FIDO2 to prawdziwa rewolucja w zakresie uwierzytelniania i zachowania bezpieczeństwa w sieci. To otwarty standard, dzięki któremu każda usługa w Internecie może zostać dziś zabezpieczona darmową metodą, w pełni odporną na phishing oraz kradzież loginów i haseł. Pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z kamerą na podczerwień lub smartfony z czytnikiem linii papilarnych.

Aby jednak zrozumieć potęgę zmiany, jaką niesie ze sobą FIDO2, proponuję zrobić mały krok wstecz. Przenieśmy się na chwilę do roku 2014, kiedy powstała organizacja non-profit o nazwie Let’s Encrypt. To ona właśnie – można powiedzieć – wywróciła do góry nogami świat witryn internetowych i ich bezpieczeństwa. Dlaczego? Ponieważ ustandaryzowała sposób, w jaki strony WWW uzyskiwały certyfikaty bezpieczeństwa. Firma zaczęła wydawać je na prośbę twórców witryn i co istotne – zupełnie bezpłatnie.

Tym samym Let’s Encrypt zakończył certyfikacyjną bonanzę. Ustandaryzował sposób, w jaki witryny internetowe są zabezpieczane na całym świecie, i decydując się na darmową certyfikację, otworzył ją dla wszystkich.

Standaryzacja bezpieczeństwa w sieci

Taka sama standaryzacja, jaka nastąpiła w 2014 roku w zakresie bezpieczeństwa witryn, w 2018 wydarzyła się w uwierzytelnianiu w sieci. Opracowany przez W3C standard FIDO2 spowodował, że każda usługa w internecie może skorzystać z darmowego i najbezpieczniejszego (bo w pełni odpornego na phishing i kradzież danych uwierzytelniających) standardu uwierzytelniania.

I choć od powstania FIDO2 minęły już 4 lata (!), zdecydowana większość instytucji, w tym finansowych, nie posiada takich rozwiązań.

Co zatem do tej pory stało na przeszkodzie masowemu zastosowaniu FIDO2?

O ile w wypadku certyfikatów potwierdzających bezpieczeństwo witryny sprawa jest prosta – właściciel po prostu wnioskuje o nadanie takiego certyfikatu, o tyle w przypadku silnego uwierzytelniania FIDO2 sprawy się komplikują. Standard FIDO2 jest rzeczywiście darmowy, otwarty i dostępny dla wszystkich, wspiera go każda przeglądarka internetowa, ale problemem jest integracja komponentów potrzebnych do przeprowadzenia skutecznego procesu silnego uwierzytelniania. Chodzi tu o takie elementy jak urządzenie użytkownika, części składowe infrastruktury sieciowej i aplikacje, których mnogość i różnorodność potęguje koszty wdrożenia mechanizmów bezpiecznego logowania.

Koszmar wdrożenia

Banki i instytucje finansowe to ogromne organizacje, o wieloletniej tradycji, w których infrastruktura informatyczna budowana była przez lata, na setkach systemów i przy zaangażowaniu specjalistów z różnych  obszarów IT. Systemy informatyczne tworzone w różnych językach programowania, dostarczane przez wielu usługodawców, uniemożliwiają wprowadzanie zmian na masową skalę. Do tej pory aby wprowadzić zmianę w jakimś środowisku, należało zaangażować programistów, którzy przez zmianę w kodzie  oprogramowania realizowali integrację z nową technologią.

Tak też było z FIDO2. Standard uwierzytelniania, który całkowicie zabezpiecza przed phishingiem i kradzieżą danych, po czterech  latach od powstania jest niestety wciąż nieosiągalny dla większości dużych organizacji. W nich często bowiem infrastruktura informatyczna rozrosła się do ogromnych rozmiarów, a coraz więcej pracowników wykonuje swoje zadania zdalnie spoza tradycyjnych ‘bezpiecznych’ sieci biurowych. Wyzwaniem dla nich jest zabezpieczenie całej organizacji w sposób szybki, skalowalny i ustandaryzowany.

Czym jest i jak działa User Access Security Broker?

User Access Security Broker (UASB) to w dosłownym tłumaczeniu broker bezpieczeństwa dostępu użytkownika, czyli oprogramowanie umożliwiające aktywację usług związanych z podniesieniem poziomu bezpieczeństwa w procesie uwierzytelniania użytkowników oraz autoryzacji kluczowych transakcji w dowolnej aplikacji web. Najważniejsze dla Secfense UASB jest to, że proces budowania warstwy ochronnej, a następnie egzekwowania polityk bezpieczeństwa odbywa się “w locie” – bez bezpośredniej ingerencji w chronione aplikacje.

Technologia UASB została tak zaprojektowana, by w warunkach “zerowej” wiedzy o aplikacjach i środowisku informatycznym, które ma chronić, była zdolna nauczyć się go i zrozumieć procesy logowania użytkowników aplikacji. Etap uczenia się, podczas którego UASB uruchamia sondę do docelowej aplikacji, rejestruje wzorce logowania użytkownika, którego konto ma być chronione uwierzytelnianiem FIDO2. W kolejnym kroku wzorce te są aktywowane i przy każdym następnym logowaniu użytkownik jest proszony o potwierdzenie swojej tożsamości. Spogląda w kamerę, skanuje swoją twarz lub przykłada palec – dokładnie tak samo, jak do tej pory logował się do swojej stacji roboczej.

Na rynku istnieje wiele rozwiązań z zakresu cyberbezpieczeństwa, które chronią przed różnymi wektorami ataków. Problemem drugiej dekady dwudziestego wieku jest jednak skomplikowanie i różnorodność środowisk IT oraz implementacja nowych technologii w takich środowiskach. Secfense rozwiązał ten problem, tworząc User Access Security Broker.