Pet razloga zašto izabrati FIDO2

Objavljeno: 21/11/2022 By:exclusive-networks

U doba kada se većina proboja u organizacijske mreže ostvaruje kroz phishing, višefaktorska autentifikacija (MFA) više nije opcija, nego nužnost. Ipak, nije svaka MFA implementacija ista, a u poslednje vreme sve više phishing napada zaobilazi uobičajene MFA mehanizme. Vreme je za MFA otporan na phishing, a FIDO2 se nameće kao standard i optimalno rešenje koje donosi visoku sigurnost i jednostavnost korišćenja.

Većina organizacija u regiji još uvek ne koristi MFA za pristup svojim javno dostupnim servisima, iako je to verojatno najučinkovitija mera odbrane od destruktivnih napada poput ransomwarea. Ako se MFA i koristi, ona je uglavnom ograničena na VPN, a web aplikacije poput Exchange Web Access, te drugi on-premise i SaaS web servisi i dalje se najčešće temelje na lozinki kao jedinom faktoru autentikacije. Određeni pomak prema MFA je svakako postignut Microsoftovom odlukom iz 2019. da od svih novih MS365 korisnike traži korišćenje MFA kod pristupa online servisima.

Ipak, napadači su ove godine pokazali da mogu rutinski zaobilaziti MFA koristeći barem dve tehnike:

Prompt bombing (eng. push fatigue) prilikom kojeg se korisnik zatrpava sa zahtevima za autentikacijom koji iskaču na smartphoneu u obliku pop-up notifikacija. U određenim slučajevima, greškom ili jednostavno zamorom, korisnik će prihvatiti zahtev i kliknuti “Prihvaćam”, te tako omogućiti udaljenom napadaču pristup mreži i resursima organizacije. Ova tehnika napada nedavno je uspešno rezultirala krađom podataka u kompanijama poput Cisco, Uber i Twilio, te se sada rutinski koristi kod korisnika popularnih smartphone autentifikatora poput Microsoft ili Google Authenticatora s push notifikacijama.

Phishing stranice s ugrađenim mehanizmom za krađu ne samo lozinke, već i MFA one-time passworda (OTP) kojeg korisnik prepisuje iz svoje smartphone authenticator aplikacije (npr., Google Authenticator). Microsoft je na svom blogu detaljno opisao kako tehnika funkcionše u praksi, a ona je sada standardni deo phishing kit-ova koje koriste napadači.

Zbog ovakvih trendova, industrija ubrzano konvergira prema novom standardu autentikacije koji se sve manje oslanja na lozinku, ali isto tako adresira manjkavosti postojećih MFA mehanizama.

Organizacije trebaju izabrati rešenje koje podjednako omogućava više-faktorsku autentifikaciju, ali i proveru identiteta bez lozinke ili što manje oslanjanje na lozinke (passwordless authentication).

Passwordless postaje mainstream?

Neosporno je da snažne, jedinstvene i ispravno uskladištene lozinke mogu pružiti siguran pristup do kritičnih sistema i baza podataka. Ipak, korišćenje lozinki gotovo uvek prate izazovi poput komplikovanog upravljanja i zamora lozinkama.

Uzimajući u obzir broj sistema i aplikacija kojima prosečni korisnik svakodnevno mora pristupati, lozinke se čine više kao problem nego kao rešenje. Drugim rečima, izraz sigurna lozinka postaje oksimoron.

Prema 2022 Data Breach Investigations Report, više od 60 posto uspešnih proboja i krađa podataka povezano je s kompromitovanim kredencijalima. Stoga nije čudno da tehnološki divovi poput Googlea, Applea i Microsofta zajedničkim snagama razvijaju opciju prijave bez lozinke.

Prema najavama, autentifikacija bez lozinke će već iduće godine postati standard na mnoštvu vodećih platforma: iOS i Android mobilnim operativnim sistemima, na MacOS i Windows okruženjima, te na Safari, Chrome i Edge pretraživačima.

Umesto tekstualne autentifikacije, prijave bez lozinke uključuje metode verifikacije posedovanja sekundarnog uređaja. Omogućena je i biometrijska autentifikacija (Face ID, uzorak prsta…).

Potpuna eliminacija lozinki ne samo da smanjuje mogućnost njihovog iskorišćavanja od strane napadača, već i nesigurna ponašanja zaposlenih koja mogu dovesti do veće izloženosti kompanije.

Implementacija ovakvih rešenja ujedno smanjuje ili potpuno uklanja operativne troškove povezane s održavanjem lozinki, što uključuje njihovo skladištenje i čuvanje.

IT profesionalci u celom svetu slažu se da lozinke treba posmatrati kao stvar prošlosti. Njihova laka predvidljivost i troškovi upravljanja koji premašuju benefite i više su nego dovoljan razlog za njihovu kompletnu eliminaciju.

FIDO2: MFA otporan na phishing i passwordless autentifikacija u jednom 

Otvoreni standard poznat kao FIDO2 objedinjuje Client to Authentication Protocol (CTAP) i W3C Web Authentication (WebAuthn API). Standard je razvio FIDO Alliance, udruženje nekoliko različitih kompanija (Google, Microsoft, Intel, Amazon, itd).

FIDO2 je razvijen na temelju kriptografije javnog ključa i podjednako omogućuje autentifikaciju bez lozinke i višefaktorsku proveru identiteta. FIDO2 se temelji na kriptografiji javnog ključa, pa će mnogi prepoznati probleme i složenost koju povezujemo s implementacijom PKI infrastrukture. Ipak, Fido2 zaobilazi kompleksnost implementacije PKI (ne zahteva održavanje takve infrastrukture), a istovremeno iskorišćava pouzdanost kriptografije javnog ključa kod autentikacije i korisnicima omogućuje jednostavno korišćenje na svim platformama (uključujući smartphone i druge uređaje).

Kao skup standarda koji upravljaju uređajima i načinima provere autentičnosti, FIDO2 omogućuje korišćenje biometrijskih uzoraka ranije uskladištenih na uređaju (uzorak prsta, Touch ID, Face ID, token…) za pristup željenim resursima.

FIDO2. MFA. Autentifikacija — Autentifikacija uz FIDO2: FIDO2 framework. Izvor: FIDO Alliance

U praksi, autentifikacija funkcioniše na principu skladištenja jedinstvenog ključa kompatibilnog s FIDO2 standardnom na privatni uređaj i njegovog prosleđivanja željenoj web lokaciji, odnosno platformi radi provere identiteta.

Uređaji kompatibilni s FIDO2 standardom u potpunosti uklanjanju problem slabih lozinki, odnosno phishing i MiTM (man-in-the-middle) napada, kompromitacije servera te korišćenja i deljenja lozinki unutar nekoliko različitih sistema.

Pet ključnih razloga zašto izabrati FIDO2

FIDO2 značajno pojednostavljuje proces prijave korisnika i uklanja rizike tekstualnih lozinki. U nastavku donosimo pet ključnih razloga zbog kojih je FIDO2 danas najpopularniji i najefikasniji tip moderne MFA.

Iznadprosječna sigurnost

FIDO2 se oslanja na korišćenje kriptografije javnog ključa i possession-based autentifikacije i tako eliminiše mogućnost phishing napada.

Praktičnost i jednostavnost korišćenja za krajnje korisnike

Poznato je da rasprostranjenost lozinki napadačima olakšava pristup do internih resursa. Lozinke se skladište svuda – spremljene u konfiguracijskim postavkama aplikacija (browsera ili npr. Outlooka) do post-on beleški na radnom stolu – a sve to dovodi do više mogućnosti kompromitovanja. Uz FIDO2, korisnici se ne trebaju baviti pamćenjem komplikovanih lozinki. Helpdesk se, pak, rasterećuje taskova povezanih s njihovim upravljanjem.

Sigurna mobilna autentifikacija

Korisnici mogu jednostavno potvrditi identitet putem osobnog telefona uz pomoć ugrađenog FIDO2 uređaja koji ima NFC mogućnosti.

Jednostavna implementacija

FIDO2 se temelji na otvorenom standardnu i ne zahteva nikakvu posebnu infrastrukturu. Autentifikatori danas postaju standardni deo platformi kao što su Windows (Hello), Android, Apple iOS, itd. Kao standard koji podržava self-registration korisnika, IT timovi se rasterećuju potrebe za registracijom i upravljanjem tokenima. Administrativni troškovi se drastično smanjuju.

Sigurna prijava u cloud aplikacije

FIDO2 je dizajniran s ciljem pružanja najvišeg nivoa sigurnosti pristupa i autentifikacije za cloud usluge.

Najbolja FIDO2 rešenja uz Thales

FIDO2 je razvijen s ciljem pružanja jednakog nivoa sigurnosti i praktičnosti. Ipak, nisu svi FIDO2 uređaji jednako uspešni u tome. Dobro je da standard i adopcija industrije omogućava puno jednostavnije korišćenje eksternih autentifikatora (USB ili NFC) nego što je to bio slučaj kod, na primer, smart kartica temeljenih na PKI.

Thales FIDO2 ključevi donose najviši nivo sigurnosti i široku mogućnosti upotrebe. Thales posebno nadzire celi proizvodni ciklus i razvija vlastite FIDO crypto ključeve, smanjujući tako rizik od ugrožavanja FIDO uređaja. Uređaji su sertifikovani prema najvišim standardima, uključujući ANSSI, FIPS i CC.

Thales FIDO uređaji podržavaju višestruke slučajeve upotrebe te je omogućena integracija s postojećim IAM shemama.

Dodatno, za zaštitu svih aplikacija u organizaciji, Thales nudi i SafeNet Trusted Access IDaaS rešenje koje u potpunosti podržava FIDO2 autentifikatore, čime je moguće brzo proširiti phishing resistant MFA na sve pristupne točke i aplikacije u organizaciji.

Zanima vas više informacija o Thales FIDO2 uređajima? Javite nam se. 

Zaštita od složenih DDoS napada: Fokus na Layer 7 i prilagodljivost F5 Networks rešenja

Posted on: 24/04/2024
Autor: exclusive-networks

Internet stranice vlade i drugih državnih organa u Sloveniji nedavno su bile žrtve DDoS […]

NIS2: Kakvog uticaja ima direktiva na organizacije u Srbiji, šta očekivati i kako se pripremiti?

Posted on: 10/04/2024
Autor: exclusive-networks

Direktiva NIS2 je već nekoliko meseci u centru pažnje medija i jedna je od […]

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 month	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
ELOQUA	1 year 1 month	The domain of this cookie is owned byOracle Eloqua. This cookie is used for email services. It also helps for marketing automation solution for B2B marketers to track customers through all phases of buying cycle.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_154241828_1	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_154241828_3	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ELQSTATUS	1 year 1 month	This cookie is set by Eloqua. This cookie is used by PwC to track individual visitors and their use of site. This is set on the first visit of the visitor to the site and updated on subsequent visits.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
_ce.gtld	session	No description
_ce.s	1 year	No description
AnalyticsSyncHistory	1 month	No description
cebs	session	No description
cebsp	session	No description
li_gc	5 months 27 days	No description