Jeste li se ikada pitali koliko lozinka koristi prosječni korisnik ili vi sami? Prema istraživanju NordPassa, prosječni korisnik ima otprilike 100 lozinki. Jasno je da se tolikim brojem ne može pravilno upravljati, čime se povećava šansa da se korisnici – i tvrtke – suoče s phishing ili ransomware napadom. S druge strane, multi-faktorska autentifikacija (MFA) danas stoji uz bok lozinkama kao metoda koja više nije imuna na nove napadačke tehnike.
Sve se više priča o nužnosti eliminacije lozinki. Napadi povezani s kompromitiranim lozinkama već su prouzročili štete koje se mjere u milijardama dolara, a njihova rasprostranjenost može samo olakšati napadačima put do internih resursa.
S druge strane, organizacije koje koriste tradicionalnu multi-faktorsku autentifikaciju sve su češće žrtve man-in-the-middle, spear phishing, brute force i credential stuffing napada. Naime, današnji napadači zaobilaze MFA uz pomoć sofisticiranih tehnika koje obmanjuju korisnike koji otkrivaju pristupne informacije. Multi-faktorska autentifikacija otporna na phishing i krađu identiteta nameće se kao logičan korak naprijed.
Lozinke su zastarjele
Velik broj ljudi svakodnevno se suočava s mnoštvom procedura i regulativa koje treba slijediti u kontekstu upravljanja i kreiranja lozinki. Općeniti savjeti i službene smjernice organizacija o tome što čini dobru i snažnu lozinku razlikuju se, a pojedinci sve te preporuke često kombiniraju.
Sigurno ste bezbroj puta naišli na preporuke poput „najmanje dvanaest znakova, uključujući velika i mala slova, brojeve i posebne znakove“. Takve preporuke često rezultiraju kompliciranim i teško pamtljivim lozinkama. Pri susretu sa smjernicama poput „korištenje tri nasumične, nepovezane riječi“, korisnici će riječi izabrati na temelju jednostavnosti. Tako će sebi olakšati pamćenje, a napadačima “ulaz”.
Dodatan problem su zahtjevi za redovitim mijenjanjem lozinki. Neki poslodavci ili IT odjeli prisiljavaju korisnike da mijenjaju lozinke svakih par mjeseci.
Lozinke su „najslabija karika“ u sigurnosnom lancu, ali nisu jedina.
Tradicionalna multi-faktorska autentifikacija nije dovoljna
Multi-faktorska autentifikacija (MFA) donedavno se smatrala dovoljno dobrom metodom za rješavanje problema lozinki. Osim što se pokazalo da je MFA podjednako komplicirana i za krajnje korisnike i za IT timove, napadači odnedavno rutinski zaobilaze takve metode.
Multi-faktorska autentifikacija tradicionalno bi trebala štititi sve ulazne točke u tvrtku, bilo da se radi o poslovnim aplikacijama, VPN-u ili emailu.
MFA se najčešće postavlja uz pomoć aplikacije na pametnom telefonu koja funkcionira kao autentifikator.
Kada korisnik pokuša pristupiti određenoj aplikaciji preko drugog uređaja, na svom će pametnom telefonu dobiti push notifikaciju kojom odobrava autentifikaciju. Ta je praksa poznata kao out-of-band autentifikacija.
Ipak, tradicionalna multi-faktorska autentifikacija nije više toliko pouzdana. Napadači odnedavno koriste attacker-in-the-middle proxy tehnike (AitM) i tzv. prompt bombing, čime obmanjuju korisnike i kradu vjerodajnice. Ovakve su prakse sve rasprostranjenije, što dokazuju nedavni slučajevi uspješnih krađa identiteta u velikim organizacijama poput Ubera i MailChimpa.
MFA otporna na phishing i krađu identiteta
Izazove tradicionalne multi-faktorske autentifikacije moguće je otkloniti uz MFA prakse otporne na phishing.
Primjeri takve autentifikacije uključuju autentifikator ugrađen u prijenosno računalo ili token koji je povezan s uređajem putem USB-a ili Bluetootha. Autentifikacija se tako provodi na istom uređaju kojim korisnik pristupa web aplikaciji ili stranici.
Multi-faktorska autentifikacija otporna na krađu identiteta treba zadovoljiti nekoliko zahtjeva:
- Uspostavljanje snažne veze između autentifikatora i korisničkog identiteta
- Korištenje privatnog korisničkog ključa koji nikada ne napušta autentifikator
- Odgovaranje samo na validne zahtjeve već poznatih i provjerenih strana
- Zahtjev za autentifikacijom pokreće se isključivo temeljem svjesne korisnikove namjere i akcije
Autentifikacija uz FIDO2/WebAuthn
FIDO2/WebAuthn standard pokazao se učinkovitim u rješavanju spomenutih izazova. FIDO2/WebAuthn automatski provjerava web stranicu ili aplikaciju kojoj korisnik pokušava pristupiti i spriječit će prijavu na stranicu koja prosljeđuje zahtjeve i odgovore s legitimnog servera. Kako bi se utvrdilo nalazi li se korisnik uistinu kraj uređaja putem kojeg se spaja, FIDO2 provjerava fizičku blizinu. Ako se pokaže da korisnik nije blizu uređaja, zahtjev za pristup bit će odbijen.
FIDO2 eliminira potrebu za lozinkama i oslanja se na biometrijske provjere ili UBS ključeve za autentifikaciju. Na taj način pruža sigurnu zamjenu za lozinke.
FIDO2 standard omogućava korisnicima autentifikaciju bez lozinke na različitim uređajima i aplikacijama, bez potrebe za dodatnim hardverom ili softverom. Razvijen u suradnji s vodećim tehnološkim tvrtkama, FIDO2 jamči podršku i integraciju s većinom popularnih platformi i aplikacija.