Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Globalny problem z MFA

04 październik 2022

Globalny problem z MFA
Tomasz Kowalski

Tomasz Kowalski

Większość przypadków naruszeń bezpieczeństwa wiąże się z wykorzystaniem skradzionych danych uwierzytelniających. Celem ataków są często banki. Do obrony wykorzystują m.in. wieloskładnikowe uwierzytelnianie, które jeszcze niedawno było dla nich jednym z głównych zaleceń cyberbezpieczeństwa.

W Polsce, jak podaje raport ZBP InfoDok, tylko w I kwartale 2022 roku oszuści podjęli 1915 prób kradzieży z wykorzystaniem przejętych danych osobowych, w sumie na kwotę 575 tys. zł. To średnio aż 21 wyłudzeń dziennie. Banki i instytucje finansowe są jednym z głównych wektorów takich ataków.

Według raportu The State of Authentication aż 80% z nich doznało przynajmniej jednego naruszenia danych w ciągu ostatnich 12 miesięcy, a phishing był najbardziej rozpowszechnionym zagrożeniem, stanowi 36% wszystkich incydentów. Jednym z powodów nasilających się zagrożeń tego typu jest niewystarczająca ochrona tożsamości użytkowników.

Światowy problem

Jeszcze kilka lat temu znana wszystkim technologia 2FA lub MFA (dwu- lub wieloskładnikowe uwierzytelnianie) uchodziła za jedną z najbardziej skutecznych metod ochrony użytkowników w sieci. Dziś jednak wyrafinowani intruzi znaleźli sposoby, aby również i te zabezpieczenia skutecznie obchodzić.

Globalnym wyzwaniem drugiej dekady dwudziestego pierwszego wieku pozostaje nie samo MFA, a wysoki poziom skomplikowania i różnorodności środowisk IT oraz implementacja w nich skutecznych metod wieloskładnikowego użytkowania.

Z tego powodu w wielu dużych organizacjach większość systemów i aplikacji albo nie jest zabezpieczona MFA, albo jest chroniona przestarzałymi metodami, takimi jak SMS czy kody TOTP, które nie bronią nas przed nowoczesnymi atakami typu phishing.

Tylko FIDO2

Według badania firmy HYPR Report: State of Authentication in the Finance Industry 2022, 32% pracowników banków z USA (200 osób ankietowa-nych), Wielkiej Brytanii (100 osób), Francji (100 osób) i Niemiec (100 osób) nadal korzysta z tradycyjnych i przestarzałych już metod MFA, takich jak SMS-y i hasła jednorazowe. 43% pytanych polega na menedżerach haseł, a 22% polega wyłącznie na nazwach użytkowników i hasłach.

I jeśli faktycznie kilka lat temu uwierzytelnianie wieloskładnikowe było de facto zaleceniem cyberbezpieczeństwa dla firm i banków, to dziś jedynym rozwiązaniem, w pełni odpornym na phishing oraz kradzież loginów i haseł, jest otwarty i darmowy standard uwierzytelniania FIDO2.

Pozwala on na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z czytnikiem linii papilarnych, stosowane w celu potwierdzenia tożsamości w sieci.

Niewykorzystane bezpieczeństwo

Zdanie specjalistów od bezpieczeństwa IT potwierdzają również osoby na co dzień pracujące w zbadanych przez HYPR instytucjach finansowych. Aż 99% ankietowanych osób przyznało, że metody uwierzytelniania stosowane w ich organizacjach wymagają unowocześnienia.

Taki proces modernizacji jednak nie jest aktualnie możliwy. Dlaczego? Ponieważ stoją mu na przeszkodzie m.in. problemy z posiadanymi przez firmy systemami informatycznymi (75%), w tym złożone nimi zarządzanie (33%) i trudności związane z integracją (27%).

Te wyniki badań dokładnie odzwierciedlają również polską rzeczywistość, bo faktycznie największy kłopot wciąż sprawia implementacja dwuskładnikowego uwierzytelniania.

Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Jeśli bank posiada w swojej infrastrukturze IT setki aplikacji, a tak jest w większości dużych organizacji, masowa implementacja na wszystkich programach jest praktycznie niewykonalna.

Efekt? Jedna z najlepszych metod uwierzytelniania, czyli stan-dard FIDO2 – choć zaprojektowany już w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w Internecie.

Rewolucja za darmo

Metoda FIDO2 zrewolucjonizowała podejście do bezpiecznego uwierzytelniania w sieci. FIDO2 to otwarty standard, dzięki któremu każda usługa w Internecie może zostać dziś zabezpieczona w pełni odpornym na phishing i kradzież haseł uwierzytelnianiem.

Jak obejść więc problem z implementacją MFA opartą na FIDO2 w skomplikowanych środowiskach IT? Jedyną drogą jest wyko-rzystanie dobrodziejstwa technologii, która umożliwi aktywację usług związanych z podniesieniem poziomu bezpieczeństwa w procesie uwierzytelniania użytkowników oraz autoryzacji kluczowych transakcji w dowolnej aplikacji web.

Wymyślone przez Secfense rozwiązanie User Access Security Broker buduje warstwę ochronną, następnie polityki bezpieczeństwa egzekwuje “w locie”, bez bezpośredniej ingerencji w chro-nione aplikacje. Technologia UASB została tak zaprojektowana, by w warunkach “zerowej” wiedzy o aplikacjach i środowisku informatycznym, które ma chronić, była zdolna nauczyć się go i zrozumieć procesy logowania użytkowników aplikacji.

Etap uczenia się, podczas którego UASB uruchamia sondę do docelowej aplikacji, rejestruje wzorce logowania użytkownika, którego konto ma być chronione uwierzytelnianiem FIDO2. W kolejnym kroku wzorce te są aktywowane i przy każdym następnym logowaniu użytkownik jest proszony o potwierdzenie swojej tożsamości. Spogląda w kamerę, skanuje swoją twarz lub przykłada palec, dokładnie tak samo, jak do tej pory logował się do swojej stacji roboczej.

Zero zaufania

Na rynku istnieje wiele rozwiązań z zakresu cyberbezpieczeństwa, które chronią przed różnymi wektorami ataków. Aktualnie jednak za najwygodniejsze i najskuteczniejsze uznaje się uwierzytelnianie bez hasła (passwordless authentication). Niestety, temat nadal jest często ignorowany w praktyce.

Na szczęście – jak mówią wyniki badania HYPR – większość respondentów wierzy, że bezhasłowe uwierzytelnianie jest najlepszą metodą ochrony. Aż 89% z nich twierdzi, że zwiększa stanowczo bezpieczeństwo i zadowolenie użytkowników. A czy właśnie nie o te wartości najbardziej nam wszystkim chodzi?

Pewne jest, że żadna sieć firmowa nie jest bezpiecznym zamkiem, do którego nie mają dostępu osoby z zewnątrz. Przeciwnie, rosnąca liczba aplikacji w chmurze, praca z domów i z niezabezpieczonych odpowiednio sieci sprawia, że każdą osobę, która pojawia się w naszej sieci, musimy traktować jak intruza.

Takie założenie to podstawa modelu Zero Trust, który odpowiednio obsługuje i wspiera pracę zdalną oraz zapewnia bezpieczeństwo ludzi, urządzeń, aplikacji niezależnie od miejsca.

Ale aby Zero Trust działał naprawdę, nie wystarczy wprowadzenie przypadkowego MFA tylko w najważniejszych systemach i aplikacjach. Warunkiem konie-cznym jest zabezpieczenie całej organizacji odpor-nym na phishing standardem FIDO i wdrożenie go globalnie, najlepiej w sprawny i zautomatyzowany sposób.

Tylko wtedy, kiedy na 100% wiemy, kto siedzi po drugiej stronie monitora, możemy być pewni, że organizacja chroniona jest w wystarczający sposób.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności