sobota, 19 września, 2020
BEZPIECZEŃSTWO 85% cyberataków jest następstwem wyłudzenia hasła - rozwiązanie: uwierzytelnianie wieloskładnikowe

85% cyberataków jest następstwem wyłudzenia hasła – rozwiązanie: uwierzytelnianie wieloskładnikowe

-

85% cyberataków jest następstwem wyłudzenia hasła – rozwiązanie: uwierzytelnianie wieloskładnikowe

Multi-factor authentication (MFA, uwierzytelnianie wieloskładnikowe) opiera się na przeświadczeniu, że kombinacja nazwy użytkownika i hasła jest niedostatecznym zabezpieczeniem w dynamicznie zmieniającej się cyberprzestrzeni. Potwierdzają to statystyki – według raportu Multi-factor Authentication i Cyberbezpieczeństwo przygotowanego przez Xopero Software ponad 85% ataków jest następstwem wyłudzenia hasła…

Popyt na uwierzytelnianie wieloskładnikowe napędzają rosnąca skala oszustw finansowych, ataki cybernetyczne, płatności mobilne, uwarunkowania prawne, polityka BYOD (Bring Your Own Device), czy powszechny już model pracy zdalnej.

Bezapelacyjnie przyczyniło się do tego RODO czy unijna dyrektywa PSD2, która wprowadziła wymóg silnego uwierzytelniania podczas logowania do usług płatniczych, wykonywania transakcji oraz przeprowadzania czynności za pomocą kanału mobilnego. W 2019 roku klienci banków zostali obligatoryjnie objęci dwuskładnikowym uwierzytelnieniem.

W efekcie rośnie wartość tej branży. Globalny rynek uwierzytelniania wieloskładnikowego w 2018 roku został wyceniony na 4,56 mld USD, z czego blisko 35% wartości wygenerowano w USA (1,57 mld $). Przewiduje się, że do 2025 roku ta wartość sięgnie 20,23 mld USD.

Wieloskładnikowe uwierzytelnianie – czyli jakie?

MFA obejmuje różne modele – uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), a także uwierzytelnianie trzy-, cztero- czy pięcioskładnikowe w zależności od ilości wymaganych warstw bezpieczeństwa, z czego najbardziej popularne jest wciąż to pierwsze – 2FA.

Uwierzytelnianie dwuskładnikowe powinniśmy uważać za standard, który należy stosować praktycznie w każdym systemie informatycznym, uwzględniając również pocztę email, czy seriwsy społecznościowe – mówi Grzegorz Bąk, Product Development Manager w Xopero Software – Jesteśmy tylko ludźmi i mamy tendencje do definiowania haseł, które będą dla nas łatwe do zapamiętania, a przez to możliwe do złamania metodą słownikową, czy łatwe do przewidzenia.

Składniki uwierzytelniające można sprowadzić do trzech grup: “coś co znasz (np. PIN)”, “coś co masz (np. token, aplikacja)”, “coś, czym jesteś (np. biometria)”.

Trendy wyznaczają również największe firmy technologiczne na świecie – w tym te należące do FIDO Alliance. To zrzeszenie wraz z W3C pracują nad tym, aby hasła odeszły do lamusa i zostały zastąpione przez WebAuthn API, które daje użytkownikom możliwość logowania się do usług i urządzeń za pomocą danych biometrycznych lub kluczy FIDO. Wprowadzony standard FIDO2 ma zapewnić bezpieczeństwo poprzez unikalne poświadczenia logowania dla każdej strony internetowej. Poufne dane nie opuszczają tym samym urządzenia i nie są przechowywane na serwerze co ma eliminować ryzyko phishingu, kradzieży i ataków typu replay. Zapewnia również prywatność poprzez unikatowość kluczy – nie można użyć ich do śledzenia użytkowników w różnych witrynach – czytamy w Raporcie Multi-factor Authentication i Cyberbezpieczeństwo.

Dane biometryczne – przyszłość czy przekleństwo?

Uwierzytelnianie biometryczne weryfikuje tożsamość użytkownika za pomocą unikalnych cech biologicznych, takich jak skan siatkówki/tęczówki, głos, cechy twarzy czy odciski palców. Ponieważ dane te są unikatowe dla każdego użytkownika, uwierzytelnianie biometryczne w teorii powinno być bezpieczniejsze niż tradycyjne formy uwierzytelniania wieloskładnikowego. Głównym problemem natomiast są konsekwencje ich wycieku – w przeciwieństwie do hasła, które możemy zmienić, nie pozbędziemy się przecież linii papilarnych czy siatkówki. Są to dane, które zostaną z nami w niezmienionej formie przez całe życie. Na tym stosunkowo wczesnym stadium rozwoju usług opartych na biometrii ciężko sobie wyobrazić cały kalejdoskop zagrożeń, który może wyniknąć w momencie ich wycieku. A wystarczy, że nastąpi on tylko raz…

Specjalistom IT wciąż brakuje informacji

Według badań ankietowych firmy Spiceworks, 50% specjalistów IT uważa, że trudniej jest zhakować dane biometryczne niż tradycyjne hasła tekstowe, ale tylko 23% sądzi, że ta procedura zastąpi hasła w ciągu najbliższych dwóch lat. 65% dostrzega brak przejrzystości w odniesieniu do luk wykrytych w systemach biometrycznych, a 63% zgłasza obawy w odniesieniu do prywatności danych gromadzonych przez dostawców. W efekcie blisko 60% specjalistów IT twierdzi, że do jednoznacznej oceny potrzebuje więcej informacji o tym, gdzie dostawcy technologii przechowują dane biometryczne.

Niemniej jednak, według prognoz Jupiter Research, wartość rynku uwierzytelniania biometrycznego wzrośnie z 429 mln dolarów w 2018 do 1,5 mld w 2023 r.

Uwierzytelnianie nowej generacji

Możemy spodziewać się, że w najbliższych latach będziemy odchodzić od haseł na rzecz uwierzytelniania nowej generacji (next-gen authentication) i idei passwordless, opierających się głównie na wykorzystaniu tokenów (w tym programowych – aplikacji na smartfony i laptopy) oraz kluczy kryptograficznych z zastosowaniem biometrii.

– Osoby i firmy, dla których bezpieczeństwo danych jest krytyczne, zaopatrywać się będą w klucze kryptograficzne, których gama w 2020 dalej rośnie – twierdzi Antoni Sikora, Head of Growth w Secfense – Do firm takich jak Yubico czy Feitian dołączył między innymi Google ze swoim kluczem Google Titan. Dziennikarze, influencerzy, politycy, osoby zarządzające na wysokim szczeblu – wszyscy oni w najbliższym czasie powinni sięgnąć po dwuskładnikowe uwierzytelnienie oparte na kryptografii.

Passwordless authentication z kolei eliminuje problem używania…słabych i powtarzanych haseł. Niweluje również konieczność ich zapamiętywania i wpisywania oraz powoduje lepszą i sprawniejszą obsługę klienta. Z punktu widzenia organizacji – ogranicza potrzebę przechowywania haseł, co prowadzi do zwiększenia bezpieczeństwa, redukcji liczby naruszeń i obniżenia kosztów pomocy technicznej.

NAJNOWSZE ARTYKUŁY

POLECAMY

forex

Wpływ epidemii Covid-19 na gospodarkę – komentarz Grzegorza Maliszewskiego

0
W tym tygodniu publikowane będą kolejne dane z gospodarek rozwiniętych, wskazujących na skalę załamania koniunktury w następstwie epidemii koronawirusa. W tym kontekście istotne będą wskaźniki koniunktury w USA i strefie euro. Oczekiwać można dalszego...
2

W II kwartale globalny PKB może spaść nawet o 15 proc. w ujęciu rocznym....

0
W marcu wskaźnik PMI – łącznie dla przemysłu i usług – w strefie euro odnotował rekordowy spadek do 31,4 pkt, podczas gdy jeszcze w lutym wyniósł 51,6 pkt. Dane te obrazują nastroje osób odpowiedzialnych za zakupy w firmach, co...
rozwoj

Tarcza Antykryzysowa: przykłady działań polityki podatkowej w innych państwach

0
Doświadczenia z kryzysu z 2008 roku pokazały, że instrumenty podatkowe mają istotną rolę w łagodzeniu skutków spowolnienia gospodarczego. Aktualne działania innych państw pozwalają stwierdzić, że polityka podatkowa ma i będzie mieć istotne znaczenie w...