Passwordless: Viac zázrakov ako realita

Koncept „bezheslového“ overovania si získava významnú pozornosť priemyslu a médií. A z dobrého dôvodu. Náš digitálny život si vyžaduje neustále sa zvyšujúci počet online účtov a služieb, pričom podľa osvedčených postupov zabezpečenia každý z nich vyžaduje silné a jedinečné heslo, aby sa zaistilo, že údaje zostanú v bezpečí. Kto by nechcel jednoduchší spôsob?

To je predpoklad jednorazových hesiel (OTP), biometrických údajov, PIN kódov a iných metód overovania prezentovaných ako bezpečnosť bez hesla. Namiesto zapamätania si ťažkopádnych hesiel sa používatelia môžu autentifikovať pomocou niečoho, čo vlastnia, poznajú alebo čím sú. Niektoré príklady zahŕňajú smartfón, jednorazové heslo, hardvérový token alebo biometrický marker, ako je odtlačok prsta. Aj keď to na prvý pohľad znie lákavo, problémom je, že keď sa ponoríte hlbšie, tieto riešenia bez hesla sú stále závislé od hesiel.

Deje sa to dvoma hlavnými spôsobmi:

Riešenia bez hesla sa spoliehajú na heslá ako na zálohu

Ak máte Apple zariadení, je pravdepodobné, že ste niekedy narazili na problém s Touch ID. Existuje mnoho dôvodov, prečo môže overenie Touch ID zlyhať – nečistoty na tlačidle, poloha prstov používateľov alebo problémy s konfiguráciou systému, aby sme vymenovali len niektoré. Keď sa objavia tieto a ďalšie problémy, čo budete vyzvaní urobiť? Zadajte svoje heslo.

To znamená, že aj keď máte povolené Touch ID pre každú možnú aplikáciu a službu, bezpečnosť týchto účtov je skutočne taká dobrá, ako je vaše heslo. Hackeri môžu ignorovať Touch ID a prejsť priamo k útoku heslom.

Vzhľadom na nekontrolovateľný problém opätovného používania hesiel existuje veľká šanca, že poverenia mnohí ľudia používajú na svoje účely Apple zariadenia už boli vystavené. A ak bolo heslo odhalené, buďte si istí, že ho môžu získať všetci hackeri prostredníctvom temného webu.

Samozrejme, nejde o jedinečnú výzvu Apple. Keďže tieto vznikajúce riešenia autentifikácie sú relatívne nové, v dohľadnej budúcnosti budú potrebné náhradné prostriedky autentifikácie. A keď si uvedomíte, že táto sekundárna forma prihlásenia je vo všeobecnosti heslom, prísľub bez hesla zostáva nepolapiteľný.

Prihlasovacie údaje sa používajú na overenie systému na backende

Druhým faktorom, ktorý prispieva k fatamorgána bez hesla, je to, že na overenie systému v určitom bode bezpečnostného reťazca sú stále zvyčajne potrebné poverenia.

Napríklad, možno získate prístup do svojej kancelárie prostredníctvom hardvérového tokenu, ktorý je štandardne nastavený na váš jedinečný prístupový kód, ak/keď je token poškodený, alebo ho jednoducho zabudnete. Ale čo správca IT, ktorý sa prihlási do systému, aby analyzoval údaje? Ak používajú heslo bez doplňujúceho riešenia na zabezpečenie integrity svojich poverení, potom bezpečnosť systému stále závisí od zabezpečenia heslom.

Prečo heslá tak skoro nezmiznú

Dva príklady uvedené vyššie zdôrazňujú, že koncept bez hesla je z veľkej časti dym a zrkadlá – aspoň v tejto fáze hry. Tieto vznikajúce neviditeľné bezpečnostné stratégie majú niektoré ďalšie problémy s autentifikáciou, ktoré si budú vyžadovať, aby heslá zostali súčasťou autentifikačnej bezpečnosti v predvídateľnom čase.

Na rozdiel od toho sú heslá pre organizácie stále veľmi príťažlivé. Sú najdostupnejšou a škálovateľnou možnosťou autentifikácie, čo sťažuje ich výmenu. Neexistujú žiadne problémy s kompatibilitou s heslami, ktoré fungujú vo všetkých zariadeniach, verziách a operačných systémoch.

Toto nie je prípad mnohých vznikajúcich riešení bez hesla, ktoré budú vyžadovať, aby organizácie vyčlenili viac rozpočtu, ak chcú zvýšiť kompatibilitu. Ďalšou výhodou spoliehania sa na heslo je, že je buď správne, alebo nie. Naproti tomu niektoré možnosti bez hesla sa spoliehajú na pravdepodobnostné rozhodovanie, kde je zabudovaná miera chyby.

Úloha rôznych a viacerých vrstiev autentifikácie

Podľa Erica Hallera, EVP a generálneho riaditeľa Identity, Fraud a DataLabs spoločnosti Experian, „spotrebitelia chcú byť digitálne rozpoznaní bez ďalších krokov na identifikáciu seba samého… sú otvorení praktickejším riešeniam v dnešnej digitálnej ére.“ Zo strany spotrebiteľov môže existovať ochota, ale pravdou je, že neexistuje jediné, efektívne riešenie pre bezpečnú autentifikáciu. Tieto neviditeľné bezpečnostné stratégie majú svoje miesto, ale iba ako súčasť širšieho prístupu k kybernetickej bezpečnosti, v ktorom sú nasadené viaceré vrstvy autentifikácie. To nás privádza späť k heslám.

Zabezpečenie vrstvy hesiel

Ako už bolo spomenuté vyššie, pre ľudí je neuveriteľne bežné, že si vytvárajú jednoduché, ľahko zapamätateľné heslá, ktoré potom opakovane používajú vo viacerých účtoch a službách. Deväťdesiatjeden percent respondentov v jednom prieskume pripúšťa, že to prináša množstvo bezpečnostných obáv, no 59 % pripúšťa, že to aj tak robí. Je nereálne očakávať, že sa ľudské správanie zmení, najmä v postpandemickom svete, kde máme viac digitálnych interakcií v našom osobnom a pracovnom živote ako kedykoľvek predtým. Čo teda môžu organizácie urobiť, aby zabezpečili bezpečnosť hesiel?

Dôležitosť skríningu pre ohrozené poverenia

Keďže k narušeniu údajov dochádza v reálnom čase, jediným prístupom je pri každom prihlásení preveriť heslá so živou databázou kompromitovaných poverení. Či už sa heslá používajú ako primárny prostriedok autentifikácie alebo ako záloha v prípade zlyhania neviditeľnej bezpečnostnej stratégie, je dôležité, aby spoločnosti neustále monitorovali používanie odhalených poverení. Dynamické riešenie skríningu ohrozených poverení spoločnosti Enzoic umožňuje organizáciám automatizovať tento proces, čím uvoľňuje zdroje, aby sa mohli sústrediť na iné oblasti kybernetickej bezpečnosti, pričom je zabezpečená ochrana na úrovni hesiel.

Neverte humbuku bez hesla

Prísľub sveta bez hesla zostáva zatiaľ fatamorgána. Hoci naša dôvera môže slabnúť, úplné odstránenie hesiel sa zdá byť nepravdepodobné. Keďže heslá sú súčasťou nášho života v dohľadnej budúcnosti, je dôležité, aby organizácie chránili vrstvu hesiel.