Uwierzytelnianie bez hasła, to metoda weryfikowania tożsamości użytkowników bez użycia haseł lub innych zapamiętanych sekretów.
Zamiast haseł, tożsamość można zweryfikować w oparciu o „składnik posiadania”, czyli obiekt jednoznacznie identyfikujący użytkownika (np. generator haseł jednorazowych, zarejestrowane urządzenie mobilne, token sprzętowy) lub „składnik nieodłączny” jak podpis biometryczny osoby (np. odcisk palca, twarz, siatkówka itp.). W przeciwieństwie do posiadania składników, uwierzytelnianie oparte na czymś, co użytkownik zna (hasło, fraza lub kod PIN) jest podatne na łatwą kradzież, udostępnianie przez użytkowników i wymaga ciągłego zarządzania oraz obsługi zarówno przez użytkowników, jak i menedżerów IT.
Jakie są zalety uwierzytelniania bez hasła?
- User Experience (UX): uwierzytelnianie bez hasła oznacza koniec zapamiętywanych przez użytkownika sekretów, usprawniając proces uwierzytelniania
- Lepsze bezpieczeństwo: Hasła kontrolowane przez użytkowników stanowią główną lukę, ponieważ użytkownicy ponownie używają haseł i mogą udostępniać je innym. Hasła są największym wektorem ataków i są odpowiedzialne za 81% naruszeń. Prowadzą także do ataków, takich jak Credential Stuffing, przejmowanie kont firmowych (CATO), Password Spraying i ataki typu brute force
- Redukcja całkowitego kosztu posiadania (TCO): hasła są drogie i wymagają ciągłej “konserwacji” przez personel IT. Usunięcie haseł zmniejszy liczbę zgłoszeń do pomocy technicznej i umożliwi działowi IT radzenie sobie z prawdziwymi problemami
- Kontrola i widoczność zysków IT: Wyłudzanie informacji, ponowne wykorzystywanie i udostępnianie to częste problemy, gdy polegamy na hasłach. Dzięki uwierzytelnianiu bez hasła, IT odzyskuje swój cel, jakim jest pełna widoczność nad zarządzaniem tożsamością i dostępem. Nie ma problemu phishingu, udostępniania ani ponownego wykorzystywania, użytkownik nie jest już “dziką kartą” w schemacie tożsamości organizacji.
Bezpieczeństwo systemów uwierzytelniania bezhasłowego zależy od dowodu(-ów) tożsamości wymaganego zamiast haseł i ich implementacji. Na przykład korzystanie z bezpiecznych powiadomień push na urządzenie mobilne posiadacza konta jest ogólnie uważane za bezpieczniejsze niż hasła. Kody SMS wysyłane na urządzenie mobilne posiadacza konta można uznać za mniej bezpieczne. SMS jest niepewnym kanałem komunikacji i istnieje wiele udokumentowanych ataków na systemy uwierzytelniania SMS.
Czemu zapobiega uwierzytelnianie bez hasła?
Password Spraying.
Co to jest Password Spraying? Password Spraying to atak polegający na próbie uzyskania dostępu do dużej liczby kont (nazw użytkowników) za pomocą kilku powszechnie używanych haseł. Jak zapobiegamy atakom typu Password Spraying? Password Spraying opiera się na stosowaniu powszechnych i ogólnych haseł – niestety jest to praktyka, która jest dziś szeroko rozpowszechniona.
Credential Stuffing.
Co to jest Credential Stuffing? Credential Stuffing to rodzaj cyberataku, w którym skradzione poświadczenia konta, zazwyczaj składające się z list nazw użytkowników i/lub adresów e-mail oraz odpowiadających im haseł, są wykorzystywane do uzyskania nieautoryzowanego dostępu do kont użytkowników. Za pomocą programów typu „account checker” hakerzy aktywują zautomatyzowane żądania logowania na dużą skalę, skierowane przeciwko wielu aplikacjom internetowym.
Spear Phishing.
Co to jest Spear Phishing? Ataki phishingowe to forma cyberataków, których celem jest skłonienie użytkownika do ujawnienia kompromitujących informacji. Jak sama nazwa wskazuje, Spear Phishing to ukierunkowany atak na konkretnego użytkownika lub grupę użytkowników na podstawie ich unikalnego profilu. Wiadomości typu Spear Phishing są dostosowane do konkretnych celów, aby przekonać ich, że komunikacja jest legalna. Zwykle odbywa się to poprzez pozyskiwanie danych osobowych ofiary, takich jak znajomi, miasto rodzinne, pracodawca. Mogą być pozyskane również dane typu: często odwiedzane miejsca lub to, co ostatnio kupiła w Internecie. Atakujący następnie przebierają się za zaufanego przyjaciela lub podmiot i próbują wydobyć poufne informacje. Zwykle za pośrednictwem poczty elektronicznej lub innych wiadomości online. Jak dotąd Spear Phishing jest najskuteczniejszą formą pozyskiwania danych uwierzytelniających i innych poufnych danych przez Internet, stanowiąc 91% wszystkich ataków.
Atak Brute Force i łamanie w trybie offline.
Co to jest atak Brute Force? Ataki typu Brute Force polegają na wielokrotnych próbach logowania przy użyciu każdej możliwej kombinacji liter, cyfr i znaków. Atakujący używający metody Brute Force zazwyczaj próbuje odgadnąć użytkownika, hasło administratora lub klucz skrótu hasła. Odgadnięcie krótkiego hasła może być stosunkowo proste, ale niekoniecznie tak jest w przypadku dłuższych haseł lub kluczy szyfrowania. Trudność ataków typu Brute Force rośnie wykładniczo im dłuższe jest hasło lub klucz.
Co to jest offline cracking? Łamanie haseł w trybie offline to próba wyodrębnienia jednego lub większej liczby haseł z pliku przechowywania haseł odzyskanego z systemu docelowego. Zazwyczaj ta forma łamania zabezpieczeń wymaga, aby osoba atakująca uzyskała już wysoki poziom dostępu do systemu w celu uzyskania dostępu do niezbędnego pliku. Gdy hakerzy uzyskają dostęp do przechowywanych haseł, mogą swobodnie poruszać się po szerokiej gamie kont sieciowych.
Ataki z wykorzystaniem Tablic Tęczowych.
Co to jest atak wykorzystaniem Tablic Tęczowych? Atak Rainbow Table ma na celu odzyskanie haseł z ich skrótów kryptograficznych. Są to ogromne zestawy wstępnie obliczonych tabel wypełnionych wartościami skrótu, które są wstępnie dopasowane do możliwych haseł w postaci zwykłego tekstu. Właściwe zastosowanie Rainbow Table może umożliwić hakerowi łamanie haseł o stosunkowo dużej złożoności. Ataki Rainbow mogą być skuteczne tylko w przypadku kont, których głównym składnikiem są hasła. Gdy hasła znikną, najbardziej wyrafinowana Rainbow Table jest bezużyteczna.
Inżynieria społeczna.
Co to jest inżynieria społeczna?Social Engineering obejmuje bardzo szeroki zakres ataków, za pomocą których cyberprzestępcy manipulują osobami w celu ujawnienia danych logowania. Platformy mediów społecznościowych często stanowią idealne miejsce dla hakerów, aby pod przykrywką dotrzeć do potencjalnych ofiar i wydobyć informacje. Niektóre metody socjotechniki nawet nie wymagają od atakujących bezpośredniego kontaktu z ofiarami. Przestępcy mogą udać się bezpośrednio do dostawcy usług użytkownika, takiego jak firma telefoniczna lub internetowa. Mogą wtedy oszukać przedstawiciela, aby dostarczył nowe hasła na wybrany przez siebie telefon lub urządzenie. Bez względu na to, jaką metodę zastosują hakerzy, celem każdego ataku socjotechnicznego jest wydobycie danych logowania do konta ofiary. Eliminując dane uwierzytelniające, nie ma już celu dla kampanii socjotechnicznych.
Złośliwe oprogramowanie – keylogger.
Co to jest złośliwe oprogramowanie – keylogger? Atak Keylogger obejmuje nielegalne użycie programu rejestrującego naciśnięcia klawiszy w celu rejestrowania i przechwytywania haseł. Hakerzy mogą zainfekować komputer za pomocą keyloggera, umieszczając go na legalnych stronach internetowych lub w wiadomościach phishingowych. Pozornie nieszkodliwa treść strony internetowej lub wiadomości zawiera polecenia pobrania pliku keyloggera, który użytkownik może aktywować jednym kliknięciem. Nawet po pomyślnym nakłonieniu użytkownika do pobrania keyloggera hakerzy nadal potrzebują, aby ofiara wpisała swoje hasła, aby można je było zarejestrować. Jeśli hasła nie zostaną wprowadzone, keylogger nie zapewni atakującemu dostępu do kont.
Shoulder Surfing.
Czym jest Shoulder Surfing? Surfing przez ramię, to po prostu kradzież danych uwierzytelniających użytkownika poprzez dosłowne zaglądanie mu przez ramię, gdy je wpisuje. Choć może się to wydawać zbyt prostą metodą, badania wykazały, że “surfowanie” przez ramię jest często udane. Każdy „Shoulder Surfer” stara się zidentyfikować hasła użytkownika podczas wpisywania ich na urządzeniu. Gdy użytkownicy nie wprowadzają już haseł, nie są już ujawniane żadne informacje, które potencjalnie mogłyby dać podglądającemu hakerowi nielegalny dostęp.
Przejęcie konta korporacyjnego (CATO).
Co to jest przejęcie konta korporacyjnego (CATO). Przejęcie konta firmowego ma miejsce, gdy osobie atakującej udaje się uzyskać nieautoryzowany dostęp do legalnego konta firmowego. Kontrola konta jest następnie wykorzystywana do szkodliwych działań, takich jak inicjowanie nieautiryzowanej płatności, autoryzacja przelewu lub kradzież danych wrażliwych.
Powyższa lista technik łamania schematów uwierzytelniania opartych na hasłach to tylko niewielka próbka zagrożeń, jakie stwarzają hasła. Jest to przestarzała metoda uwierzytelniania, która nadal jest metodą wybieraną dla większości aplikacji.
JAK DZIAŁA UWIERZYTELNIANIE BEZ HASŁA?
Uwierzytelnianie bez hasła to dowolna metoda weryfikacji tożsamości użytkownika, która nie wymaga od użytkownika podania hasła.
Zamiast haseł, dowód tożsamości można przeprowadzić na podstawie posiadania czegoś, co jednoznacznie identyfikuje użytkownika. Może to być np. generator haseł jednorazowych, zarejestrowanego urządzenia mobilnego lub tokena sprzętowego. Dowód tożsamości można też przeprowadzić na podstawie podpisu biometrycznego użytkownika (np. odcisk palca, twarz, siatkówki itp.). Możliwe jest również uwierzytelnianie w oparciu o coś, co użytkownik wie (np. uwierzytelnianie oparte na wiedzy), o ile to coś nie jest hasłem.
Alternatywy haseł dostępne obecnie na rynku obejmują dość szerokie spektrum.
Te typy systemów obejmują:
- Tokeny programowe
- Biometria
- Kody dostarczane przez SMS
- Sprzętowe urządzenia uwierzytelniające (tokeny „twarde”)
Chociaż wszystkie te systemy oferują przewagę w zakresie bezpieczeństwa w stosunku do haseł, wykazano, że każdy z nich ma poważne luki. Z punktu widzenia bezpieczeństwa najsilniejsze rozwiązania bez hasła składają się z wielokanałowych i z osobnym kanałem mechanizmów uwierzytelniania.
CZY UWIERZYTELNIANIE BEZ HASŁA JEST BEZPIECZNIEJSZE NIŻ UWIERZYTELNIANIE ZA POMOCĄ HASŁA?
Bezpieczeństwo uwierzytelniania bezhasłowego zależy od sposobu jego wdrożenia i rodzaju wdrożonego dowodu tożsamości. Na przykład korzystanie z bezpiecznych powiadomień push na urządzenie mobilne posiadacza konta jest ogólnie uważane za bezpieczniejsze niż hasła. Kody SMS wysyłane na urządzenie mobilne posiadacza konta można uznać za mniej bezpieczne. SMS jest niezabezpieczonym kanałem komunikacji i istnieje wiele udokumentowanych ataków na systemy uwierzytelniania SMS.
CZY UWIERZYTELNIANIE BEZ HASŁA JEST BEZPIECZNIEJSZE NIŻ MFA?
Rozwiązania uwierzytelniania bez hasła mogą obejmować wiele składników uwierzytelniania i dlatego są uważane za uwierzytelnianie wieloskładnikowe (MFA). Na przykład uwierzytelnianie użytkowników za pomocą bezpiecznego powiadomienia push do aplikacji na zarejestrowanym urządzeniu mobilnym. Urządzenie dodatkowo jest również chronione przez uwierzytelnianie odciskiem palca, jest przykładem tego, jak uwierzytelnianie bez hasła może być również MFA.
JAK DZIAŁA UWIERZYTELNIANIE BEZ HASŁA?
To, co sprawia, że platformy bez hasła są wyjątkowe, to fakt, że dane uwierzytelniające nigdy nie są ustalane w systemie. Za każdym razem, gdy użytkownik wysyła żądanie dostępu, musi zostać wygenerowana nowa wiadomość uwierzytelniająca.
Dzieje się tak na przykład, gdy system wyśle Ci link potwierdzający (“magiczny” link) na Twój adres e-mail. Kliknięcie na link wskazuje serwerowi, że użytkownik został zweryfikowany. Podobny proces zachodzi w przypadku haseł jednorazowych wysyłanych e-mailem lub SMS-em. Po wprowadzeniu kodu aplikacja potwierdza, że jest to ten, który został wygenerowany na krótko przed i dostarczony do Ciebie. Pozwala to na rozpoczęcie żądanej sesji.
CZY PRZEJŚCIE NA ROZWIĄZANIE BEZ HASŁA BĘDZIE KOSZTOWNE DLA MOJEJ ORGANIZACJI? CZY BEZPIECZNIEJSZE OZNACZA DROŻSZE?
Jednym z najczęściej niezrozumiałych punktów dotyczących rezygnacji z hasła jest koszt wdrożenia takiej platformy.
Dzieje się tak najczęściej, ponieważ użytkownicy patrzą na koszt rzeczywistej platformy bez porównywania jej z całkowitym kosztem (TCO) utrzymania schematu opartego na hasłach.
Prawda jest taka, że ogólnie systemy bez haseł mogą drastycznie obniżyć koszty IT w przedsiębiorstwie. Istnieje szerokie spektrum kosztów związanych z utrzymaniem uwierzytelniania opartego na hasłach. Obejmują one zarządzanie, ustawianie zasad i szyfrowanie haseł. Ponadto przejście na rozwiązania bez hasła oznacza eliminację zgłoszeń do działu pomocy technicznej i resetowania hasła.
CZY WDROŻENIE BĘDZIE WYMAGAŁO ZAANGAŻOWANIA IT? JEŚLI TAK, JAKIEGO RODZAJU PRACA SERWISOWA BĘDZIE WYMAGANA OD DZIAŁU IT?
Stopień zaangażowania działu IT w system uwierzytelniania bezhasłowego zależy od rodzaju wybranej platformy .
Rozwiązania lokalne zwykle wymagają sprzętu na miejscu i wyznaczonych serwerów. Oznacza to, że firma będzie odpowiedzialna za konserwację tych maszyn i ich naprawę, jeśli zajdzie taka potrzeba. Ponadto korzystanie z systemu na miejscu może nałożyć na dział IT firmy obowiązek usunięcia wszelkich usterek, które mogą wystąpić w samym systemie.
Z drugiej strony rozwiązania oferujące tożsamość jako usługę (IdaaS) mają własną architekturę wirtualną, eliminując potrzebę stosowania wewnętrznych serwerów. Część subskrypcji tych usług oznacza, że dostawca rozwiązania zajmie się usterkami i innymi aspektami związanymi z rozwiązywaniem problemów. Korzyści te będą oczywiście musiały zostać porównane z miesięcznymi lub rocznymi opłatami za subskrypcję oraz względami bezpieczeństwa.
CZY UWIERZYTELNIANIE BEZ HASŁA JEST PRZYJAZNE DLA UŻYTKOWNIKA? JAKIEGO RODZAJU ODMOWY NALEŻY SIĘ SPODZIEWAĆ?
Dla wielu firm przeszkodą w opuszczeniu systemu opartego na hasłach jest po prostu brak wiedzy.
Hasła istnieją od zawsze. Ludzie wiedzą, jak z nich korzystać. Menedżerowie często myślą, że przejście na nową platformę bez hasła poważnie wpłynie na wrażenia użytkownika i zakłóci pracę użytkowników.
W rzeczywistości przytłaczająca większość pracowników korporacji preferuje obecnie technologie bez haseł ze względu na łatwość obsługi, jaką zapewniają. Rozwiązania takie jak na przykład powiadomienia push rewolucjonizują uwierzytelnianie. Zapewniają nie tylko znaczny wzrost bezpieczeństwa, ale także odciążając użytkowników od ciężaru zapamiętywania i zabezpieczania haseł.
JAKIE JEST NAJSZYBSZE ROZWIĄZANIE BEZ HASŁA DO WDROŻENIA? (DLA 500 UŻYTKOWNIKÓW)
Ogromna popularność osobistych urządzeń inteligentnych sprawiła, że rozwiązania bez hasła są wysoce skalowalne, nawet dla pracowników dużych firm.
Najszybszymi platformami, na które może się przełączyć przedsiębiorstwo, będą te, które wykorzystują urządzenia mobilne pracowników i przekształcają je w uwierzytelniacze mobilne.
Metoda powiadomień push bez hasła wykorzystuje funkcję Phone-as-a-Token i obsługuje podejście Bring Your Own Device (BYOD). Okazało się ono opłacalne i lepiej obsługuje przypadki starszego oprogramowania i pracowników zdalnych.
Wysoki wskaźnik posiadania smartfonów w połączeniu z bezhasłowym interfejsem użytkownika (UX) ułatwia przyjęcie i zmniejsza koszty związane z hasłami. Dzięki temu bezhasłowe uwierzytelnianie spotyka się z łatwą decyzją dla specjalistów IT pod względem kosztów, wygody użytkownika i bezpieczeństwa.
CZY ROZWIĄZANIA BEZ HASŁA MOŻNA WDROŻYĆ W PRZEDSIĘBIORSTWIE HYBRYDOWYM (CLOUD/ON-PREMISES)?
Tak. Ze względu na wzrost integracji systemów zarządzania tożsamością lokalnie i w chmurze, wiele rozwiązań uwierzytelniania przystosowało się do tego modelu.
CZY UWIERZYTELNIANIE BEZ HASŁA JEST EGZEKWOWALNĄ POLITYKĄ FIRMY?
Korzystanie z metod uwierzytelniania bez hasła, takich jak biometria i rozpoznawanie twarzy, stało się normą na urządzeniach mobilnych. Niestety wiele organizacji wciąż ma trudności z wdrożeniem tej technologii w swoich sieciach korporacyjnych.
To, czy możesz wdrożyć uwierzytelnianie bez hasła w swojej sieci, zależy od infrastruktury, która je obsługuje. Na szczęście twórcy najbardziej znanych systemów operacyjnych i standardów uwierzytelniania uznają potrzebę zintegrowania opcji uwierzytelniania bez hasła ze swoim oprogramowaniem. Firma Microsoft ogłosiła niedawno obsługę logowania bez hasła zarówno w swoich produktach z systemem Windows, jak iw sieciach działających w usłudze Microsoft Active Directory. Użytkownicy będą mogli używać kluczy FIDO2 wyposażonych w skanery linii papilarnych lub skanery linii papilarnych zintegrowane z ich laptopami do logowania się do kont Microsoft i AD zamiast haseł.
Linux od kilku lat obsługuje również bezhasłowe logowanie SSH. Administratorzy sieci mogą skonfigurować swoje serwery tak, aby oprócz lub zamiast haseł używały kluczy oprogramowania.
Oznacza to, że oba systemy mogą wymuszać politykę, zgodnie z którą użytkownicy mogą logować się tylko za pomocą technologii uwierzytelniania bez hasła.
Obie usługi katalogowe w systemie Windows i Linux obsługują również uwierzytelnianie SAML, otwarty standard, który umożliwia administratorom sieci wdrożenie własnego mechanizmu uwierzytelniania. Oznacza to, że możesz zintegrować ze swoją siecią technologię uwierzytelniania osobnym kanałem opartą na urządzeniach mobilnych.
CZY MOGĘ UŻYWAĆ ROZWIĄZAŃ BEZ HASŁA Z MOIM OBECNYM SSO?
Uwierzytelnianie pojedynczego logowania (SSO) to dobry sposób na zmniejszenie powierzchni ataku związanego z uwierzytelnianiem, uproszczenie zarządzania hasłami i zapewnienie lepszego doświadczenia użytkownika. Pomysł polega na użyciu jednej usługi (Google, Microsoft Azure, Active Directory, Amazon AWS…) do logowania się na wiele kont.
Jednak wiele organizacji chciałoby również mieć możliwość zintegrowania wygody logowania pojedynczego z dodatkowym bezpieczeństwem uwierzytelniania bez hasła. Najbardziej znane technologie SSO są oparte na SAML, który jest elastyczny w technologii uwierzytelniania.
CZY BĘDĘ MÓGŁ ZASTĄPIĆ „KONTA USŁUGI” UWIERZYTELNIANIEM BEZ HASŁA?
Nie, w systemie Microsoft Windows konta usług to konta używane bezpośrednio do uruchamiania usług w tle. Wszystkie wersje systemu Windows są dostarczane z kilkoma domyślnymi kontami usług, takimi jak Usługa lokalna, Usługa sieciowa i System lokalny, które mają różne poziomy dostępu do zasobów lokalnych i sieciowych. Te konta usług są proste w konfiguracji i obsłudze, ale zazwyczaj są współużytkowane przez wiele aplikacji i usług i nie można nimi zarządzać na poziomie domeny.
Organizacje i użytkownicy, którzy chcą dostosować zabezpieczenia różnych usług i aplikacji, mogą korzystać z kont usług zarządzanych. Możesz jeszcze bardziej zwiększyć bezpieczeństwo i łatwość użytkowania zarządzanych kont usług, integrując technologię uwierzytelniania bez hasła z instalacją Active Directory (AD) . Zapewnia to elastyczność zarządzanych kont usług oraz wygodę uwierzytelniania bez hasła.
CZY UWIERZYTELNIANIE BEZ HASŁA JEST ZGODNE ZE STANDARDAMI?
W ostatnich latach organy regulacyjne zrozumiały i uznały słabości i zagrożenia bezpieczeństwa związane z przechowywaniem i używaniem haseł. Dlatego stale podnoszą poprzeczkę w zakresie minimalnych wymagań dotyczących haseł (długość, złożoność, szyfrowanie, cykle zmian) i sprawiają, że dodanie uwierzytelniania dwuskładnikowego w wielu ustawieniach jest obowiązkowe.
W niektórych sytuacjach, takich jak usługi finansowe, organ normalizacyjny wyraźnie wymaga wykorzystania danych biometrycznych jako jednego z czynników uwierzytelniania.
CZY MOGĘ WDROŻYĆ ROZWIĄZANIE BEZ HASŁA NA POZIOMIE SERWERA?
Zarówno Windows, jak i Linux obsługują uwierzytelnianie bez hasła. W aktualizacji 2018 do swojej usługi Active Directory LDAP firma Microsoft dodała natywną obsługę uwierzytelniania bez hasła za pomocą kluczy FIDO2. Oznacza to, że przy odpowiednich konfiguracjach na poziomie serwera użytkownicy AD mogą podejść do dowolnej stacji roboczej podłączonej do domeny i wprowadzić swój klucz, aby zalogować się na swoje konta bez wprowadzania zmian na poziomie komputera.
Linux ma również natywną obsługę kluczy oprogramowania, które mogą zastępować hasła. Gdy uwierzytelnianie bez hasła jest zaimplementowane na serwerze Linux, użytkownicy mogą zdalnie logować się do swoich konsol SSH, przedstawiając klucz oprogramowania zamiast wpisywać hasło.
Ponadto organizacje, które chcą korzystać z dedykowanych rozwiązań bezpieczeństwa, mogą korzystać z implementacji SAML technologii, która integruje się z odpowiednią technologią serwerową. Dzięki temu organizacje mogą korzystać z dodatkowych korzyści i bezpieczeństwa, jakie daje jednokrotne logowanie (SSO) i uwierzytelnianie mobilne w swoich sieciach.
