znacznie niższe niż w przypadku podejścia wymagającego od użytkownika zmiany zachowania.

iMFA można zaimplementować za pomocą kombinacji narzędzi, takich jak WebAuthn i sygnały behawioralne. WebAuthn może zapewnić bezpieczne przechowywanie danych logowania i weryfikację użytkowników, a ciągłą autoryzację można uzupełnić o sygnały behawioralne. Tradycyjne elementy MFA - „coś, co znasz”, „masz” i „jesteś” - pochodzą z WebAuthn. Najnowszy element uwierzytelniania, „coś, co robisz”, pochodzi z sygnałów behawioralnych, w tym z nowych rodzajów danych biometrycznych. Ponadto generowanie tak różnorodnych sygnałów wymaga od użytkownika tylko jednej czynności, co stanowi znacznie mniejszy wysiłek niż wprowadzanie haseł. Dzięki połączeniu tych metod i ciągłemu udoskonalaniu ich poprzez uczenie maszynowe możemy osiągnąć efekt zwiększonego poziomu bezpieczeństwa z jednoczesnym obniżaniem poziomu utrudnień dla użytkownika.

Hasła nie znikną z dnia na dzień

Niemniej iMFA nie może zastąpić haseł z dnia na dzień. Użytkownicy odporni na zmiany będą potrzebować ewolucji. Witryny nadal będą musiały uwzględniać rozwiązanie takie jak WebAuthn w swoich protokołach uwierzytelniania. Bez pilnej potrzeby związanej z określonym zagrożeniem bezpieczeństwa wiele witryn prawdopodobnie nie będzie spieszyć się z przyjęciem tego standardu.

W przypadku, gdyby przyjęcie nowej metody miało trwać latami konieczne jest podjęcie dodatkowych działań utrudniających ataki. Cyberprzestępcy przeprowadzający ataki upychania poświadczeń są zwykle zmotywowani finansowo i nie mają nieskończonych zasobów kapitałowych. Jeśli organizacja może znacznie wydłużyć czas potrzebny na skuteczny atak, spowoduje, że większość cyberprzestępców zrezygnuje z trudniejszego celu na rzecz łatwiejszych do osiągnięcia.

Zabezpieczenia przed cyberprzestępczością - co warto zrobić

Pierwszym, odpowiednim w takiej sytuacji krokiem będzie utrudnienie dekodowania wycieków poświadczeń. Każda firma powinna ulepszyć swoje metody zabezpieczania haseł. Jeśli hasła są szyfrowane za pomocą MD5, organizacje muszą dokonać aktualizacji do bardziej bezpiecznego poziomu, na przykład bcrypt. W efekcie atakujący będą musieli poświęcić zbyt dużo czasu na złamanie naruszonych danych zanim jeszcze będą mogli przeprowadzić atak.

Organizacje mogą również zbadać sposoby wymuszania na atakujących opracowywania unikalnych metod ataków dla każdego celu. Załóżmy, że wyrafinowany napastnik zdobył 100 000 odszyfrowanych danych uwierzytelniających, co do których jest pewien, że nikt inny nie ma do nich dostępu, przynajmniej na razie. Atakujący wie, że 100 000 nowych poświadczeń powinno prowadzić w dużej witrynie do przejęcia średnio około 1000 kont. Dla tak wyrafinowanego napastnika, przejęcie ponad 1000 kont detalicznych może nie być warte kilku tygodni, które zajęłoby opracowanie, przetestowanie, uruchomienie unikalnego ataku i zarabianie na nim. Kluczem do sukcesu atakujących byłoby znalezienie firm, które mogłyby zostać zaatakowane przy użyciu tego samego oprogramowania - innymi słowy, celów z podobną infrastrukturą.

W rezultacie takiego podejścia, przestępca atakuje kilka podmiotów jednocześnie – np. sprzedawcę detalicznego, bank, firmę zajmującą się mediami społecznościowymi i aplikację mobilną do zamawiania przejazdów taxi. Opracowany atak jest skierowany na wersję aplikacji mobilnych na Androida, które zostały zbudowane na tej samej platformie. Wyrafinowanie takiego ataku polega na tym, że przestępca nie wykorzystuje żadnych zasobów częściej niż dwukrotnie i omija wszelkie środki ograniczające szybkość ataku, które wdrożono w organizacji. Mimo, że atakujący jest na tyle wyrafinowany, żeby nie wykorzystywać zasobów ponownie podczas ataku na pojedynczy cel, nie przypuszcza, że zostanie przyłapany na przetwarzaniu zasobów na różne cele.

Podobna sytuacja miała miejsce w 2018 roku u czterech klientów firmy Shape. Ponieważ wszyscy działali na wspólnej platformie ochrony, atak na jednego z nich był w efekcie atakiem na nich wszystkich. Ponieważ osoba atakująca przetworzyła zasoby i wzorce zachowań we wszystkich czterech firmach w bardzo krótkim czasie, firma Shape była w stanie bardzo szybko zebrać wystarczającą ilość danych, aby zidentyfikować atak. Tak więc przybrana metoda „łączenia ataków” faktycznie działała na niekorzyść atakującego, ale tylko dlatego, że inteligentne rozwiązanie było dzielone między różnymi celami.

Ważne!
Niemożliwe jest natychmiastowe wykrycie 100 procent ataków w 100 procentach przypadków. Możliwe jest za to doprowadzenie do sytuacji, w której ataki staną się zbyt kosztowne dla kryminalistów, a ci się poddadzą, a może nawet nie spróbują ponownie. Cyberprzestępczość to biznes - ataki są organizowane w oparciu o przewidywalną stopę zwrotu. Dla biznesu i cyberprzestępców czas – to pieniądz.

Shuman Ghosemajumder, globalny szef AI w F5

Dowiedz się więcej z naszej publikacji
Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Obowiązki biur rachunkowych z aktywnymi drukami online
Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Obowiązki biur rachunkowych z aktywnymi drukami online
Tylko teraz
Źródło: Newseria.pl
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    1 sty 2000
    19 wrz 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Czy przedsiębiorca może ubiegać się o zwolnienie od kosztów sądowych?

    Spory z kontrahentami mogą nie zakończyć się na wezwaniu do zapłaty i konieczne będzie wystąpienie do sądu z pozwem o zapłatę. Jeżeli zaległość z otrzymaniem pieniędzy z przeterminowanej faktury jest dla firmy dotkliwa, zwłaszcza w przypadku młodych przedsiębiorstw, samo poniesienie kosztów sądowych może okazać się blokadą w dochodzeniu należności. Można usłyszeć, że osoby w trudnej sytuacji majątkowej mogą ubiegać się o zwolnienie z kosztów sądowych. Czy firmy także mogą liczyć na takie udogodnienie? Pytanie to jest o tyle aktualne, że wobec pandemii, wcześniejszych lockdownów oraz ograniczeń sytuacja majątkowa wielu firm znacznie się pogorszyła.

    Opel Vectra B: gdzie się podziały tamte pryw… auta?

    Opel Vactra B: w zeszłym roku minęło 25 lat od premiery tego modelu, w przyszłym minie 20 lat od zakończenia jego produkcji. Co warto wiedzieć o nim?

    Pozytywne tendencje w eksporcie artykułów rolno-spożywczych

    Eksport artykułów rolno-spożywczych. Od stycznia do lipca 2021 r. wartość eksportu ogółem polskich towarów rolno-spożywczych wzrosła o 5,2%, do 20,5 mld EUR, w porównaniu z tym samym okresem roku 2020 - poinformowało Ministerstwo Rolnictwa i Rozwoju Wsi.

    Dotacje na wymianę pieców w budynkach wielorodzinnych i Mój Prąd 4.0. - w 2022 roku

    Dotacje na wymianę pieców i Mój Prąd 4.0. Trzecia edycja programu Mój Prąd, z budżetem przekraczającym 530 mln zł, wciąż cieszy się rekordową popularnością. Do tej pory do NFOŚiGW wpłynęło już ok. 150 tys. wniosków o dofinansowanie przydomowej fotowoltaiki. Fundusz szacuje, że budżet programu wystarczy w sumie na sfinansowanie ok. 178 tys. wniosków i przy obecnym tempie za chwilę się wyczerpie. NFOŚiGW pracuje już jednak nad uruchomieniem kolejnej, czwartej edycji, która ma zachęcić prosumentów do autokonsumpcji energii wytwarzanej w gospodarstwach domowych. Trwają też prace nad poszerzeniem kolejnego, popularnego programu Czyste Powietrze o dotacje na wymianę kopciuchów w budynkach wielolokalowych.

    Duży popyt na mieszkania. Problemem deficyt gruntów

    Popyt na rynku mieszkaniowym nie słabnie, gdyż Polacy chcą kupować nowe mieszkania, a rynek jest chłonny. Powodem jest wysoki deficyt mieszkań, jeden z najniższych, na tle krajów UE, wskaźników liczby mieszkań na tysiąc mieszkańców, a także sprzyjająca sytuacja makro – ocenia członek zarządu Grupy Murapol Iwona Sroka.

    Gaz dla gospodarstw domowych droższy o 7,4% od 1 października

    Cena gazu dla gospodarstw domowych. Od 1 października 2021 r. gospodarstwa domowe korzystające z taryfy PGNiG Obrót Detaliczny zapłacą za gaz więcej o 7,4 proc. PGNiG poinformowało w czwartek 16 września 2021 r., że Prezes URE zaakceptował wniosek o podwyżkę cen w taryfie. Zmiana będzie obowiązywać od października do końca 2021 roku. Stawki opłat abonamentowych oraz stawki za dystrybucję paliw gazowych pozostały bez zmian.

    Continental SportContact 7: sportowa nowość na rynku

    Continental SportContact 7 to opona przeznaczona do sportowych kompaktów, aut sportowych, supersportowych i tuningowanych.

    Branża transportowa... przeżywa renesans

    Branża transportowa jak i mechanicy przeżywają renesans. Usługi w tych dwóch sektorach są obecnie trudniej dostępne i przede wszystkim poszukiwane.

    Roczny koszt utrzymania samochodu? Policz go z... Yanosikiem

    Roczny koszt utrzymania samochodu – ile może wynosić? Yanosik postanowił odpowiedzieć na to pytanie i udostępnił właśnie nową funkcję w aplikacji.

    Ford Mondeo Mk4: Budżetowe auto Bonda

    Ford Mondeo MK4: jeździł nim James Bond, a Top Gear okrzyknął go samochodem roku 2007. W skrócie jest lepszy niż... Ferrari.

    Nieważność decyzji administracyjnych - co się zmienia od 16 września 2021 r.

    Nieważność decyzji administracyjnych. Jeśli od decyzji administracyjnej minęło 30 lat nie wszczyna się postępowania w sprawie jej zakwestionowania - stanowią przepisy, które weszły w życie w czwartek 16 września 2021 r. Niezakończone postępowania ws. nieważności decyzji, wszczęte po 30 latach od ich ogłoszenia, zostają umorzone.

    Katowice. Kolejna edycja programu „Mieszkanie za remont”

    Program „Mieszkanie za remont”. 50 lokali w różnych częściach Katowic znalazło się w tegorocznej edycji miejskiego programu "Mieszkanie za remont", umożliwiającego wynajęcie od miasta mieszkania na preferencyjnych warunkach w zamian za jego odnowienie.

    Zakup uszkodzonego samochodu: 1/3 używek po szkodzie

    Zakup uszkodzonego samochodu? W 2019 roku 1/3 aut na rynku wtórnym miała odnotowaną szkodę. Obecnie odsetek ten zbliża się do połowy.

    Ford Kuga I 2.0 TDCI: Super Użytkowy Vóz

    Dobry SUV musi ładnie wyglądać, być przestronny i oferować poprawne osiągi połączone z niskim spalaniem. To wszystko oferuje Ford Kuga I.

    Toyota RAV4 Adventure: czarne akcenty i napęd 4x4 w standardzie

    Toyota RAV4 Adventure - japoński SUV doczekał się nowej wersji specjalnej. Auto wyróżniają czarne akcenty, srebrny dach i napęd AWD-i w standardzie.

    Większość studentów mieszka u rodziny lub znajomych

    Studenci na rynku nieruchomości. Rynek wynajmu nieruchomości zmienił się istotnie w czasie pandemii. Wzrosła liczba studentów mieszkających u rodziny lub znajomych i nieponoszących opłaty za najem – z poziomu 27% w 2020 r. do 52% w 2021 r. Jednocześnie, spadł odsetek wynajmujących nieruchomości (z 51% do 33%). Centrum AMRON, we współpracy z Warszawskim Instytutem Bankowości i koordynatorami Programu Edukacyjnego „Nowoczesne Zarządzanie Biznesem”, opublikowało raport „Studenci na rynku nieruchomości 2021”. Jednocześnie zapowiedziano, że już w drugiej połowie września 2021 r. zostanie opublikowana kolejna edycja raportu „Portfel studenta” nt. sytuacji finansowej polskich studentów.

    UOKiK zaleca rozwagę przy kupnie nieruchomości na kredyt

    Kupno mieszkania na kredyt. Przy braniu długoletniego kredytu na kupno nieruchomości trzeba liczyć się z ryzykiem, że w tym czasie istotnie wyrosną raty, spadnie cena i wartość nieruchomości, a także nastąpią zmiany na rynku pracy powodujące obniżkę dochodów - przestrzega UOKiK.

    Nabywanie gruntu przez wspólnotę mieszkaniową - zmiany od 9 września

    Nabywanie gruntu przez wspólnotę mieszkaniową. W dniu 9 września 2021 r. weszła w życie nowelizacja ustawy o gospodarce nieruchomościami, dzięki której wspólnoty mieszkaniowe będą mogły łatwiej nabywać grunty na poprawę warunków zagospodarowania nieruchomości budynkowych.

    W sektorze hotelowym nadal duża niepewność

    Działalność obiektów hotelowych. Mimo, iż sytuację branży nieco poprawiły wakacje, w sektorze hotelowym nadal widoczna jest duża niepewność. Branża, która jest jednym z segmentów najbardziej dotkniętych skutkami lockdownów, obawia się ponownego zamknięcia.

    Niedobór gruntów i drogie materiały budowlane zwiększają ceny mieszkań

    Wzrost cen materiałów budowlanych i kurcząca się podaż gruntów inwestycyjnych to obecnie dwie największe bolączki deweloperów mieszkaniowych. – Dziś widzimy na rynku takie sytuacje, że na niektórych inwestycjach generalny wykonawca schodzi z budowy, bo wie, że nie jest w stanie jej udźwignąć w cenie, na którą podpisał kontrakt. To oczywiście przekłada się później na inwestorów i na kupujących nieruchomości – mówi Przemysław Andrzejak, prezes Royal Sail Investment Group. Jak szacuje, średnia cena 1 mkw. mieszkania w Polsce jest dziś o około 1–1,5 tys. zł netto wyższa w stosunku do ubiegłego roku, a w przyszłym trzeba się spodziewać kolejnej, około 15-proc. podwyżki.

    GUS: w Polsce na koniec 2020 r. było ponad 15 mln mieszkań

    Zasoby mieszkaniowe. W Polsce według stanu na koniec 2020 r. odnotowano ponad 15 mln mieszkań (wzrost o 1,4 proc. w porównaniu do stanu na koniec 2019 r.), o łącznej powierzchni użytkowej 1 118,8 mln mkw., w których znajdowało się 57,4 mln izb – poinformował GUS.

    Wywołany pandemią boom mieszkaniowy trwa

    Ceny nieruchomości mieszkaniowych biją rekordy na całym świecie. W czerwcu 2021 roku został zanotowany wzrost cen nieruchomości średnio o 9,2 proc. w 55 krajach i regionach w ujęciu rok do roku – wynika z raportu kwartalnego Global House Price Index Q2 2021.

    Ubezpieczenie kredytu hipotecznego - co warto wiedzieć?

    Ubezpieczenie kredytu hipotecznego. Właśnie postanowiłeś, że złożysz wniosek o kredyt hipoteczny i zrealizujesz swoje marzenie o posiadaniu „czterech kątów” na własność. Jednak zanim bank przyzna Ci środki, powinieneś uzbroić się w wiedzę, która jest potrzebna przyszłemu kredytobiorcy. Wiesz już wszystko na temat parametrów oferty, która Cię zainteresowała, wiesz jakie czynnik wpływają na całkowity koszt kredytu, itp.? A co z ubezpieczeniem? Na jego temat istnieje wiele mitów.

    Zakaz wyprzedzania się dla ciężarówek. Czy to dobry pomysł?

    Zakaz wyprzedzania się dla ciężarówek - to nowy postulat kierowców. Tylko czy odebranie tej możliwości kierowcom TIR-ów to dobry pomysł?

    Toyota Avensis II: japoński dziadkowóz

    Stereotypowy emeryt wybiera Mercedesa. Właśnie. Stereotypowy. Starsi ludzie wbrew stereotypom równie chętnie sięgają po Toyotę.