Co zamiast haseł?

kapitanhack.pl 9 miesięcy temu

W naszych artykułach wielokrotnie poruszaliśmy kwestie związane z hasłami. Trochę informacji w tej tematyce znajdziecie między innymi tu: Już niedługo logowanie bez haseł? oraz tutaj: Słabe hasła w organizacjach = duża luka bezpieczeństwa. Natomiast dziś chcieliśmy zebrać dla Was w jednym miejscu wszystkie fakty, zrobić małe podsumowanie i pokazać kierunek, w którym zmierzają metody potwierdzania tożsamości użytkowników.

Uwierzytelnianie bezhasłowe stanowi rewolucję w dziedzinie zabezpieczeń cyfrowych, stanowiąc rozwiązanie alternatywne dla tradycyjnych metod opartych na hasłach. Wszyscy chyba czujemy, iż ten sposób potwierdzania swojej tożsamości wiąże się z możliwością rezygnacji z używania haseł i zastąpienia ich czymś innym. Geneza tej technologii wiąże się z potrzebą stworzenia bardziej bezpiecznego, a jednocześnie wygodnego środka ochrony tożsamości cyfrowej.

Jak stare są hasła?

Uwierzytelnianie dzięki haseł jest jedną z najstarszych metod weryfikacji tożsamości w historii cywilizacji. Ale czy kiedykolwiek zastanawialiście się, jak długo ludzkość stosuje już tę metodę i w jakich sytuacjach była ona początkowo używana? W Księdze Sędziów, która nazywana jest czasem księgą historyczną, możemy znaleźć fragment (Sdz 12), w którym wojownicy Gileadu zadawali zbiegom (Efraimczykom) zadanie polegające na wypowiedzeniu słowa „Szibbolet” (kłos) – o ile wymówione było jako Sibbolet, to oznaczało to, iż druga strona jest wrogiem (błąd w wymawianiu dźwięku „sz” zdradzał pochodzenie efraimskie). Innym przykładem może być stosowanie przez żołnierzy armii rzymskiej ustalonego wcześniej słowa, które należało znać, o ile chciało się przekroczyć bramy miasta lub obozu, w szczególności po zmroku, gdy identyfikacja wizualna była utrudniona. Rzymscy żołnierze przestrzegali przy tym rygorystycznych zasad regularnej zmiany haseł (w czasie wojny codziennie), a samo przekazywanie hasła było już wtedy realizowane w określony sposób (można by powiedzieć, iż mieli na to określony proces, w którym hasło było weryfikowane w celu wyeliminowania luk w zabezpieczeniach). Jak widzimy, historia używania haseł jest długa i kontynuowana od starożytności poprzez średniowiecze aż do czasów nowożytnych. Hasła służyły i służą przez cały czas jako tajne słowa lub frazy, pozwalające na identyfikację osoby lub potwierdzenie przynależności do określonej grupy.

Kiedy hasło znalazło się w komputerze?

W roku 1960 komputery użytkowane w Massachusetts Institute of Technology (MIT) stały się na tyle powszechne, iż coraz więcej pracowników potrzebowało dostępu do ich mocy obliczeniowych. W celu zapewnienia współdzielonego dostępu do komputerów i jednocześnie zachowania prywatności danych zapisywanych przez konkretne osoby na ich zasobach pamięciowych, profesor Fernando Corbató zaproponował pierwszy sposób kontrolowania dostępu do komputerów dzięki haseł. Jak się domyślacie, nie upłynęło wiele czasu, zanim jeden z jego współpracowników odkrył, iż hasła zapisywane są w jawnej postaci w plikach tekstowych – dzięki temu mógł „pożyczać” czas obliczeniowy przypisany do innych pracowników i wykorzystywać go w pracy nad własnym projektem.

Jakie są słabości haseł?

Jak widzimy, już pierwsze zastosowanie haseł w świecie komputerów ujawniło jeden z problemów z nimi związanych, czyli sposób bezpiecznego przechowywania (a w zasadzie bezpiecznego i odpornego na nieautoryzowaną zmianę). Można by powiedzieć, iż od tego momentu rozpoczął się proces ciągłego opracowywania zaleceń odnośnie do siły hasła (trudne do odgadnięcia) czy metod bezpiecznego ich zapisywania (brak możliwości podejrzenia i przejęcia hasła). Z czasem liczba systemów informatycznych, z których korzystać musiał zwykły użytkownik stawała się coraz większa, co wprost doprowadziło do konieczności pamiętania coraz większej liczby haseł, przy jednoczesnym podnoszeniu wymagań co do ich długości i złożoności. Jak wiemy, często prowadzi to do tego, iż używane jest to samo hasło do wielu systemów i aplikacji, z niewielkimi zmianami łatwymi do odkrycia. w tej chwili rekomendowanymi praktykami zarządzania hasłami są przede wszystkim:

  • Weryfikacja Dwuetapowa (2FA): Używanie dodatkowej metody uwierzytelnienia, jak kod wysyłany SMS-em lub aplikacja generująca kody, co znacząco zwiększa bezpieczeństwo. Atakujący musi jeszcze przejąć coś, co posiadamy (czyli np. telefon), by móc wykorzystać przejęte hasło. w tej chwili wykorzystanie weryfikacji dwuetapowej stało się imperatywem z racji powszechnych zdarzeń wykradania, siłowego łamania i przechwytywania haseł, a także publikowania ich w Internecie.
  • Wykorzystanie Menadżerów Haseł: Aby pamiętać wszystkie skomplikowane hasła, zaleca się użycie menadżerów haseł, które mogą przechowywać je w bezpieczny sposób. Dostęp do menadżera hasła może być chroniony inną metodą uwierzytelniania (np. klucz sprzętowy), co znosi konieczność pamiętania hasła do sejfu haseł. Jest to rozwiązanie, które eliminuje konieczność pamiętania wielu długich i złożonych haseł, a jednocześnie ułatwia zarządzanie nimi (np. regularne zmienianie). Dużo informacji na ten temat znajdziecie na naszych stronach: Jak w bezpieczny sposób korzystać z menadżerów haseł?

Ale musimy tu dodać jedną istotną uwagę: choćby najlepsze polityki haseł nie zabezpieczą nas w przypadku ataków typu „spyware” i „phishing”, dlatego dodajemy jeszcze jedną rekomendację:

  • Edukacja i Świadomość: Użytkownicy powinni być edukowani o zagrożeniach związanych z używaniem słabych haseł lub ich powtarzaniem, a przede wszystkim o zagrożeniach i atakach związanych z przejęciem tożsamości cyfrowej poprzez wykorzystanie naszych zachowań w przypadku prób wyłudzenia dostępu do naszego konta bankowego, pracowniczego czy używanego w social mediach.

Co zamiast haseł?

Hasła są od dawna podstawą zabezpieczeń, jednakże ich słabości stały się oczywiste: są podatne na ataki phishingowe, łatwe do zapomnienia i uciążliwe w zarządzaniu. Ponadto rosnąca liczba naruszeń danych pokazuje, iż choćby silne hasła mogą być skompromitowane. Prowadzi to do konkluzji, iż używanie haseł jako czynnika chroniącego tożsamość stało się niebezpieczne. Propozycją rozwiązania tego problemu okazały się metody bezhasłowe, które w sposób pewny i prostszy dla użytkownika zapewniają bezpieczne uwierzytelnienie tożsamości.

Początki uwierzytelniania bezhasłowego sięgają lat, kiedy zaczęto eksplorować biometryczne i behawioralne metody identyfikacji. Przykłady to skanery linii papilarnych, rozpoznawanie twarzy czy analiza podpisu. Te wczesne systemy często ograniczały się jednak do specyficznych zastosowań i nie były szeroko dostępne ze względu na koszty i złożoność. Z czasem technologia ewoluowała, a z nią metody uwierzytelniania. Rozwój telefonów i innych inteligentnych urządzeń pozwolił na wykorzystanie bardziej złożonych technologii, takich jak uwierzytelnianie oparte na certyfikatach, kluczy bezpieczeństwa typu hardware (np. YubiKey), a także wykorzystanie standardów takich jak FIDO (Fast Identity Online) i WebAuthn.

Jak metody bezhasłowe wykorzystywane są w praktyce?

W praktyce uwierzytelnienie bezhasłowe polega na weryfikacji tożsamości użytkownika dzięki innych czynników niż hasło, które użytkownik zna. Należy posiadać jakiś rodzaj urządzenia lub pewną cechę (taką jak na przykład dane biometryczne, które są unikalne). W dobie telefonów możliwe jest również połączenie tych dwóch składników dla jednego użytkownika (mam telefon, na którym generuje kod, ale muszę się do niego uwierzytelnić przez odcisk palca). Samo uwierzytelnianie bezhasłowe obejmuje różne metody, takie jak:

  • Biometryka: Wykorzystanie unikalnych cech biologicznych, np. odcisk palca, rozpoznawanie tęczówki, geometria twarzy.
  • Tokeny sprzętowe: Urządzenia, które użytkownik może podłączyć do systemu, aby potwierdzić swoją tożsamość.
  • Tokeny oprogramowania: Aplikacje lub usługi generujące jednorazowe kody lub certyfikaty.
  • Uwierzytelnianie behawioralne: Monitorowanie zachowania użytkownika, takie jak dynamika pisania na klawiaturze.

Jakie są zalety korzystania z metod bezhasłowych?

Uwierzytelnianie bezhasłowe ma szereg zalet, które stanowią o jego przewadze nad tradycyjnymi hasłami. Przede wszystkim zapewnia podstawę do silnego i bezpiecznego potwierdzenia tożsamości użytkownika bez polegania na znajomości trudnych do zapamiętania haseł. Jako zalety wykorzystania tej metody możemy wymienić:

  • Redukcja ryzyka: Brak stałego hasła oznacza, iż nie ma niczego do skradzenia w wyniku ataku phishingowego lub naruszenia bazy danych. Redukujemy ryzyko związane z wykradzeniem haseł i ich publikacją w sieci, stajemy się odporni na siłowe metody łamania haseł i próby ich przechwycenia.
  • Wygodniejsze dla użytkownika: Eliminacja konieczności korzystania z wielu haseł, co oznacza brak konieczności ich pamiętania, okresowego zmieniania i wprowadzania. Dzięki temu zwiększa się ogólne zadowolenie użytkownika i jakość pracy.
  • Odporność na ataki: Metody bezhasłowe często wymagają fizycznej obecności użytkownika, co utrudnia zdalne przejęcie konta.
  • Redukcja kosztów: Wyeliminowanie haseł pozwala również na oszczędność czasu i środków, które organizacje przeznaczają na obsługę zdarzeń związanych z resetem hasła w przypadku jego utraty przez użytkownika końcowego.

Niestety praktyka pokazuje również, iż nie zawsze możemy w pełni wyeliminować korzystanie z haseł. W wielu organizacjach istnieje wiele aplikacji i systemów, które ze względu na swoją architekturę wciąż muszą korzystać z haseł. Znajdziemy również wiele aplikacji webowych, które nie są dostosowane do uwierzytelniania bezhasłowego.

Rozwój uwierzytelniania bezhasłowego jest odpowiedzią na ograniczenia i ryzyka związane z tradycyjnymi hasłami. Dzięki swojej umiejętności zapewnienia wyższego poziomu bezpieczeństwa oraz większej wygody dla użytkowników, metody bezhasłowe zyskują na popularności jako skuteczny sposób ochrony przed przejęciem tożsamości w cyfrowym świecie. Ostatecznie, uwierzytelnianie bezhasłowe może nie tylko zwiększyć bezpieczeństwo, ale także poprawić ogólne doświadczenia użytkowników z technologią. Mając na uwadze to, iż w tej chwili tożsamość stała się naszą nową granicą bezpieczeństwa, to skuteczne wdrożenie rozwiązań bezhasłowych w przedsiębiorstwie jest jednym z filarów strategii Zero Trust –wątek ten poruszaliśmy między innymi w artykule: Co dla IAM oznacza Zero Trust?.

Idź do oryginalnego materiału