Po co komu „passwordless”, czyli logowanie bez hasła?

Coraz więcej usług w sieci – media społecznościowe, bankowość internetowa i mobilna czy poczta elektroniczna – oferuje możliwość zabezpieczania kont silnym uwierzytelnianiem. Dopóki jednak istnieją hasła, dopóty istnieć będą przestępcy, którzy będą je wykorzystywać do przeprowadzenia ataków. Czy jest więc sposób aby całkowicie z nich zrezygnować?

“Bezhasłowo”, czyli “passwordless” logujemy się na co dzień wiele razy, często nawet nie zdając sobie z tego sprawy. Każdy z nas przecież wciąż odblokowuje telefon – spoglądając na niego, przykładając kciuk lub szkicując wzorek na ekranie. To dużo wygodniejsza forma logowania niż wpisywanie hasła. Czy jednak ten aspekt jest głównym powodem, dla którego taka forma uwierzytelniania zyskuje na popularności?

Zdecydowanie nie. Hasła – nazywane również “współdzielonym sekretem” ze względu na to, że muszą być one przechowywane w bazach danych – to przekleństwo działów bezpieczeństwa. Są bowiem najłatwiejszym – do skradzenia lub odgadnięcia – elementem zabezpieczającym miliony programów na całym świecie. Głównym powodem – popartym również badaniami Cybersecurity Insiders –  przemawiającym za odejściem od stosowania hasła jest bezpieczeństwo.

Bezpieczniej bez hasła

Logowanie bez hasła przyjmuje najczęściej formę wieloskładnikowego uwierzytelniania. Co to znaczy? Mniej więcej tyle, że jedno hasło zastępowane jest wieloma, znacznie silniejszymi metodami uwierzytelniania. Logując się do smartfona, mamy ich aż kilka. Po pierwsze rozpoznanie twarzy czy kciuka działa tylko na jednym, konkretnym urządzeniu (w przeciwieństwie do haseł, które pozwalają dostać się do aplikacji z dowolnego urządzenia).

Po drugie telefony często zapamiętują lokację więc jeśli logowanie nastąpi z innej sieci, lub innej szerokości geograficznej, aplikacja może poprosić o ponowne uwierzytelnienie push lub wyśle jednorazowy kod SMS. Kamera, która nie rozpozna użytkownika, poprosi go o wstukanie kodu PIN.

Tylko w tym przypadku zastosowanie znalazło aż 5 różnych czynników logowania:

1. Czynnik obecności (użytkownik musi fizycznie być przed kamerą, aby zeskanować swoją twarz).
2. Czynnik wiedzy (użytkownik musi znać PIN).
3. Czynnik lokalizacji (użytkownik musi być w znanej urządzeniu geolokacji lub sieci).
4. Czynnik czasu (użytkownik ma określony czas na wpisanie kodu otrzymanego SMSem).
5. Czynnik posiadania (użytkownik musi posiadać smartfon, na który otrzyma kod SMS).

Od jeden do nieskończoności

Jeśli uwierzytelnianie bez haseł to znacznie lepsza, bezpieczniejsza i na dodatek znana od dawna forma uwierzytelniania, to czemu wciąż nie jest standardem na wszystkich urządzeniach i programach? Odpowiedź jak zwykle sprowadza się do zasobów, czyli czasu, pracy i kosztów. Tradycyjne podejście do wdrożenia silnego uwierzytelniania wymaga ingerowania w kod aplikacji. W poprzednim artykule pisaliśmy, że jeśli tylko możliwe jest rozwiązanie problemu bez ingerencji w kod źródłowy to, tym lepiej. Oszczędza się czas, fundusze i unika potencjalnych błędów lub problemów z integracją.

Polska firma Secfense zaproponowała niedawno podejście do integracji silnego uwierzytelniania oparte na modelu User Access Security Broker, w którym mechanizmy silnego uwierzytelniania dodawane są właśnie bez żadnej ingerencji w kod aplikacji. Pełna automatyzacja, a co za tym idzie, możliwość zaopatrzenia silnym uwierzytelnianiem nie jednej, ale tysięcy aplikacji otwiera firmom furtkę do przyszłości bez haseł.

Od czego zacząć budowę środowiska “passwordless”?

Pierwszy krok  polega zwykle na ujednoliceniu procesu uwierzytelniania. Aby organizacja mogła zacząć myśleć o zastąpieniu haseł innymi metodami, ważne jest, aby metody te dostępne były uniwersalnie, czyli wszędzie tam, gdzie do tej pory obowiązywało hasło. Jeśli tak się stanie, to całkowita rezygnacja z haseł jest faktycznie możliwa.

“Jeden z naszych klientów zdecydował się na wykorzystanie mechanizmów bezhasłowego logowania, które oferuje Windows Hello, również na innych aplikacjach” – mówi Tomasz Kowalski, CEO i współzałożyciel Secfense. “Tym sposobem użytkownicy – po biometrycznym zalogowaniu się do komputera – podobnie, przy wykorzystaniu skanu twarzy lub odcisku palca, uwierzytelniają się w swoich aplikacjach biurowych. W efekcie  cyberprzestępcy stracili możliwość przeprowadzenia ataku z wykorzystaniem skradzionego hasła. Dzięki Secfense UASB zostało ono po prostu wyeliminowane z procesu logowania” – dodaje.

Wprowadzenie do idei “passwordless”

Już za kilka tygodni, 20 kwietnia 2022 roku o godz. 11:00, odbędzie się webinar z przedstawicielami firmy Secfense, w którym zaprezentują oni podejście do zautomatyzowania procesu wdrożenia w organizacji rozwiązań bezhasłowych.

Podczas webinaru zobaczą państwo również jak:

• zabezpieczyć dowolną aplikację w 5 minut,
• ujednolicić proces uwierzytelniania w całej organizacji,
• wprowadzić firmę na ścieżkę do passwordless, czyli uwierzytelniania bez hasła.

Na bezpłatny webinar zarejestrować można się już dziś pod tym linkiem.