Zabezpečenie založené na autentifikácii je kritickou súčasťou zabezpečenia údajov, ale už nejaký čas sa zdá, že jeho prístup sa pomaly prispôsobuje moderným potrebám zabezpečenia a mobility. Je čoraz jasnejšie, že heslá jednoducho stačiť nebudú a predstavitelia globálnej bezpečnosti sa chystajú priniesť revolúciu v tom, ako môžu firmy pristupovať k autentifikácii. V tomto článku načrtnem trendy v zabezpečení založenom na autentifikácii a sľubne sa pozriem na možnosti našej budúcnosti bez hesiel.
Listy, konferencie a ďalšie informácie o zaisťovacom fonde Q1 2020
Všeobecné trendy
Trendy smerujúce k autentifikácii bez hesla
Predtým sme sa podrobne zaoberali problémami okolo autentifikácie založenej na hesle. Nie je žiadnym tajomstvom, že zabezpečenie založené na autentifikácii sa rýchlo vzďaľuje od hesiel, vzhľadom na to, že správa Verizon 2017 Data Breach Investigations Report zistila, že 81% všetkých porušení súvisiacich s hackovaním využíva ukradnuté alebo slabé heslá.
Aj keď v nasledujúcich troch rokoch heslá určite nezaniknú úplne, spoločnosť Gartner predpovedá, že do roku 2022 môžeme očakávať, že 60% veľkých a globálnych podnikov a 90% stredných podnikov zavedie metódy bez hesla vo viac ako 50 percentách prípadov použitia. .
Tu je rekapitulácia odmietnutia hesiel:
- Nepohodlné: Všetko, čo predstavuje správnu hygienu hesiel, je vo svojej podstate užívateľsky nepriateľské. Zapamätať si jedinečné, zložité a dlhé heslá je namáhavé, najmä keď heslo vyžaduje takmer každá služba.
- Opätovné použitie hesla: Nepríjemnosť hesiel viedla k tomu, že sa šokujúcich 59% používateľov, ktorých dotazoval LastPass v správe o psychológii hesiel, priznalo, že opakovane používajú rovnaké heslo. Aj keď sú používatelia nútení pravidelne meniť svoje heslá, často jednoducho urobia len malé zmeny svojho existujúceho hesla, čo uľahčí ich uhádnutie po úniku všetkých predchádzajúcich poverení.
- Zdieľané znalosti: Používanie hesiel vyžaduje, aby boli heslá uložené v databáze. Aj keď sú heslá hašované a zaslané, môžu byť potenciálne dešifrované po prelomení databázy. Ak by sa majitelia dešifrovaných hesiel previnili v bode č.2, mnohé z ich ďalších účtov sú teraz ohrozené.
Prechod zo statického na dynamické overovanie
Rýchly prechod na prácu na diaľku spôsobený ochorením COVID-19 bude mať pravdepodobne trvalé dôsledky v nasledujúcich troch rokoch vzhľadom na to, že 77% zamestnancov, ktorí sa zúčastnili prieskumu Global Workplace Analytics, chce pokračovať v práci z domu aspoň raz týždenne po zmiernení pandémie. .
Nárast pracovníkov mimo pracoviska a dynamický charakter správy podnikovej mobility si vyžiada opatrenia adaptívnej viacfaktorovej autentifikácie (MFA), ktoré budú zohľadňovať pravidelné zmeny v používaní zariadenia, umiestnení a časoch prihlásenia. Statické formy autentifikácie, ako sú poverenia používateľského mena/hesla, sa jednoducho nedokážu prispôsobiť bezpečnostným výzvam, ktoré táto zvýšená mobilita predstavuje. Dynamická autentifikácia, ktorá využíva prihlasovacie údaje, ktoré nemožno opakovane použiť ani zdieľať, bude nevyhnutnou adaptáciou pre budúcnosť zabezpečenia založeného na autentifikácii.
Znížená závislosť na SMS pri viacfaktorovom overení (MFA)
Jednorazové heslá odoslané prostredníctvom textových správ SMS sú už nejaký čas bežnou metódou viacfaktorovej autentifikácie (MFA). Bohužiaľ, SMS skutočne nebolo navrhnuté s ohľadom na bezpečnosť a autentifikáciu. Správy odoslané na mobilné telefóny je možné zachytiť prostredníctvom výmeny SIM karty a presmerovania textových správ, čo útočníkom umožní obísť pridanú vrstvu zabezpečenia, ktorú bežne poskytuje toto opatrenie MFA.
Adaptívne viacfaktorové overovanie
MFA je už dlho ponúkaný ako prostriedok na zvýšenie bezpečnosti hesiel. Typický MFA vyžaduje, aby používatelia poskytli dodatočné autentifikačné opatrenie, ktoré sa používa v spojení s ich heslom, napríklad SMS správu, aplikáciu autentifikátora alebo zodpovedanie otázky založenej na znalostiach.
Adaptive MFA ďalej rozširuje bezpečnosť a pohodlie štandardných MFA tým, že vyžaduje viac alebo menej autentifikačných opatrení v závislosti od súvisiacej úrovne rizika relácie prihlásenia. Úroveň rizika danej relácie je určená opatreniami, ako je použité zariadenie, čas prihlásenia, konkrétny používateľ a dokonca aj činnosti po prihlásení.
FIDO2, CTAP2, WebAuthn a univerzálny druhý faktor (U2F)
Aj keď sa U2F vyvíja od roku 2014, po zavedení nových štandardov stanovených v špecifikáciách Fast Identity Online (FIDO2) Client to Authenticator Protocol (CTAP) a Web Authentication API (WebAuthn) došlo k významnému zrýchleniu. Cieľom týchto sľubných štandardov bez hesla je skombinovať autentifikáciu bez použitia hesla prvého faktora bez hesla s inými opatreniami autentifikácie, aby sa prekonali zraniteľné miesta vyskytujúce sa v heslách.
Microsoft vo svojom dokumente o budúcnosti ochrany bez hesiel uvádza, ako spolupracovali s FIDO2 na vývoji podnikových foriem autentifikácie, ktoré môžu úplne nahradiť heslá. Jadro U2F využíva kryptografiu s verejným kľúčom pomocou hardvérového kľúča, ktorý obsahuje tajný a jedinečný kľúč, ktorý je zabudovaný priamo v zariadení. Požiadavka presunúť autentifikáciu tak, aby zahŕňala niečo, čo používateľ má (jednoducho niečo, čo vie, napríklad heslo alebo otázku založenú na znalostiach), zmierňuje riziká spojené s narušením prihlasovacích údajov, pretože účet zostáva nedostupný bez fyzického zariadenia.
FIDO2 poskytuje metódy autentifikácie nad rámec toho, čo používateľ vie (heslá, otázky založené na znalostiach, PIN) tým, že využíva to, čo používateľ má (hardvérové tokeny, biometria atď.). Odstúpením od štandardných používateľských mien a hesiel môže byť autentifikácia nielen pohodlnejšia pre používateľov, ale môže byť aj bezpečnejšia.
Zaujímavé vlastnosti:
- Kryptografia s verejným kľúčom: V kryptografii s verejným kľúčom je verejný kľúč všetko, čo je uložené v autentifikačnej databáze. Verejný kľúč je bez súkromného kľúča nepoužiteľný a súkromný kľúč je bezpečne uložený lokálne na zariadení, ktoré sa autentifikuje, čo robí databázy oveľa menej atraktívnym cieľom pre aktérov hrozieb.
- Klávesy na jedno použitie: Páry kľúčov používané v kryptografii s verejným kľúčom sa používajú iba pre konkrétny pôvod (napríklad pre webové stránky), ktoré chránia pred phishingovými útokmi a útokmi typu man-in-the-middle (MITM).
- Miestne poverenia: Prihlasovacie údaje na základe kódu PIN môžu zdanlivo fungovať podobne ako heslá, ale zložitosť kódu PIN nie je zdrojom zabezpečenia. PINy sú namiesto toho priamo viazané na fyzické zariadenie a uložené lokálne. Aj keď útočník pozná kód PIN, bez priameho fyzického prístupu k zariadeniu nemôže získať prístup k systému. Biometriu je možné použiť rovnakým spôsobom, aby sa užívateľom umožnilo prvotné prihlásenie do zariadenia predtým, ako je možné na získanie prístupu k danej službe použiť iné autentifikačné faktory.
Záver
Tieto nové možnosti zabezpečenia založené na autentifikácii môžu v konečnom dôsledku znamenať smrť hesiel, aj keď sa podniky aj spotrebitelia často hromadne adaptujú na nové ponuky. Aj keď viacfaktorová autentifikácia (MFA) na spotrebiteľskom trhu neustále rastie, žalostne 28% respondentov, ktorých sa v roku 2017 zúčastnilo prieskumu Duo, skutočne využilo pridanú vrstvu zabezpečenia poskytovanú spoločnosťou MFA. Aj keď sa tieto nové metódy autentifikácie uchytia, stále budú existovať používatelia a služby, ktorí požadujú prístupové heslá.