Dlaczego warto zapomnieć o hasłach

Hasła są najsłabszym elementem systemów bezpieczeństwa. Podatne na szeroki zakres ataków hakerskich nie zapewniają odpowiedniego zabezpieczenia. Mimo to wiele organizacji nadal uważa, że jest to najlepszy sposób ochrony i korzysta z tej metody uwierzytelniania użytkowników. Jednym z przełomowych momentów w zmianie postrzegania haseł był opublikowany w 2017 r. raport firmy Verizon dotyczący naruszeń danych („Data Breach Investigation Report”). W raporcie ujawniono, że 81 procent ataków hakerskich przeprowadzono przy wykorzystaniu skradzionych i/lub słabych haseł. Zwrócono wtedy uwagę, że hasła nie rozwiązują problemów związanych z bezpieczeństwem, ale paradoksalnie same je powodują. Od tego czasu wykorzystanie technologii uwierzytelniania bezhasłowego jest coraz większe. Organizacje na całym świecie wprowadzają nowoczesne uwierzytelnianie bez hasła z trzech głównych powodów: dla poprawy bezpieczeństwa, wygody użytkowników i obniżenia kosztów. Zdaniem analityków Gartnera trend wzrostowy utrzyma się i 60% dużych i globalnych przedsiębiorstw oraz 90% średniej wielkości wdroży do 2022 r. metody bezhasłowe w ponad 50% przypadków użycia (w 2018 r było to 5%).[1]

Czym jest uwierzytelnianie bez hasła?
Uwierzytelnianie bezhasłowe definiuje klasę rozwiązań uwierzytelniających, które weryfikują tożsamość użytkownika bez użycia hasła. Potwierdzenie tożsamości opiera się na innych czynnikach, które jednoznacznie identyfikują użytkownika. Może to być posiadanie „czegoś” unikalnie powiązanego z użytkownikiem (np. generator haseł jednorazowych, zarejestrowane urządzenie mobilne lub token sprzętowy) albo biometryczny podpis użytkownika (np. odcisk palca). Popularne obecnie metody uwierzytelniania bez hasła to m.in. kody jednorazowe, weryfikacja biometryczna czy tokeny sprzętowe. W przeszłości uwierzytelnianie bezhasłowe było często używane jako jedna z form uwierzytelniania wieloskładnikowego (ang. Multi-Factor Authentication, MFA). Używanie hasła razem z innymi metodami uwierzytelniania (np. hasło i dodatkowy token) sprawiało, że czynniki uwierzytelniania były trudniejsze do wyłudzenia, złamania lub zhakowania, a zatem MFA zapewniało wyższy poziom bezpieczeństwa. Obecnie możliwe jest użycie wielu czynników uwierzytelniania bez haseł, co pozwala wprowadzić w organizacji uwierzytelnianie wieloskładnikowe bezhasłowe. 

Na co należy zwrócić uwagę wybierając rozwiązanie do uwierzytelniania? 
Organizacje szukające nowych rozwiązań do uwierzytelniania użytkowników powinny zadać sobie kilka pytań jeszcze przed podjęciem decyzji o zakupie i wdrożeniu. Najważniejsze z nich to:

1. Czy rozwiązanie obsługuje wszystkie możliwe przypadki uwierzytelniania?
Najważniejszą kwestią jest to, czy wybrane rozwiązanie obsługuje pełen zakres przypadków uwierzytelniania użytkowników, jakie występują w organizacji. 
Typowe przypadki użycia uwierzytelniania w przedsiębiorstwach to: 
- logowanie do stacji roboczej - często najtrudniejszy dla wielu rozwiązań uwierzytelniania przypadek użycia, ponieważ wymaga integracji z systemami operacyjnymi i rozwiązaniami do zarządzania domenami sieciowymi;
- zdalny dostęp do sieci VPN - umożliwia pracownikom mobilnym i zdalnym pozostanie w kontakcie z organizacją;
- dostęp do aplikacji w chmurze – obecnie powszechny nawet dla najbardziej tradycyjnych przedsiębiorstw. Chociaż istnieją już standardy ułatwiające interoperacyjność między systemami uwierzytelniania przedsiębiorstwa i usługami w chmurze, nie wszystkie rozwiązania uwierzytelniające są w pełni przygotowane na pełne wsparcie dostępu do usług w chmurze.
- uwierzytelnianie offline – to pięta achillesowa wielu systemów uwierzytelniania, a w szczególności uwierzytelniania wieloskładnikowego (MFA). Dlatego też, gdy połączenie sieciowe i serwer uwierzytelniający nie są dostępne, wymagane są skomplikowane „obejścia”, które zapewnią użytkownikom możliwość uwierzytelniania na stacji roboczej i zasobach hostowanych lokalnie.

Jeżeli występują sytuacje, które nie mogą być obsługiwane przez jedno rozwiązanie uwierzytelniające, wtedy dostępna jest jedna z dwóch opcji: pozostawienie już istniejącego rozwiązanie do uwierzytelniania (zwykle jest to nazwa użytkownika i hasło) albo zastosowanie drugiego, dodatkowego rozwiązania uwierzytelniającego. Obie opcje są nie tylko frustrujące dla użytkowników przez konieczność posiadania dodatkowego czynnika uwierzytelniającego, ale stanowią duże zagrożenie dla bezpieczeństwa organizacji. Można to porównać do budowy muru obronnego wokół domu i pozostawienia w nim tylnego wejścia zabezpieczonego tylko kłódką. Podsumowując – nowoczesne rozwiązanie do uwierzytelniania musi być wszechstronne, aby móc obsługiwać różnorodne przypadki użycia uwierzytelniania. Wybranie rozwiązania punktowego, które dobrze sprawdzi się w jednej, konkretnej sytuacji uwierzytelniania, prawdopodobnie spowoduje konieczność wdrożenia wielu innych rozwiązań uwierzytelniających w organizacji, co będzie uciążliwe dla użytkowników i kosztowne dla organizacji.

2. Czy rozwiązanie do uwierzytelniania będzie działać z infrastrukturą IT organizacji? 
Przedsiębiorstwa przez lata wdrażają różnorodne systemy i aplikacje. Każde nowe rozwiązanie do uwierzytelniania powinno współpracować z istniejącą już infrastrukturą IT. Ponadto wiele przedsiębiorstw już wcześniej zainwestowało w rozwiązania do uwierzytelniania i raczej nie ma żadnych możliwości wdrożenia nowego rozwiązania zupełnie od podstaw. Podejście typu „usuń i wymień” jest zbyt kosztowne i problematyczne dla większości organizacji. Należy zatem oczekiwać, że nowoczesne rozwiązania uwierzytelniające powinny obsługiwać również starsze systemy i aplikacje oraz łatwą integrację z istniejącą infrastrukturą IT. Nowe rozwiązanie powinno zapewnić wsparcie dla istniejących katalogów użytkowników (np. Active Directory), bezproblemową pracę ze starszymi systemami oraz współdziałanie z istniejącymi rozwiązaniami uwierzytelniana. 

3. Czy rozwiązanie spełnia wymagania audytu i jest zgodne z regulacjami? 
Większość przedsiębiorstw podlega regulacjom i surowym wymaganiom w zakresie ochrony danych i uwierzytelniania użytkowników. Zgodność z przepisami i standardami branżowymi, takimi jak DSS, DFARS, HIPAA, SOX/GLBA, PSD2, RODO itp. jest istotną kwestią i często głównym powodem inwestycji w nowe rozwiązanie do uwierzytelniania użytkowników. Dlatego nowoczesne rozwiązanie powinno zapewnić zgodność ze wszystkimi obowiązującymi organizację przepisami i wymaganiami. 

Korzyści uwierzytelniania bezhasłowego
Decyzja o wprowadzeniu w organizacji uwierzytelniania bezhasłowego nie wymaga żadnych kompromisów ani rozważania za albo przeciw. Jest to pod każdym względem lepsze rozwiązanie od uwierzytelniania opartego na hasłach: zapewnia większe bezpieczeństwo, lepsze wrażenia użytkownika oraz jest tańsze w posiadaniu i obsłudze.
 

Najważniejsze korzyści uwierzytelniania bezhasłowego to:
- Poprawa komfortu pracy użytkownika (user experience)
Uwierzytelnianie bezhasłowe zapewnia lepszy komfort pracy użytkownika, ponieważ nie jest wymagane tutaj pamiętanie, przywoływanie i wpisywanie haseł. Oznacza to szybsze logowanie i mniej jego nieudanych prób. Hasła nie mogą też zostać zapomniane ani nie trzeba ich resetować (bo ich nie ma), co oznacza krótsze przestoje z powodu zgubionych lub zapomnianych haseł i mniej problemów związanych z ich odzyskiwaniem.
- Poprawa bezpieczeństwa
Zastąpienie haseł rozwiązaniem do uwierzytelniania bezhasłowego poprawia bezpieczeństwo. Brak haseł sprawia, że organizacja jest odporna na phishing i wyłudzanie informacji. Zapewnia również lepszą ochronę przed innymi formami popularnych (i często skutecznych) cyberataków, m.in. MITM, keylogging, credential stuffing (zapychanie poświadczeniami) czy password spraying.
- Oszczędności 
Uwierzytelnianie bez hasła jest tańsze w posiadaniu i obsłudze. Hasła wymagają kosztownego zarządzania i obsługi systemów zarządzania hasłami, aby umożliwić użytkownikom okresowe odświeżanie haseł i resetowanie ich. Hasła stanowią również znaczne obciążenie dla działów pomocy technicznej np. w przypadku konieczności pomocy w odzyskaniu zapomnianego przez użytkownika hasła. Dalsze oszczędności można uzyskać wyłączając programy zapobiegania phishingowi, które mają na celu edukację użytkowników i ochronę przed phishingiem. Dobrze zaprojektowane uwierzytelnianie bez hasła jest całkowicie odporne na phishing.

Jakie rozwiązanie wybrać 
Trudnością dla firm, które decydują się na wdrożenie uwierzytelniania bez hasła są często starsze systemy i aplikacje (nie zostały on zaprojektowane do pracy bez hasła). W takiej sytuacji przekłada się to często na wdrożenie uwierzytelniania bezhasłowego tylko w aplikacjach w chmurze, a także w nowszych systemach operacyjnych. Jednak pozostawienie haseł nawet tylko w niektórych systemach mija się z celem. Aby czerpać maksymalne korzyści z uwierzytelniania bezhasłowego, należy pozbyć się wszystkich haseł w organizacji. Ponadto ważny jest wybór takiej technologii, która pomoże wdrożyć uwierzytelnianie bezhasłowe w istniejącym i heterogenicznym środowisku IT oraz poradzi sobie ze wszystkimi przypadkami użycia uwierzytelniania. Pomyślne wdrożenie uwierzytelniania bezhasłowego wymaga zastosowania rozwiązania, które może działać we wszystkich systemach i aplikacjach, zapewniając uwierzytelnianie bez hasła tam, gdzie jest to możliwe. W przypadkach, gdzie nie można całkowite wyeliminowanie hasła, rozwiązanie takie pozwoli stworzyć dodatkowe środowisko zapewniające użytkownikowi wrażenie uwierzytelniania bezhasłowego. 

Jedną z najnowocześniejszych technologii uwierzytelniania bezhasłowego oferuje obecnie firma Secret Double Octopus, której produkty pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Rozwiązania Secret Double Octopus zapewniają każdej organizacji z dowolnie rozbudowaną infrastrukturą dostęp bez konieczności podawania hasła we wszystkich systemach biznesowych i aplikacjach, zarówno lokalnie, jak i w chmurze, online i offline. Integrują się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, co oznacza, że organizacje nie muszą rezygnować z rozwiązań IAM, z których już korzystają. Ponadto rozwiązania Secret Double Octopus spełniają wszystkie wymagania stawiane nowoczesnym rozwiązaniom do uwierzytelniania: są zgodne z metodą zerowego zaufana (Zero Trust), zapewniają wysoki poziom bezpieczeństwa, łatwą integrację i skalowalność oraz przyjazną dla użytkownika obsługę.

Każda organizacja wybierając rozwiązanie do uwierzytelniania powinna przeanalizować swoje potrzeby i dostępne na rynku technologie, a następnie wdrożyć takie rozwiązanie, które zapewnia najlepszą równowagę pomiędzy użytecznością, bezpieczeństwem i kosztami. Jedno jest pewne – powinno to być rozwiązanie do uwierzytelniania bezhasłowego. 
 

Tekst źródłowy: https://learn.g2.com/passwordless-authentication?utm_content=139591587&utm_medium=social&utm_source=linkedin&hss_channel=lcp-10259347

[1] https://www.gartner.com/smarterwithgartner/embrace-a-passwordless-approach-to-improve-security/