Większość specjalistów ds. bezpieczeństwa IT wymienia stosowanie silnych, trudnych do złamania haseł jako jedną z podstawowych zasad cyberhigieny. Prawda jest jednak taka, że skuteczność tej formy zabezpieczeń z roku na rok maleje. Nie brakuje bowiem alternatywnych rozwiązań. Analitycy Gartnera przewidują, że do 2025 roku ponad połowa pracowników nie będzie korzystać z haseł.
Według Verizon Data Breach Investigations Report z 2023 roku, aż 74% wszystkich cybernaruszeń obejmował czynnik ludzki. W praktyce oznacza to. że ludzie zostali zaangażowani do niewłaściwego wykorzystania uprawnień lub skradziono im dane uwierzytelniające.
“Przyczyny wycieków danych bywają bardzo różne. Czasami jest to wina administratora, który niepoprawnie skonfigurował firewall, ale często błędów popełnianych przez pracowników, takich jak otwieranie e-maili nieznanego pochodzenia, czy stosowanie słabych haseł lub tych samych haseł i loginów dla różnych kont. Proste hasła są podatne na ataki brute-force, podczas których hakerzy korzystają z predefiniowanej listy popularnych słów i wyrażeń” – mówi Robert Dziemianko, Marketing Manager w G DATA Software.
Większość organizacji próbuje pójść na kompromis, starając zrównoważyć silne bezpieczeństwo z wygodą, ale zazwyczaj nie osiągają zamierzonych celów. Nie działają też skrajne opcje. Restrykcyjna polityka bezpieczeństwa z reguły frustruje pracowników, a tym samym zmniejsza ich produktywność, zaś obdarzenie ich dużą dozą zaufania przyczynia się do wzrostu ryzyka wycieku danych.
Znaczenie haseł słabnie w miarę jak powierzchnia cyberataków się rozszerza, a tak dzieje się w ostatnich latach za sprawą cyfryzacji, rosnącej popularności hybrydowego modelu pracy czy postępującej adaptacji usług chmurowych. Współczesne ataki, takie jak phishing, włamania oparte na poświadczeniach i przejęcia kont, bazują bardziej niż kiedykolwiek wcześniej na hasłach, co czyni je najbardziej wrażliwą częścią cyfrowego uwierzytelniania tożsamości.
Alternatywa dla hasła
Firmy poszukujące alternatywy dla haseł mogą skorzystać z różnych wariantów: biometrii (skanowanie tęczówki, twarzy, odcisków palców), powiadomień push, SMS-ów, kodów QR czy kluczy bezpieczeństwa USB, Bluetooth bądź w smartfonie. Niemniej wymienione metody wykorzystują bardzo zróżnicowane technologie takie jak WebAuthn, FIDO, FIDO2, Windows Hello, Touch ID czy Face ID.
Dla przeciętnego użytkownika komputera lub smartfona każda inna forma uwierzytelniania niż kod PIN, rozpoznawanie twarzy lub odcisku palca, jest trudna do zaakceptowania. Znaczna część ludzi nie zawraca sobie głowy kodami wysyłanymi za pośrednictwem SMS-ów, aplikacjami uwierzytelniającymi i nie chce wydawać pieniędzy na klucze zabezpieczające USB. Zresztą pokazują to wyniki badań “Cyberbezpieczeństwo w liczbach” przeprowadzonych przez firmę G DATA. Stosowanie uwierzytelniania składnikowego (2FA), poza bankowością elektroniczną, deklaruje jedynie połowa respondentów.
“Hasła wciąż cieszą się dużą popularnością, ponieważ są łatwe w użyciu i każdy rozumie, jak działają. Tymczasem większość alternatywnych form uwierzytelniania jest trudna do skonfigurowania. Wiele organizacji odstrasza kilkanaście różnych dostępnych metod. W związku z tym czekają , dopóki jeden lub dwa formaty nie staną się dominującymi standardami bez haseł” – tłumaczy Robert Dziemianko.
Passkey – lek na całe zło?
W ostatnim czasie coraz częściej słyszy się o nowej formie uwierzytelniania Passkey, czyli klucza uniwersalnego. Użytkownik danej aplikacji lub konta nie musi zapamiętywać i wpisywać haseł, lecz wykorzystuje specjalny klucz cyfrowy przechowywany na urządzeniu (komputerze, smartfonie, tablecie). Podczas tworzenia klucza dostępu strona internetowa lub aplikacja, generuje dwa fragmenty kodu. Jeden z nich przechowuje strona internetowa lub aplikacja, zaś drugi jest zapisywany na urządzeniu. W czasie logowania użytkownik potwierdza swoją tożsamość za pomocą skanowania twarzy, odcisku palca czy kodu PIN. W czasie odblokowywania urządzenia dwa fragmenty kodu komunikują się z sobą.
Jednak wciąż jest to bardzo świeża technologia i nie wszystko działa bezproblemowo. Oczekiwania klientów, standardy, a także wdrożenia dostawców znajdują się na różnych poziomach, a ich połączenie wymaga jeszcze nieco czasu.
Menedżer haseł w antywirusie
Jedna z podstawowych zasad bezpieczeństwa mówi o tym, aby nie korzystać z tych samych loginów i haseł dla różnych kont. Niestosowanie się do tej reguły prędzej czy później ściągnie na użytkownika kłopoty, bowiem wystarczy, że haker wejdzie w posiadanie jednego zestawu danych uwierzytelniających, automatycznie zyska dostęp do pozostałych kont. W najgorszym scenariuszu może to się skończyć utratą tożsamości cyfrowej.
Zapamiętanie skomplikowanych haseł do różnych usług czy serwisów internetowych jest jednak nie lada wyzwaniem. Nawet osoby o doskonałej pamięci mogą mieć z tym spore trudności. Tu z pomocą przychodzą tak zwane menedżery haseł, gromadzące wszystkie dane uwierzytelniające w jednym miejscu. Osoby poszukujące tych narzędzi mają do wyboru kilka opcji, a jedną z nich jest zakup oprogramowania antywirusowego z odpowiednim modułem. Użytkownik posiada wtedy dostęp do wszystkich haseł w jednym miejscu, a zatem może stosować najbardziej zawiłe sekwencje cyfr, liczb i znaków specjalnych i nie musi ich pamiętać. Oprogramowanie szyfruje wszystkie te dane i nie pozwala na dostęp do niego innym osobom. Menedżer pamięta wszystkie hasła używane na różnorodnych serwisach, a więc nie trzeba ich za każdym razem wpisywać. Są one automatycznie uzupełniane. Ponadto z poziomu systemu antywirusowego można sprawnie zarządzać hasłami używanymi na różnych portalach, kontach, w tym także w czasie logowania do bankowości internetowej.
