BIZIT 11 - prvi dan

Kako sprečiti krađu identiteta? Autentifikacija bez lozinke može pomoći

Jeste li se ikada pitali koliko lozinka koristi prosečni korisnik ili vi sami? Prema istraživanju NordPassa, prosečni korisnik ima otprilike 100 lozinki. Jasno je da se tolikim brojem ne može pravilno upravljati, čime se povećava šansa da se korisnici – i tvrtke – suoče s phishing ili ransomware napadom. S druge strane, multi-faktorska autentifikacija (MFA) danas stoji uz bok lozinkama kao metoda koja više nije imuna na nove napadačke tehnike. 

PCPress.rs Image

Sve se više priča o nužnosti eliminacije lozinki kao nužnoj meri povećanja sigurnosti. Napadi povezani s kompromitiranim lozinkama već su prouzročili štete koje se mere u milijardama dolara, a njihova rasprostranjenost može samo olakšati napadačima put do internih resursa.

S druge strane, organizacije koje koriste tradicionalnu multi-faktorsku autentifikaciju sve su češće žrtve man-in-the-middle, spear phishing, brute force i credential stuffing napada. Naime, današnji napadači zaobilaze MFA uz pomoć sofisticiranih tehnika koje obmanjuju korisnike koji otkrivaju pristupne informacije. Multi-faktorska autentifikacija otporna na phishing i krađu identiteta nameće se kao logičan korak napred.

Lozinke su zastarele

Ogroman broj lozinki stvara zasićenost. Jednostavno rečeno, velik broj ljudi svakodnevno se suočava s mnoštvom procedura i regulativa koje treba slediti u kontekstu upravljanja i kreiranja lozinki. Općeniti saveti i službene smernice organizacija o tome što čini dobru i snažnu lozinku razlikuju se, a pojedinci sve te preporuke često kombiniraju.

Pročitajte i:  Od otkaza do pune produkcije za samo nekoliko minuta uz Zerto

Sigurno ste bezbroj puta naišli na preporuke poput „najmanje dvanaest znakova, uključujući velika i mala slova, brojeve i posebne znakove“. Takve preporuke s vremenom rezultiraju kompliciranim i teško pamtljivim lozinkama. Pri susretu sa smernicama poput „korišćenje tri nasumične, nepovezane reči“, korisnici će reči izabrati na temelju jednostavnosti. Tako će sebi olakšati pamćenje, a napadačima “ulaz”.

Dodatan problem su zahtevi za redovitim menjanjem lozinki. Neki poslodavci ili IT odjeli prisiljavaju korisnike da menjaju lozinke svakih par meseci. Odgovornost za lozinke snose krajnji korisnici, a uz toliko procedura, sve veći broj napada povezanih s krađom identiteta ne bi nas trebao iznenađivati.

Lozinke su „najslabija karika“ u sigurnosnom lancu, ali nisu jedina.

PCPress.rs Image

Tradicionalna multi-faktorska autentifikacija nije dovoljna

Multi-faktorska autentifikacija (MFA) donedavno se smatrala dovoljno dobrom metodom za rešavanje problema lozinki. Osim što se pokazalo da je MFA podjednako komplicirana i za krajnje korisnike i za IT timove, napadači odnedavno rutinski zaobilaze takve metode.

Multi-faktorska autentifikacija tradicionalno bi trebala štititi sve ulazne tačke u tvrtku, bilo da se radi o poslovnim aplikacijama, VPN-u ili emailu. MFA se najčešće postavlja uz pomoć aplikacije na pametnom telefonu koja funkcionira kao autentifikator.

Pročitajte i:  Ransomware napadi u velikom porastu

Kada korisnik pokuša pristupiti određenoj aplikaciji preko drugog uređaja, na svom će pametnom telefonu dobiti push notifikaciju kojom odobrava autentifikaciju. Ta je praksa poznata kao out-of-band autentifikacija.

Ipak, tradicionalna multi-faktorska autentifikacija nije više toliko pouzdana. Napadači odnedavno koriste attacker-in-the-middle proxy tehnike (AitM) i tzv. prompt bombing, čime obmanjuju korisnike i kradu akreditive. Ovakve su prakse sve rasprostranjenije, što dokazuju nedavni slučajevi uspešnih krađa identiteta u velikim organizacijama poput Ubera i MailChimpa.

PCPress.rs Image

MFA otporna na phishing i krađu identiteta

Izazove tradicionalne multi-faktorske autentifikacije moguće je otkloniti uz MFA prakse otporne na phishing. Takve MFA metode uključuju autentifikator integriran u uređaj ili fizički uređaj, i to umjesto out-of-band pristupa poput push notifikacija na pametnom telefonu.

Primeri takve autentifikacije uključuju autentifikator ugrađen u prenosno računalo ili token koji je povezan s uređajem putem USB-a ili Bluetootha. Autentifikacija se tako provodi na istom uređaju kojim korisnik pristupa web aplikaciji ili stranici.

Multi-faktorska autentifikacija otporna na krađu identiteta treba zadovoljiti nekoliko zahteva:

  • Uspostavljanje snažne veze između autentifikatora i korisničkog identiteta
  • Korišćenje privatnog korisničkog ključa koji nikada ne napušta autentifikator
  • Odgovaranje samo na validne zahteve već poznatih i proverenih strana
  • Zahtev za autentifikacijom pokreće se isključivo temeljem svesne korisnikove namere i akcije
Pročitajte i:  Ransomware je i dalje najveća sajber pretnja

Autentifikacija uz FIDO2/WebAuthn

FIDO2/WebAuthn standard pokazao se učinkovitim u rešavanju spomenutih izazova. FIDO2/WebAuthn automatski proverava web stranicu ili aplikaciju kojoj korisnik pokušava pristupiti i spreči će prijavu na stranicu koja prosleđuje zahteve i odgovore s legitimnog servera. Kako bi se utvrdilo nalazi li se korisnik uistinu kraj uređaja putem kojeg se spaja, FIDO2 proverava fizičku blizinu. Ako se pokaže da korisnik nije blizu uređaja, zahtev za pristup bit će odbijen.

FIDO2 eliminira potrebu za lozinkama i oslanja se na biometrijske provere ili UBS ključeve za autentifikaciju. Na taj način pruža sigurnu zamenu za lozinke.

FIDO2 standard omogućava korisnicima autentifikaciju bez lozinke na različitim uređajima i aplikacijama, bez potrebe za dodatnim hardverom ili softverom. Razvijen u suradnji s vodećim tehnološkim tvrtkama, FIDO2 jamči podršku i integraciju s većinom popularnih platformi i aplikacija.

Facebook komentari:
Računari i Galaksija
Tagovi: , , , ,