Aż 83 proc. firm biorących udział w badaniu firmy Proofpoint przyznało, że w ubiegłym roku zostało dotkniętych co najmniej jednym udanym atakiem phishingowym. W jaki sposób uwierzytelnianie wieloskładnikowe może uchronić przedsiębiorstwa przed tego typu zagrożeniami? W jakich przypadkach warto stosować MFA oraz czy można podważyć zaufanie klientów do tego rozwiązania?
Zachęcamy do przeczytania komentarza eksperckiego naszego inżyniera Krzysztofa Paździory, przygotowanego w ramach kampanii CRN, dotyczącej multi-factor authentication.
W Polsce obserwujemy szybkie tempo wzrostu adaptacji MFA, spowodowane m.in. zwiększeniem świadomości cyberbezpieczeństwa, rygorystycznymi regulacjami prawnymi, a także przetwarzaniem coraz większej ilości poufnych danych. Firmy i instytucje z sektora finansowego, technologicznego, publicznego czy opieki zdrowotnej, najczęściej decydują się na wdrożenie uwierzytelniania wieloskładnikowego ze względu na wysoki poziom poufności i bezpieczeństwa danych, którymi dysponują.
MFA kontra 2FA
Zauważyliśmy, że coraz więcej firm korzysta z MFA, ponieważ jest to metoda, która wymaga co najmniej trzech różnych czynników do weryfikacji tożsamości użytkownika. Mówimy tu nie tylko o tym, co użytkownik zna, czyli haśle, co posiada, czyli tokenie lub smartfonie, ale również o tym, kim jest, czyli skanie linii papilarnych czy rozpoznawaniu twarzy. MFA warto stosować w przypadku dostępu do wrażliwych danych lub systemów, szczególnie tych, które przetwarzają dane osobowe, finansowe lub medyczne. Świetnie sprawdzi się również w kontekście zdalnego dostępu do zasobów firmowych czy zabezpieczaniu kluczowych usług i aplikacji. MFA nie jest domeną jedynie większych organizacji, stosowana jest zarówno w mniejszych, jak i średnich firmach.
Wymaganie większej ilości czynników w procesie uwierzytelniania sprawia, że ta bardziej zaawansowana metoda jest zdecydowanie bezpieczniejsza niż 2FA i staje się tym samym naturalnym następcą uwierzytelniania dwuskładnikowego. Oczywiście nadal wiele firm na polskim rynku korzysta z 2FA, metody mniej bezpiecznej, ale wciąż stanowiącej lepszą ochronę niż samo hasło.
Dobre praktyki w zakresie bezpieczeństwa IT
Zaimplementowanie MFA we wszystkich punktach dostępu jest powszechnie zalecane i uznawane za dobrą praktykę w zakresie bezpieczeństwa IT. Jest to słuszne podejście, ponieważ MFA znacząco zwiększa poziom ochrony, wymagając od użytkowników potwierdzenia swojej tożsamości na każdym etapie, co utrudnia nieautoryzowany dostęp. Wiele firm w dalszym ciągu nie stosuje się do tej zasady. Wdrożenie MFA bywa kosztowne i czasochłonne, niektóre z podmiotów mogą nie być gotowe na pełne wdrożenie tej technologii we wszystkich punktach. Inne mogą wybrać zabezpieczenie dostępu tylko do najbardziej krytycznych danych, decydując się pozostawić inne obszary niezabezpieczone. Decyzja o tym, gdzie i w jaki sposób wdrożyć MFA ostatecznie zależy od wielu czynników, w tym od specyfiki działalności firmy, budżetu przeznaczonego na bezpieczeństwo IT czy oceny ryzyka. Niemniej jednak zdecydowanie powinniśmy dążyć do wdrożenia tej technologii w jak największej liczbie punktów dostępu.
Największe wyzwania
Jest wiele wyzwań, z którymi musimy się zmierzyć i należy na nie zwrócić uwagę już na etapie planowania wdrożenia.
Pierwszym z nich jest zapewnienie dostępności aplikacji i infrastruktury w trakcie procesu integracji z systemem MFA. Kolejnym jest wybór odpowiednich metod autoryzacji, które pozwolą użytkownikom w sposób wygodny i intuicyjny korzystać z nowych sposobów uwierzytelniania. Musimy również zwrócić uwagę na zapewnienie dostępności usług w przypadku awarii lub dostępu do jednego z czynników, zapewniając alternatywne metody wsparcia. Zarządzanie i integrowanie różnych czynników takich jak: hasła, kody jednorazowe, biometria, karty inteligentne, czy nawet uwierzytelnianie behawioralne może być dość skomplikowane. Wdrożenie MFA jest ważnym krokiem w kierunku zwiększenia bezpieczeństwa, ale wymaga od nas starannego planowania, przygotowania, świadomości i uwzględnienia wyzwań, aby otrzymać efektywne i skuteczne rozwiązanie.
Nowe możliwości, nowe zagrożenia
Wraz z popularyzacją MFA nastąpiła wzrost ataków próbujących przełamać ten rodzaj zabezpieczenia kont. Są to przede wszystkim ataki Brute Force, które są obecnie najskuteczniejszą metodą przełamania uwierzytelniania wieloskładnikowego. Przestępcy korzystają z innych metod jak np. Proxy Phishingowe, czy tzw. Bombardowanie MFA, czy kopiowania kart SIM. Nie zapominajmy również o inżynierii społecznej, za pośrednictwem której, możemy np. przekonać użytkownika do akceptacji komunikatu Push.
Ataki Brute Force haker jest w stanie wykorzystać w sprzyjających okolicznościach, gdzie użytkownik korzysta np. z metody autoryzacji TOTP (time-based one-time password). Po przechwyceniu nazwy użytkownika i hasła może wprowadzać wiele różnych kodów jednorazowych w bardzo krótkim czasie. Mechanizmem, który skutecznie udaremnia takie próby, jest np. kwarantanna, która tymczasowo wyłącza konto po określonej liczbie nieudanych prób logowania.
Czy w takim razie te ataki mogą podważyć zaufanie klientów do MFA? Aby tak się nie stało, w odpowiedzi na nowe zagrożenia, producenci tych systemów wprowadzają nowe mechanizmy. Są one w stanie jednoznacznie zidentyfikować użytkownika, co jeszcze skuteczniej powstrzymuje atakujących. Kluczem do sukcesu jest przede wszystkim poprawnie skonfigurowany i wdrożony system MFA. Nie zapominajmy o edukacji użytkowników, którzy powinni rozumieć, jak działa nowy proces uwierzytelnienia i w jaki sposób powinni identyfikować potencjalne próby ataku. Wiele w tym zakresie zależy więc od firm, ich pracowników oraz indywidualnych użytkowników MFA.
Uwierzytelnianie bez hasła – co wybrać?
Istnieje kilka sposób uwierzytelniania bez hasła, m.in. biometria, składnik posiadania, magiczny link, informacja o użytkowniku. Czy da się jednoznacznie wybrać najskuteczniejszą z nich i czy zawsze musi być to ta najdroższa metoda?
Nie można jednoznacznie stwierdzić, który ze sposobów uwierzytelniania jest absolutnie najskuteczniejszy. Zależy to od wielu czynników, takich jak specyfika systemu, rodzaj dostępu czy wymagany poziom bezpieczeństwa. Jedną z popularniejszych, efektywnych metod jest biometria, ponieważ opiera się na unikalnych cechach fizycznych każdego użytkownika. Odnotowano co prawda przypadki, w których np. odcisk palca pozostawiony na gładkiej powierzchni był replikowany za pomocą drukarek 3D, ale nadal takie sytuacje należą do rzadkości. Wdrożenie uwierzytelniania w oparciu o tę metodę staje się coraz bardziej dostępne za sprawą nowoczesnych smartfonów czy laptopów, wyposażonych w skaner linii papilarnych, twarzy czy siatkówki oka. Biometria może okazać się jednak kosztowna — zwłaszcza w przypadku zaawansowanych systemów — ze względu na konieczność zakupu specjalistycznego sprzętu i oprogramowania.
Wzrost popularności MFA, a rosnący popyt na systemy IAM oraz PAM
Coraz większe potrzeby związane z zabezpieczeniem dostępu do krytycznych zasobów są przyczyną wzrostu popularności MFA, ale też rosnącego popytu na systemy IAM (Identity and Access Management) oraz PAM (Privileged Access Management). Regulacje prawne, takie jak RODO, nakładają na organizacje obowiązek kontroli dostępu do wrażliwych danych. Wraz ze wzrostem złożoności infrastruktury IT, w której pojawia się coraz więcej nowych usług i aplikacji, konieczne jest wdrożenie rozwiązania, które pomoże w uporządkowaniu i zabezpieczeniu tego dostępu. Głównym czynnikiem hamującym w przypadku systemów IAM oraz PAM mogą okazać się koszty wdrożenia, szczególnie dla małych i średnich przedsiębiorstw oraz skomplikowana integracja w firmach, które posiadają wysoko rozbudowaną infrastrukturę IT. Obecny wzrost zagrożeń cybernetycznych, regulacje prawne oraz rosnąca świadomość użytkowników sprawiają jednak, że bardzo często firmy decydują się na wykorzystanie obu rozwiązań.
