REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Technologia » Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)

Subskrybuj nas na Youtube
27 sierpnia 2021, 11:02
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
Logowanie bez hasła - niewidoczne uwierzytelnianie wieloskładnikowe (iMFA)
shutterstock

REKLAMA

REKLAMA

Logowanie bez hasła. Korzystanie z haseł jest niewygodne dla użytkowników i powoduje liczne luki w zabezpieczeniach. Ale nadal jeszcze nie ma lepszej metody logowania. Hasła są więc konieczne, bowiem firmy są zobowiązane do zapewnienia bezpieczeństwa użytkownikom. Ci z kolei twierdzą w większości, że bezpieczeństwo jest ważniejsze niż wygoda, ale ich działania mówią co innego. Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA).

Uwierzytelnianie wieloskładnikowe (MFA) - jeszcze z hasłem

Badania przeprowadzone przez Google sugerują, że nawet jeśli użytkownicy doświadczyli przejęcia ich kont, mniej niż 10% z nich zastosuje uwierzytelnianie wieloskładnikowe (MFA) ze względu na związaną z tym złożoność i utrudnienia. Dzisiejsze rozwiązania MFA zazwyczaj polegają na hasłach połączonych z SMS-em lub jednorazowym hasłem za pośrednictwem poczty elektronicznej czy fizycznego tokena.
Jednak całość uwierzytelniania musi reprezentować równowagę między użytecznością, bezpieczeństwem i możliwością wdrażania. Celem wyeliminowania czy zastąpienia haseł, nowe rozwiązanie musi równać się zabezpieczeniom hasłami na wszystkich trzech frontach i być lepsze przynajmniej na jednym z nich.  Zamiana jednego zestawu korzyści na inny nie wystarczy, aby zachęcić zarówno organizacje, jak i użytkowników do zmiany.

Co więc możemy dziś zrobić, aby złagodzić tarcia związane z hasłami i zbliżyć się ideału równowagi?

REKLAMA

REKLAMA

Lepsze niewidoczne uwierzytelnianie wieloskładnikowe - iMFA (bez haseł)

Możliwym rozwiązaniem omawianego problemu jest niewidoczne uwierzytelnianie wieloskładnikowe (iMFA). W przeciwieństwie do aktualnych rozwiązań MFA - iMFA opiera się na czynnikach niewidocznych dla użytkownika. W szczególności, bez trudu zbiera i przetwarza maksymalną liczbę sygnałów. Rozłóżmy to na czynniki pierwsze:

  • Maksymalna liczba informacji Uwierzytelnianie w sieci Web jest zbieżne z modelem uwierzytelniania niebinarnego, w którym wszystkie dostępne informacje są uwzględniane dla każdej transakcji. Cały kontekst interakcji użytkownika z witryną można wykorzystać do zapewnienia najlepszego wglądu w profil ryzyka użytkownika.
  • Bezproblemowe zbieranie i przetwarzanie sygnału Zabezpieczenia powinny być dostarczone w sposób pośredni (backend), aby nie przeszkadzały klientom. Zapewniając bezpieczeństwo tą drogą, firmy mogą minimalizować zagrożenia przy minimalnych kosztach bez wprowadzania utrudnień dla niecierpliwych użytkowników. Dla przykładu: większość dostawców poczty e-mail zdecydowała się na podejście, w którym klasyfikacja poczty przebiega na podstawie znanych wzorców zachowań atakujących. Te zabezpieczenia nie są darmowe ani łatwe do wdrożenia, niemniej duzi operatorzy sieci często poświęcają znaczne zasoby, aby zapobiegać nadużyciom, w miarę jak te ewoluują. Niemniej, te koszy są zwykle znacznie niższe niż w przypadku podejścia wymagającego od użytkownika zmiany zachowania.

iMFA można zaimplementować za pomocą kombinacji narzędzi, takich jak WebAuthn i sygnały behawioralne. WebAuthn może zapewnić bezpieczne przechowywanie danych logowania i weryfikację użytkowników, a ciągłą autoryzację można uzupełnić o sygnały behawioralne. Tradycyjne elementy MFA - „coś, co znasz”, „masz” i „jesteś” - pochodzą z WebAuthn. Najnowszy element uwierzytelniania, „coś, co robisz”, pochodzi z sygnałów behawioralnych, w tym z nowych rodzajów danych biometrycznych. Ponadto generowanie tak różnorodnych sygnałów wymaga od użytkownika tylko jednej czynności, co stanowi znacznie mniejszy wysiłek niż wprowadzanie haseł. Dzięki połączeniu tych metod i ciągłemu udoskonalaniu ich poprzez uczenie maszynowe możemy osiągnąć efekt zwiększonego poziomu bezpieczeństwa z jednoczesnym obniżaniem poziomu utrudnień dla użytkownika.

Hasła nie znikną z dnia na dzień

Niemniej iMFA nie może zastąpić haseł z dnia na dzień. Użytkownicy odporni na zmiany będą potrzebować ewolucji. Witryny nadal będą musiały uwzględniać rozwiązanie takie jak WebAuthn w swoich protokołach uwierzytelniania. Bez pilnej potrzeby związanej z określonym zagrożeniem bezpieczeństwa wiele witryn prawdopodobnie nie będzie spieszyć się z przyjęciem tego standardu.

REKLAMA

W przypadku, gdyby przyjęcie nowej metody miało trwać latami konieczne jest podjęcie dodatkowych działań utrudniających ataki. Cyberprzestępcy przeprowadzający ataki upychania poświadczeń są zwykle zmotywowani finansowo i nie mają nieskończonych zasobów kapitałowych. Jeśli organizacja może znacznie wydłużyć czas potrzebny na skuteczny atak, spowoduje, że większość cyberprzestępców zrezygnuje z trudniejszego celu na rzecz łatwiejszych do osiągnięcia.

Dalszy ciąg materiału pod wideo

Zabezpieczenia przed cyberprzestępczością - co warto zrobić

Pierwszym, odpowiednim w takiej sytuacji krokiem będzie utrudnienie dekodowania wycieków poświadczeń. Każda firma powinna ulepszyć swoje metody zabezpieczania haseł. Jeśli hasła są szyfrowane za pomocą MD5, organizacje muszą dokonać aktualizacji do bardziej bezpiecznego poziomu, na przykład bcrypt. W efekcie atakujący będą musieli poświęcić zbyt dużo czasu na złamanie naruszonych danych zanim jeszcze będą mogli przeprowadzić atak.

Organizacje mogą również zbadać sposoby wymuszania na atakujących opracowywania unikalnych metod ataków dla każdego celu. Załóżmy, że wyrafinowany napastnik zdobył 100 000 odszyfrowanych danych uwierzytelniających, co do których jest pewien, że nikt inny nie ma do nich dostępu, przynajmniej na razie. Atakujący wie, że 100 000 nowych poświadczeń powinno prowadzić w dużej witrynie do przejęcia średnio około 1000 kont. Dla tak wyrafinowanego napastnika, przejęcie ponad 1000 kont detalicznych może nie być warte kilku tygodni, które zajęłoby opracowanie, przetestowanie, uruchomienie unikalnego ataku i zarabianie na nim. Kluczem do sukcesu atakujących byłoby znalezienie firm, które mogłyby zostać zaatakowane przy użyciu tego samego oprogramowania - innymi słowy, celów z podobną infrastrukturą.

W rezultacie takiego podejścia, przestępca atakuje kilka podmiotów jednocześnie – np. sprzedawcę detalicznego, bank, firmę zajmującą się mediami społecznościowymi i aplikację mobilną do zamawiania przejazdów taxi. Opracowany atak jest skierowany na wersję aplikacji mobilnych na Androida, które zostały zbudowane na tej samej platformie. Wyrafinowanie takiego ataku polega na tym, że przestępca nie wykorzystuje żadnych zasobów częściej niż dwukrotnie i omija wszelkie środki ograniczające szybkość ataku, które wdrożono w organizacji. Mimo, że atakujący jest na tyle wyrafinowany, żeby nie wykorzystywać zasobów ponownie podczas ataku na pojedynczy cel, nie przypuszcza, że zostanie przyłapany na przetwarzaniu zasobów na różne cele.

Podobna sytuacja miała miejsce w 2018 roku u czterech klientów firmy Shape. Ponieważ wszyscy działali na wspólnej platformie ochrony, atak na jednego z nich był w efekcie atakiem na nich wszystkich. Ponieważ osoba atakująca przetworzyła zasoby i wzorce zachowań we wszystkich czterech firmach w bardzo krótkim czasie, firma Shape była w stanie bardzo szybko zebrać wystarczającą ilość danych, aby zidentyfikować atak. Tak więc przybrana metoda „łączenia ataków” faktycznie działała na niekorzyść atakującego, ale tylko dlatego, że inteligentne rozwiązanie było dzielone między różnymi celami.

Ważne!
Niemożliwe jest natychmiastowe wykrycie 100 procent ataków w 100 procentach przypadków. Możliwe jest za to doprowadzenie do sytuacji, w której ataki staną się zbyt kosztowne dla kryminalistów, a ci się poddadzą, a może nawet nie spróbują ponownie. Cyberprzestępczość to biznes - ataki są organizowane w oparciu o przewidywalną stopę zwrotu. Dla biznesu i cyberprzestępców czas – to pieniądz.

Shuman Ghosemajumder, globalny szef AI w F5

Źródło: Newseria.pl
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Oferta biznesowa dla firm: Paczkomat® InPost jako klucz do szybkiej i wygodnej dostawy
28 lis 2025

Klienci kupują online przede wszystkim dla wygody, a szybka dostawa i odbiór to dziś standard. Punkty odbioru stały się naturalnym wyborem, a Paczkomat® InPost przewodzi w tej kategorii. Jeśli prowadzisz sklep internetowy, oferta biznesowa InPost to prosty sposób na obniżenie kosztów i zwiększenie satysfakcji kupujących. Sprawdź, dlaczego warto i jak zrobić to dobrze.
Polskie banknoty w portfelach świata. Jak PWPW buduje swoją pozycję na globalnym rynku Gwatemala, Peru, Paragwaj [Gość Infor.pl]
28 lis 2025

Dla większości z nas to kraje widziane raczej na wakacyjnych zdjęciach niż w kontekście polskiego przemysłu. A jednak właśnie tam obywatele płacą banknotami wyprodukowanymi w > Polsce. I nie chodzi o druk, ale o pełną produkcję. O to, jak powstają > te banknoty i dlaczego świat tak chętnie zamawia je w Warszawie, > opowiadała Grażyna Rafalska, dyrektor Biura Sprzedaży Polskiej > Wytwórni Papierów Wartościowych.
Firma Dobrze Widziana 2025 i Medal Solidarności Społecznej – poznaliśmy tegorocznych laureatów
28 lis 2025

W czwartek, 27 listopada 2025 r. w Warsaw Presidential Hotel odbył się finał XVI edycji konkursu Firma Dobrze Widziana. Konkurs ten ma na celu promowanie firm członkowskich Business Centre Club, które realizują działania CSR oraz ESG. Wydarzenie odbyło się pod Honorowym Patronatem Ministra Rodziny i Polityki Społecznej oraz Rektora Szkoły Głównej Handlowej.
Główny Inspektorat Sanitarny: kontrola produktów biobójczych przeznaczonych wyłącznie dla użytkowników profesjonalnych [Podsumowanie]
27 lis 2025

Główny Inspektorat Sanitarny przeprowadził ogólnopolską kontrolę produktów biobójczych przeznaczonych wyłącznie dla użytkowników profesjonalnych stosowanych m.in. w konserwacji drewna oraz materiałów budowlanych. Oto podsumowanie akcji.

REKLAMA

Dłuższy termin na oświadczenie o korzystaniu z zamrożonej ceny prądu. Firmy z sektora MŚP będą miały czas do 30 czerwca 2026 r.
26 lis 2025

Rząd przyjął w środę [red. 26 listopada 2025 r.] projekt ustawy o przedłużeniu firmom z sektora MŚP do 30 czerwca 2026 r. czasu na złożenie swoim sprzedawcom energii elektrycznej, oświadczeń o korzystaniu z zamrożonych cen prądu w II połowie 2024 r.
6 nowych konkursów w programie FERS, m.in. równe traktowanie na rynku pracy i cyfryzacja edukacji. Dofinansowanie ponad 144,5 mln zł
25 lis 2025

6 nowych konkursów w programie FERS, m.in. równe traktowanie na rynku pracy i cyfryzacja edukacji - Komitet Monitorujący Program Fundusze Europejskie dla Rozwoju Społecznego podjął decyzje. Na projekty wpisujące się w ramy konkursowe przeznaczone zostanie dofinansowanie ponad 144,5 mln zł.
Zabawki są najczęstszą kategorią produktów zgłaszanych jako niebezpieczne. UE zaostrza przepisy. Mniej chemikaliów w składzie i cyfrowy paszport
26 lis 2025

Zabawki są najczęstszą kategorią produktów zgłaszanych jako niebezpieczne. W UE zaostrza się przepisy o bezpieczeństwie zabawek. Lista zakazanych w zabawkach chemikaliów się wydłuża. Dodatkowo Parlament Europejski wprowadza cyfrowy paszport ułatwiający kontrolę spełniania norm bezpieczeństwa przez zabawkę.
BCC Mixer ’25 – 25. edycja networkingowego spotkania przedsiębiorców już w ten czwartek
25 lis 2025

W najbliższy czwartek, 27 listopada 2025 roku w hotelu Warsaw Presidential Hotel rozpocznie się 25. edycja wydarzenia BCC Mixer, organizowanego przez Business Centre Club (BCC). BCC Mixer to jedno z większych ogólnopolskich wydarzeń networkingowych, które co roku gromadzi blisko 200 przedsiębiorców: prezesów, właścicieli firm, menedżerów oraz gości specjalnych.

REKLAMA

"Firma Dobrze Widziana" i medal Solidarności Społecznej – BCC wyróżnia tych, którzy realnie zmieniają świat
25 lis 2025

Zbliża się finał XVI edycji konkursu "Firma Dobrze Widziana" – ogólnopolskiego przedsięwzięcia Business Centre Club. W tym roku konkurs po raz pierwszy został połączony z wręczeniem Medalu Solidarności Społecznej – wyróżnienia przyznawanego osobom realnie zmieniającym rzeczywistość społeczną. Wśród tegorocznych laureatów znalazła się m.in. Anna Dymna.
Opłata mocowa i kogeneracyjna wystrzelą w 2026. Firmy zapłacą najwięcej od dekady
21 lis 2025

W 2026 roku rachunki za prąd zmienią się bardziej, niż większość odbiorców się spodziewa. To nie cena kWh odpowiada za podwyżki, lecz gwałtowny wzrost opłaty mocowej i kogeneracyjnej, które trafią na każdą fakturę od stycznia. Firmy zapłacą nawet o 55 proc. więcej, ale koszt odczują także gospodarstwa domowe. Sprawdzamy, dlaczego ceny rosną i kto zapłaci najwięcej.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA