Komunikaty PR

Dlaczego warto zapomnieć o hasłach

2020-11-02  |  01:00

Hasła są najsłabszym elementem systemów bezpieczeństwa. Podatne na szeroki zakres ataków hakerskich nie zapewniają odpowiedniego zabezpieczenia. Mimo to wiele organizacji nadal uważa, że jest to najlepszy sposób ochrony i korzysta z tej metody uwierzytelniania użytkowników. Jednym z przełomowych momentów w zmianie postrzegania haseł był opublikowany w 2017 r. raport firmy Verizon dotyczący naruszeń danych („Data Breach Investigation Report”). W raporcie ujawniono, że 81 procent ataków hakerskich przeprowadzono przy wykorzystaniu skradzionych i/lub słabych haseł. Zwrócono wtedy uwagę, że hasła nie rozwiązują problemów związanych z bezpieczeństwem, ale paradoksalnie same je powodują. Od tego czasu wykorzystanie technologii uwierzytelniania bezhasłowego jest coraz większe. Organizacje na całym świecie wprowadzają nowoczesne uwierzytelnianie bez hasła z trzech głównych powodów: dla poprawy bezpieczeństwa, wygody użytkowników i obniżenia kosztów. Zdaniem analityków Gartnera trend wzrostowy utrzyma się i 60% dużych i globalnych przedsiębiorstw oraz 90% średniej wielkości wdroży do 2022 r. metody bezhasłowe w ponad 50% przypadków użycia (w 2018 r było to 5%).[1]

Czym jest uwierzytelnianie bez hasła?
Uwierzytelnianie bezhasłowe definiuje klasę rozwiązań uwierzytelniających, które weryfikują tożsamość użytkownika bez użycia hasła. Potwierdzenie tożsamości opiera się na innych czynnikach, które jednoznacznie identyfikują użytkownika. Może to być posiadanie „czegoś” unikalnie powiązanego z użytkownikiem (np. generator haseł jednorazowych, zarejestrowane urządzenie mobilne lub token sprzętowy) albo biometryczny podpis użytkownika (np. odcisk palca). Popularne obecnie metody uwierzytelniania bez hasła to m.in. kody jednorazowe, weryfikacja biometryczna czy tokeny sprzętowe. W przeszłości uwierzytelnianie bezhasłowe było często używane jako jedna z form uwierzytelniania wieloskładnikowego (ang. Multi-Factor Authentication, MFA). Używanie hasła razem z innymi metodami uwierzytelniania (np. hasło i dodatkowy token) sprawiało, że czynniki uwierzytelniania były trudniejsze do wyłudzenia, złamania lub zhakowania, a zatem MFA zapewniało wyższy poziom bezpieczeństwa. Obecnie możliwe jest użycie wielu czynników uwierzytelniania bez haseł, co pozwala wprowadzić w organizacji uwierzytelnianie wieloskładnikowe bezhasłowe. 

Na co należy zwrócić uwagę wybierając rozwiązanie do uwierzytelniania? 
Organizacje szukające nowych rozwiązań do uwierzytelniania użytkowników powinny zadać sobie kilka pytań jeszcze przed podjęciem decyzji o zakupie i wdrożeniu. Najważniejsze z nich to:

1. Czy rozwiązanie obsługuje wszystkie możliwe przypadki uwierzytelniania?
Najważniejszą kwestią jest to, czy wybrane rozwiązanie obsługuje pełen zakres przypadków uwierzytelniania użytkowników, jakie występują w organizacji. 
Typowe przypadki użycia uwierzytelniania w przedsiębiorstwach to: 
- logowanie do stacji roboczej
 - często najtrudniejszy dla wielu rozwiązań uwierzytelniania przypadek użycia, ponieważ wymaga integracji z systemami operacyjnymi i rozwiązaniami do zarządzania domenami sieciowymi;
zdalny dostęp do sieci VPN - umożliwia pracownikom mobilnym i zdalnym pozostanie w kontakcie z organizacją;
dostęp do aplikacji w chmurze – obecnie powszechny nawet dla najbardziej tradycyjnych przedsiębiorstw. Chociaż istnieją już standardy ułatwiające interoperacyjność między systemami uwierzytelniania przedsiębiorstwa i usługami w chmurze, nie wszystkie rozwiązania uwierzytelniające są w pełni przygotowane na pełne wsparcie dostępu do usług w chmurze.
uwierzytelnianie offline – to pięta achillesowa wielu systemów uwierzytelniania, a w szczególności uwierzytelniania wieloskładnikowego (MFA). Dlatego też, gdy połączenie sieciowe i serwer uwierzytelniający nie są dostępne, wymagane są skomplikowane „obejścia”, które zapewnią użytkownikom możliwość uwierzytelniania na stacji roboczej i zasobach hostowanych lokalnie.

Jeżeli występują sytuacje, które nie mogą być obsługiwane przez jedno rozwiązanie uwierzytelniające, wtedy dostępna jest jedna z dwóch opcji: pozostawienie już istniejącego rozwiązanie do uwierzytelniania (zwykle jest to nazwa użytkownika i hasło) albo zastosowanie drugiego, dodatkowego rozwiązania uwierzytelniającego. Obie opcje są nie tylko frustrujące dla użytkowników przez konieczność posiadania dodatkowego czynnika uwierzytelniającego, ale stanowią duże zagrożenie dla bezpieczeństwa organizacji. Można to porównać do budowy muru obronnego wokół domu i pozostawienia w nim tylnego wejścia zabezpieczonego tylko kłódką. Podsumowując – nowoczesne rozwiązanie do uwierzytelniania musi być wszechstronne, aby móc obsługiwać różnorodne przypadki użycia uwierzytelniania. Wybranie rozwiązania punktowego, które dobrze sprawdzi się w jednej, konkretnej sytuacji uwierzytelniania, prawdopodobnie spowoduje konieczność wdrożenia wielu innych rozwiązań uwierzytelniających w organizacji, co będzie uciążliwe dla użytkowników i kosztowne dla organizacji.

2. Czy rozwiązanie do uwierzytelniania będzie działać z infrastrukturą IT organizacji? 
Przedsiębiorstwa przez lata wdrażają różnorodne systemy i aplikacje. Każde nowe rozwiązanie do uwierzytelniania powinno współpracować z istniejącą już infrastrukturą IT. Ponadto wiele przedsiębiorstw już wcześniej zainwestowało w rozwiązania do uwierzytelniania i raczej nie ma żadnych możliwości wdrożenia nowego rozwiązania zupełnie od podstaw. Podejście typu „usuń i wymień” jest zbyt kosztowne i problematyczne dla większości organizacji. Należy zatem oczekiwać, że nowoczesne rozwiązania uwierzytelniające powinny obsługiwać również starsze systemy i aplikacje oraz łatwą integrację z istniejącą infrastrukturą IT. Nowe rozwiązanie powinno zapewnić wsparcie dla istniejących katalogów użytkowników (np. Active Directory), bezproblemową pracę ze starszymi systemami oraz współdziałanie z istniejącymi rozwiązaniami uwierzytelniana. 

3. Czy rozwiązanie spełnia wymagania audytu i jest zgodne z regulacjami? 
Większość przedsiębiorstw podlega regulacjom i surowym wymaganiom w zakresie ochrony danych i uwierzytelniania użytkowników. Zgodność z przepisami i standardami branżowymi, takimi jak DSS, DFARS, HIPAA, SOX/GLBA, PSD2, RODO itp. jest istotną kwestią i często głównym powodem inwestycji w nowe rozwiązanie do uwierzytelniania użytkowników. Dlatego nowoczesne rozwiązanie powinno zapewnić zgodność ze wszystkimi obowiązującymi organizację przepisami i wymaganiami. 

Korzyści uwierzytelniania bezhasłowego
Decyzja o wprowadzeniu w organizacji uwierzytelniania bezhasłowego nie wymaga żadnych kompromisów ani rozważania za albo przeciw. Jest to pod każdym względem lepsze rozwiązanie od uwierzytelniania opartego na hasłach: zapewnia większe bezpieczeństwo, lepsze wrażenia użytkownika oraz jest tańsze w posiadaniu i obsłudze.
 

Najważniejsze korzyści uwierzytelniania bezhasłowego to:
- Poprawa komfortu pracy użytkownika (user experience)
Uwierzytelnianie bezhasłowe zapewnia lepszy komfort pracy użytkownika, ponieważ nie jest wymagane tutaj pamiętanie, przywoływanie i wpisywanie haseł. Oznacza to szybsze logowanie i mniej jego nieudanych prób. Hasła nie mogą też zostać zapomniane ani nie trzeba ich resetować (bo ich nie ma), co oznacza krótsze przestoje z powodu zgubionych lub zapomnianych haseł i mniej problemów związanych z ich odzyskiwaniem.
- Poprawa bezpieczeństwa
Zastąpienie haseł rozwiązaniem do uwierzytelniania bezhasłowego poprawia bezpieczeństwo. Brak haseł sprawia, że organizacja jest odporna na phishing i wyłudzanie informacji. Zapewnia również lepszą ochronę przed innymi formami popularnych (i często skutecznych) cyberataków, m.in. MITM, keylogging, credential stuffing (zapychanie poświadczeniami) czy password spraying.
- Oszczędności 
Uwierzytelnianie bez hasła jest tańsze w posiadaniu i obsłudze. Hasła wymagają kosztownego zarządzania i obsługi systemów zarządzania hasłami, aby umożliwić użytkownikom okresowe odświeżanie haseł i resetowanie ich. Hasła stanowią również znaczne obciążenie dla działów pomocy technicznej np. w przypadku konieczności pomocy w odzyskaniu zapomnianego przez użytkownika hasła. Dalsze oszczędności można uzyskać wyłączając programy zapobiegania phishingowi, które mają na celu edukację użytkowników i ochronę przed phishingiem. Dobrze zaprojektowane uwierzytelnianie bez hasła jest całkowicie odporne na phishing.

Jakie rozwiązanie wybrać 
Trudnością dla firm, które decydują się na wdrożenie uwierzytelniania bez hasła są często starsze systemy i aplikacje (nie zostały on zaprojektowane do pracy bez hasła). W takiej sytuacji przekłada się to często na wdrożenie uwierzytelniania bezhasłowego tylko w aplikacjach w chmurze, a także w nowszych systemach operacyjnych. Jednak pozostawienie haseł nawet tylko w niektórych systemach mija się z celem. Aby czerpać maksymalne korzyści z uwierzytelniania bezhasłowego, należy pozbyć się wszystkich haseł w organizacji. Ponadto ważny jest wybór takiej technologii, która pomoże wdrożyć uwierzytelnianie bezhasłowe w istniejącym i heterogenicznym środowisku IT oraz poradzi sobie ze wszystkimi przypadkami użycia uwierzytelniania. Pomyślne wdrożenie uwierzytelniania bezhasłowego wymaga zastosowania rozwiązania, które może działać we wszystkich systemach i aplikacjach, zapewniając uwierzytelnianie bez hasła tam, gdzie jest to możliwe. W przypadkach, gdzie nie można całkowite wyeliminowanie hasła, rozwiązanie takie pozwoli stworzyć dodatkowe środowisko zapewniające użytkownikowi wrażenie uwierzytelniania bezhasłowego. 

Jedną z najnowocześniejszych technologii uwierzytelniania bezhasłowego oferuje obecnie firma Secret Double Octopus, której produkty pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Rozwiązania Secret Double Octopus zapewniają każdej organizacji z dowolnie rozbudowaną infrastrukturą dostęp bez konieczności podawania hasła we wszystkich systemach biznesowych i aplikacjach, zarówno lokalnie, jak i w chmurze, online i offline. Integrują się z innymi rozwiązaniami do zarządzania tożsamością i dostępem, co oznacza, że organizacje nie muszą rezygnować z rozwiązań IAM, z których już korzystają. Ponadto rozwiązania Secret Double Octopus spełniają wszystkie wymagania stawiane nowoczesnym rozwiązaniom do uwierzytelniania: są zgodne z metodą zerowego zaufana (Zero Trust), zapewniają wysoki poziom bezpieczeństwa, łatwą integrację i skalowalność oraz przyjazną dla użytkownika obsługę.

Każda organizacja wybierając rozwiązanie do uwierzytelniania powinna przeanalizować swoje potrzeby i dostępne na rynku technologie, a następnie wdrożyć takie rozwiązanie, które zapewnia najlepszą równowagę pomiędzy użytecznością, bezpieczeństwem i kosztami. Jedno jest pewne – powinno to być rozwiązanie do uwierzytelniania bezhasłowego. 
 

 

Tekst źródłowy: https://learn.g2.com/passwordless-authentication?utm_content=139591587&utm_medium=social&utm_source=linkedin&hss_channel=lcp-10259347

 

 


[1] https://www.gartner.com/smarterwithgartner/embrace-a-passwordless-approach-to-improve-security/

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
Technologie 5 najczęstszych mitów o pracy w IT. Sprawdź, jak jest naprawdę! Biuro prasowe
2024-12-23 | 08:00

5 najczęstszych mitów o pracy w IT. Sprawdź, jak jest naprawdę!

Praca w branży technologicznej jest obiektem wielu stereotypów, które czasami mogą odstraszać potencjalnych kandydatów. W rzeczywistości to różnorodna
Technologie realme prezentuje 14 Pro - smartfon zmieniający kolor pod wpływem zimna
2024-12-20 | 11:00

realme prezentuje 14 Pro - smartfon zmieniający kolor pod wpływem zimna

Seria realme 14 Pro wprowadza innowacyjną, wrażliwą na zimno technologię zmiany koloru, co jest pierwszym tego typu rozwiązaniem w branży smartfonów. Wykorzystuje ona zaawansowane
Technologie Świąteczna oferta EZVIZ: niezwykłe promocje na urządzenia smart home!
2024-12-20 | 01:00

Świąteczna oferta EZVIZ: niezwykłe promocje na urządzenia smart home!

To idealny moment, aby wyposażyć swój dom w najnowsze technologie i cieszyć się komfortem oraz bezpieczeństwem na najwyższym poziomie. Wśród prawdziwych, zakupowych

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Problemy społeczne

Przeciętny Polak spędza w sieci ponad trzy godziny dziennie. Tylko 11 proc. podejmuje próby ograniczenia tego czasu

Polacy średnio spędzają w internecie ponad trzy godziny dziennie. Jednocześnie, według badania na temat higieny cyfrowej, jedynie 14 proc. respondentów kontroluje swój czas ekranowy, a co piąty ogranicza liczbę powiadomień w telefonie czy komputerze. Nadmierne korzystanie z ekranów może wpływać na zaniedbywanie obowiązków i relacji z innymi, a także obniżenie nastroju i samooceny. Kampania Fundacji Orange „Nie przescrolluj życia” zwraca uwagę na potrzebę dbania o higienę cyfrową. Szczególnie okres świątecznego wypoczynku sprzyja takiej refleksji.

Prawo

Pediatrzy: Słodkie e-papierosy nie są przebadane. Państwo musi przejąć inicjatywę w sprawie kontroli ich jakości

Co trzeci uczeń pierwszą styczność z nikotyną miał w wieku 13 lat. Dla 70 proc. pierwszym w życiu wyrobem z nikotyną był e-papieros. Wśród uczniów używających obecnie nikotyny najwięcej, bo 80 proc., używa e-papierosów, najczęściej o słodkich smakach – wynika z badań CBOS. W dodatku z badań wynika, że zakaz sprzedaży takich produktów niepełnoletnim jest skutecznie omijany. Polskie Towarzystwo Pediatryczne, wspierane przez lekarzy innych specjalności, apeluje do premiera o wycofanie ze sprzedaży smakowych e-papierosów z nikotyną i bez niej. Zwłaszcza słodkie substancje smakowe dodawane do e-liquidów dla osiągnięcia atrakcyjnego smaku wciąż nie są wystarczająco przebadane  alarmują toksykolodzy.

Infrastruktura

Prąd z największej prywatnej inwestycji energetycznej w Polsce popłynie w 2027 roku. Polenergia dostała właśnie potężny zastrzyk finansowania

Polenergia S.A. i Bank Gospodarstwa Krajowego podpisały umowę pożyczki ze środków Krajowego Planu Odbudowy (KPO) na budowę morskich farm wiatrowych. Finansowanie wyniesie 750 mln zł i zostanie wykorzystane do budowy dwóch farm o łącznej mocy 1440 MW. Największa prywatna grupa energetyczna w Polsce realizuje ten projekt z norweskim Equinorem. Prace związane z budową fundamentów turbin na Bałtyku mają się rozpocząć w 2026 roku. Projekty offshorowe będą jednym z filarów nowej strategii Polenergii, nad którą spółka właśnie pracuje.

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.