Coraz częściej zdarza się, że do systemów różnych organizacji – firm czy urzędów – zamiast osoby uprawnionej dostaje się złodziej, który ukradł cyfrową tożsamość. Stale też dochodzą do nas wieści o wycieku ważnych i poufnych danych ze skrzynek e-mail czy niezabezpieczonych odpowiednio aplikacji. Przyczyną jest brak edukacji pracowników oraz stosowanie hasła jako jedynego elementu zabezpieczania i potwierdzania tożsamości w Internecie. Jak słabość haseł wykorzystują przestępcy? Jak firmy i ich pracownicy mogą się przed tym obronić?
Jedno jest pewne – wszyscy, a szczególnie pracownicy banków, firm posiadających unikalne know-how, ale również osoby piastujące odpowiedzialne stanowiska państwowe, powinni natychmiast zrezygnować z hasła jako jedynego elementu zabezpieczania i potwierdzania tożsamości online. To ono bowiem – niestety bardzo często słabe, przewidywalne i używane w takiej samej formie w wielu serwisach – narażone jest na łatwą kradzież, która w następstwie doprowadzić może do trudnych do rozwiązania kryzysów. Na przykład wycieków poufnych danych klientów, wyników specjalistycznych badań czy bankructw spowodowanych żądaniami zapłacenia wysokich kwot okupu (ataki ransomware).
Nie ma mocnych na phishing
Najczęściej cyberprzestępcy kradną tożsamość użytkowników, wykorzystując do tego maile phishingowe. Stosując socjotechnikę, sprytnie podszywają się pod partnerów biznesowych lub stałych współpracowników. I tak, jest to prawdą, że w fałszywe maile klikają nawet ci najostrożniejsi. W pośpiechu, podczas pracy zdalnej, na przypadkowych urządzeniach i w różnych sieciach tracą wcześniej wypracowaną czujność. Wtedy – często bez świadomości właściciela – loginy i hasła wpadają w ręce niepowołanych osób, które z ich pomocą kradną firmowe dane. Aby złodzieje nie mogli zrobić ze skradzionych informacji użytku, każdy powinien podczas logowania stosować tzw. dodatkowy składnik, którego zadaniem jest potwierdzenie uprawnień i tożsamości osoby siedzącej po drugiej stronie komputera.
MFA… tylko globalnie
Używanie dodatkowego składnika, czyli wieloskładnikowe uwierzytelnianie (MFA – Multi-factor authentication) uznawane jest dziś za najskuteczniejszą ochronę przed wyłudzaniem informacji. Trzeba jednak pamiętać, że tylko właściwie zaprojektowana ochrona MFA, czyli ustawiona nie tylko w najważniejszych systemach i aplikacjach, ale globalnie – potrafi ochronić przed m.in. kradzieżą sesji zalogowanych użytkowników, phishingiem i atakami man-in-the-middle.
Niestety, dla wielu firm z rozbudowaną infrastrukturą kompleksowe wdrożenie MFA jest zbyt trudne, za drogie, a najczęściej po prostu niemożliwe do zrealizowania. Powstały jednak metody, które pozwalają zaimplementować silne uwierzytelnianie na dużą skalę. Jakie? Takie, które koncentrują się na modelu zabezpieczeń Zero Trust (zakładającym stałe ryzyko naruszeń bezpieczeństwa) oraz wykorzystują technologie w pełni automatyzujące proces adopcji silnego uwierzytelniania (np. User Access Security Broker). Co istotne, robią to na dowolnej liczbie aplikacji bez żadnej ingerencji w ich kod, nie wymagając zaawansowanej obsługi informatycznej i serwisu. Mogą też być dowolnie skalowane, np. w razie rozrostu przedsiębiorstwa.
Przyszłość bez haseł
Szerokie zabezpieczanie wieloskładnikowe użytkowników powinno już dziś być standardem w firmach i instytucjach, a także w każdym indywidualnym przypadku – na kontach wpuszczających nas do aplikacji czy skrzynek e-mail. W przyszłości jednak – miejmy nadzieję niedalekiej – w organizacjach normą będzie logowanie bez wykorzystania hasła, czyli polityka Passwordless. O co w tym chodzi?
Użytkownik nie musi się już martwić o zapamiętywanie, przechowywanie i strzeżenie swojego sekretu. Specjalny mechanizm eliminuje hasło, w jego miejsce wprowadzając bezpieczne i wygodne uwierzytelnianie wsparte kryptografią klucza publicznego. Zamiast hasła wybierany jest dowolny sposób silnego uwierzytelniania – można wpisać nadany indywidualnie dla konkretnego komputera PIN, użyć klucza kryptograficznego lub skorzystać z telefonu jako zewnętrznego autentykatora i pokazać do kamerki twarz lub użyć odcisku palca. Proste i znane większości z nas z codziennego życia, prawda? Już teraz przecież wielu z nas odblokowuje palcem lub twarzą telefon czy aplikację bankowości mobilnej. Części z nas weszło to w nawyk, dlatego jeśli ten schemat uda się przenieść do firm, znacznie podniesiony zostanie nie tylko poziom zabezpieczeń ich aplikacji, ale też wygoda pracowników, którzy będą logować się łatwiej i szybciej.
Aktualne warunki pracy i życia powodują, że stajemy się coraz łatwiejszym kąskiem dla intruzów, którzy tylko czekają na nasze potknięcie w sieci – kliknięcie phishingowego maila, słabe lub przewidywalne hasło lub zwyczajne roztargnienie. Każdy z nas może paść ofiarą złośliwego oprogramowania i utraty danych uwierzytelniających. Aby chronić firmy i instytucje, w strategiach bezpieczeństwa należy położyć nacisk nie na obrzeża organizacji, a na poziom użytkownika i zadbać o instalację wieloskładnikowego uwierzytelniania na wszystkich kontach pracowników, najlepiej eliminując przy tym zupełnie wykorzystanie hasła.
Tomasz Kowalski – współzałożyciel i CEO Secfense. Posiada ponad 20-letnie doświadczenie w sprzedaży technologii IT, brał udział w setkach wdrożeń sprzętu i oprogramowania w dużych i średnich firmach z sektora finansowego, telekomunikacyjnego, przemysłowego i wojskowego. Razem z Marcinem Szarym, współtworzą Secfense, firmę skupiającą się na masowej adopcji silnego uwierzytelniania w dużych organizacjach i dostosowaniu ich do rewolucji passwordless.