REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
shutterstock

REKLAMA

REKLAMA

Logowanie bez hasła. Korzystanie z haseł jest niewygodne dla użytkowników i powoduje liczne luki w zabezpieczeniach. Ale nadal jeszcze nie ma lepszej metody logowania. Hasła są więc konieczne, bowiem firmy są zobowiązane do zapewnienia bezpieczeństwa użytkownikom. Ci z kolei twierdzą w większości, że bezpieczeństwo jest ważniejsze niż wygoda, ale ich działania mówią co innego. Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA).

Uwierzytelnianie wieloskładnikowe (MFA) - jeszcze z hasłem

Badania przeprowadzone przez Google sugerują, że nawet jeśli użytkownicy doświadczyli przejęcia ich kont, mniej niż 10% z nich zastosuje uwierzytelnianie wieloskładnikowe (MFA) ze względu na związaną z tym złożoność i utrudnienia. Dzisiejsze rozwiązania MFA zazwyczaj polegają na hasłach połączonych z SMS-em lub jednorazowym hasłem za pośrednictwem poczty elektronicznej czy fizycznego tokena.
Jednak całość uwierzytelniania musi reprezentować równowagę między użytecznością, bezpieczeństwem i możliwością wdrażania. Celem wyeliminowania czy zastąpienia haseł, nowe rozwiązanie musi równać się zabezpieczeniom hasłami na wszystkich trzech frontach i być lepsze przynajmniej na jednym z nich.  Zamiana jednego zestawu korzyści na inny nie wystarczy, aby zachęcić zarówno organizacje, jak i użytkowników do zmiany.

Co więc możemy dziś zrobić, aby złagodzić tarcia związane z hasłami i zbliżyć się ideału równowagi?

REKLAMA

Lepsze niewidoczne uwierzytelnianie wieloskładnikowe - iMFA (bez haseł)

Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA). W przeciwieństwie do aktualnych rozwiązań MFA - iMFA opiera się na czynnikach niewidocznych dla użytkownika. W szczególności, bez trudu zbiera i przetwarza maksymalną liczbę sygnałów. Rozłóżmy to na czynniki pierwsze:

  • Maksymalna liczba informacji Uwierzytelnianie w sieci Web jest zbieżne z modelem uwierzytelniania niebinarnego, w którym wszystkie dostępne informacje są uwzględniane dla każdej transakcji. Cały kontekst interakcji użytkownika z witryną można wykorzystać do zapewnienia najlepszego wglądu w profil ryzyka użytkownika.
  • Bezproblemowe zbieranie i przetwarzanie sygnału Zabezpieczenia powinny być dostarczone w sposób pośredni (backend), aby nie przeszkadzały klientom. Zapewniając bezpieczeństwo tą drogą, firmy mogą minimalizować zagrożenia przy minimalnych kosztach bez wprowadzania utrudnień dla niecierpliwych użytkowników. Dla przykładu: większość dostawców poczty e-mail zdecydowała się na podejście, w którym klasyfikacja poczty przebiega na podstawie znanych wzorców zachowań atakujących. Te zabezpieczenia nie są darmowe ani łatwe do wdrożenia, niemniej duzi operatorzy sieci często poświęcają znaczne zasoby, aby zapobiegać nadużyciom, w miarę jak te ewoluują. Niemniej, te koszy są zwykle znacznie niższe niż w przypadku podejścia wymagającego od użytkownika zmiany zachowania.

iMFA można zaimplementować za pomocą kombinacji narzędzi, takich jak WebAuthn i sygnały behawioralne. WebAuthn może zapewnić bezpieczne przechowywanie danych logowania i weryfikację użytkowników, a ciągłą autoryzację można uzupełnić o sygnały behawioralne. Tradycyjne elementy MFA - „coś, co znasz”, „masz” i „jesteś” - pochodzą z WebAuthn. Najnowszy element uwierzytelniania, „coś, co robisz”, pochodzi z sygnałów behawioralnych, w tym z nowych rodzajów danych biometrycznych. Ponadto generowanie tak różnorodnych sygnałów wymaga od użytkownika tylko jednej czynności, co stanowi znacznie mniejszy wysiłek niż wprowadzanie haseł. Dzięki połączeniu tych metod i ciągłemu udoskonalaniu ich poprzez uczenie maszynowe możemy osiągnąć efekt zwiększonego poziomu bezpieczeństwa z jednoczesnym obniżaniem poziomu utrudnień dla użytkownika.

Hasła nie znikną z dnia na dzień

REKLAMA

Niemniej iMFA nie może zastąpić haseł z dnia na dzień. Użytkownicy odporni na zmiany będą potrzebować ewolucji. Witryny nadal będą musiały uwzględniać rozwiązanie takie jak WebAuthn w swoich protokołach uwierzytelniania. Bez pilnej potrzeby związanej z określonym zagrożeniem bezpieczeństwa wiele witryn prawdopodobnie nie będzie spieszyć się z przyjęciem tego standardu.

W przypadku, gdyby przyjęcie nowej metody miało trwać latami konieczne jest podjęcie dodatkowych działań utrudniających ataki. Cyberprzestępcy przeprowadzający ataki upychania poświadczeń są zwykle zmotywowani finansowo i nie mają nieskończonych zasobów kapitałowych. Jeśli organizacja może znacznie wydłużyć czas potrzebny na skuteczny atak, spowoduje, że większość cyberprzestępców zrezygnuje z trudniejszego celu na rzecz łatwiejszych do osiągnięcia.

Dalszy ciąg materiału pod wideo

Zabezpieczenia przed cyberprzestępczością - co warto zrobić

REKLAMA

Pierwszym, odpowiednim w takiej sytuacji krokiem będzie utrudnienie dekodowania wycieków poświadczeń. Każda firma powinna ulepszyć swoje metody zabezpieczania haseł. Jeśli hasła są szyfrowane za pomocą MD5, organizacje muszą dokonać aktualizacji do bardziej bezpiecznego poziomu, na przykład bcrypt. W efekcie atakujący będą musieli poświęcić zbyt dużo czasu na złamanie naruszonych danych zanim jeszcze będą mogli przeprowadzić atak.

Organizacje mogą również zbadać sposoby wymuszania na atakujących opracowywania unikalnych metod ataków dla każdego celu. Załóżmy, że wyrafinowany napastnik zdobył 100 000 odszyfrowanych danych uwierzytelniających, co do których jest pewien, że nikt inny nie ma do nich dostępu, przynajmniej na razie. Atakujący wie, że 100 000 nowych poświadczeń powinno prowadzić w dużej witrynie do przejęcia średnio około 1000 kont. Dla tak wyrafinowanego napastnika, przejęcie ponad 1000 kont detalicznych może nie być warte kilku tygodni, które zajęłoby opracowanie, przetestowanie, uruchomienie unikalnego ataku i zarabianie na nim. Kluczem do sukcesu atakujących byłoby znalezienie firm, które mogłyby zostać zaatakowane przy użyciu tego samego oprogramowania - innymi słowy, celów z podobną infrastrukturą.

W rezultacie takiego podejścia, przestępca atakuje kilka podmiotów jednocześnie – np. sprzedawcę detalicznego, bank, firmę zajmującą się mediami społecznościowymi i aplikację mobilną do zamawiania przejazdów taxi. Opracowany atak jest skierowany na wersję aplikacji mobilnych na Androida, które zostały zbudowane na tej samej platformie. Wyrafinowanie takiego ataku polega na tym, że przestępca nie wykorzystuje żadnych zasobów częściej niż dwukrotnie i omija wszelkie środki ograniczające szybkość ataku, które wdrożono w organizacji. Mimo, że atakujący jest na tyle wyrafinowany, żeby nie wykorzystywać zasobów ponownie podczas ataku na pojedynczy cel, nie przypuszcza, że zostanie przyłapany na przetwarzaniu zasobów na różne cele.

Podobna sytuacja miała miejsce w 2018 roku u czterech klientów firmy Shape. Ponieważ wszyscy działali na wspólnej platformie ochrony, atak na jednego z nich był w efekcie atakiem na nich wszystkich. Ponieważ osoba atakująca przetworzyła zasoby i wzorce zachowań we wszystkich czterech firmach w bardzo krótkim czasie, firma Shape była w stanie bardzo szybko zebrać wystarczającą ilość danych, aby zidentyfikować atak. Tak więc przybrana metoda „łączenia ataków” faktycznie działała na niekorzyść atakującego, ale tylko dlatego, że inteligentne rozwiązanie było dzielone między różnymi celami.

Ważne!
Niemożliwe jest natychmiastowe wykrycie 100 procent ataków w 100 procentach przypadków. Możliwe jest za to doprowadzenie do sytuacji, w której ataki staną się zbyt kosztowne dla kryminalistów, a ci się poddadzą, a może nawet nie spróbują ponownie. Cyberprzestępczość to biznes - ataki są organizowane w oparciu o przewidywalną stopę zwrotu. Dla biznesu i cyberprzestępców czas – to pieniądz.

Shuman Ghosemajumder, globalny szef AI w F5

Źródło: Newseria.pl

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Piękny umysł. Wiedza o mózgu w analizie preferencji zachowań i postaw człowieka

W dzisiejszym świecie, w którym wiedza neuronaukowa jest coraz bardziej dostępna, a tematyczne publikacje wychodzą poza ramę dyskursu naukowego i pisane są przystępnym językiem, wiedza o mózgu staje się niebywale wartościowym obszarem do codziennego wykorzystania. Warto, aby sięgali po nią również ci, którzy wspierają wzrost ludzi w biznesie i rozwoju indywidualnym.

Ruszył konkurs ZUS. Można otrzymać dofinansowanie do 80 proc. wartości projektu na poprawę bezpieczeństwa i higieny pracy (BHP)

Ruszył konkurs ZUS. Można otrzymać dofinansowanie do 80 proc. wartości projektu na poprawę bezpieczeństwa i higieny pracy (BHP). Wnioski można składać do 10 marca 2025 r. Gdzie złożyć wniosek? Kto może ubiegać się o dofinansowanie? Co podlega dofinansowaniu?

Podatek dochodowy 2025: skala podatkowa, podatek liniowy czy ryczałt. Trzeba szybko decydować się na wybór formy opodatkowania, jaki termin - do kiedy

Przedsiębiorcy mogą co roku korzystać z innej – jednej z trzech możliwych – form podatku dochodowego od przychodów uzyskiwanych z działalności gospodarczej. Poza wysokością samego podatku, jaki trzeba będzie zapłacić, teraz forma opodatkowania wpływa również na wysokość obciążeń z tytułu składki na ubezpieczenie zdrowotne.

Raportowanie ESG: jak się przygotować, wdrażanie, wady i zalety. Czy czekają nas zmiany? [WYWIAD]

Raportowanie ESG: jak firma powinna się przygotować? Czym jest ESG? Jak wdrożyć system ESG w firmie. Czy ESG jest potrzebne? Jak ESG wpływa na rynek pracy? Jakie są wady i zalety ESG? Co należałoby zmienić w przepisach stanowiących o ESG?

REKLAMA

Zarządzanie kryzysowe czyli jak przetrwać biznesowy sztorm - wskazówki, przykłady, inspiracje

Załóżmy, że jako kapitan statku (CEO) niespodziewanie napotykasz gwałtowny sztorm (sytuację kryzysową lub problemową). Bez odpowiednich narzędzi nawigacyjnych, takich jak mapa, kompas czy plan awaryjny, Twoje szanse na bezpieczne dotarcie do portu znacząco maleją. Ryzykujesz nawet sam fakt przetrwania. W świecie biznesu takim zestawem narzędzi jest Księga Komunikacji Kryzysowej – kluczowy element, który każda firma, niezależnie od jej wielkości czy branży, powinna mieć zawsze pod ręką.

Układ likwidacyjny w postępowaniu restrukturyzacyjnym

Układ likwidacyjny w postępowaniu restrukturyzacyjnym. Sprzedaż majątku przedsiębiorstwa w ramach postępowania restrukturyzacyjnego ma sens tylko wtedy, gdy z ekonomicznego punktu widzenia nie ma większych szans na uzdrowienie jego sytuacji, bądź gdy spieniężenie części przedsiębiorstwa może znacznie usprawnić restrukturyzację.

Ile jednoosobowych firm zamknięto w 2024 r.? A ile zawieszono? [Dane z CEIDG]

W 2024 r. o 4,8 proc. spadła liczba wniosków dotyczących zamknięcia jednoosobowej działalności gospodarczej. Czy to oznacza lepsze warunki do prowadzenia biznesu? Niekoniecznie. Jak widzą to eksperci?

Rozdzielność majątkowa a upadłość i restrukturyzacja

Ogłoszenie upadłości prowadzi do powstania między małżonkami ustroju rozdzielności majątkowej, a majątek wspólny wchodzi w skład masy upadłości. Drugi z małżonków, który nie został objęty postanowieniem o ogłoszeniu upadłości, ma prawo domagać się spłaty równowartości swojej części tego majątku. Otwarcie restrukturyzacji nie powoduje tak daleko idących skutków.

REKLAMA

Wygrywamy dzięki pracownikom [WYWIAD]

Rozmowa z Beatą Rosłan, dyrektorką HR w Jacobs Douwe Egberts, o tym, jak skuteczna polityka personalna wspiera budowanie pozycji lidera w branży.

Zespół marketingu w organizacji czy outsourcing usług – które rozwiązanie jest lepsze?

Lepiej inwestować w wewnętrzny zespół marketingowy czy może bardziej opłacalnym rozwiązaniem jest outsourcing usług marketingowych? Marketing odgrywa kluczową rolę w sukcesie każdej organizacji. W dobie cyfryzacji i rosnącej konkurencji firmy muszą stale dbać o swoją obecność na rynku, budować markę oraz skutecznie docierać do klientów.

REKLAMA