Według raportu Verizon’s 2022 Data Breach Investigations Report, prawie 50% naruszeń bezpieczeństwa danych wiąże się z wykorzystaniem skradzionych danych uwierzytelniających. Ich celem często są instytucje finansowe. Banki do obrony wykorzystują różne technologie. Jedną z nich jest wieloskładnikowe uwierzytelnianie (MFA), które jeszcze niedawno było dla nich jednym z głównych zaleceń cyberbezpieczeństwa. Dziś jednak, stosowane zwykle przez organizacje MFA, nie wystarczy. Rozwiązaniem jest uwierzytelnianie MFA w pełni odporne na phishing oraz kradzież loginów i haseł w postaci otwartego standardu uwierzytelniania FIDO2.

W Polsce, jak podaje raport ZBP InfoDok, tylko w I kwartale 2022 r. oszuści podjęli 1915 prób kradzieży z wykorzystaniem przejętych danych osobowych, w sumie na kwotę 575 tys. zł. To średnio aż 21 wyłudzeń dziennie.

Celem ataków bardzo często stają się banki i instytucje finansowe. Według raportu The State of Authentication aż 80% z nich doznało przynajmniej jednego naruszenia danych w ciągu ostatnich 12 miesięcy, a phishing był najbardziej rozpowszechnionym zagrożeniem, stanowiąc 36% wszystkich ataków. Jednym z powodów nasilających się incydentów jest niewystarczająca ochrona tożsamości użytkowników.

Globalny problem

Jeszcze kilka lat temu MFA, czyli wieloskładnikowe uwierzytelnianie uchodziło za jedną z najbardziej skutecznych metod ochrony użytkowników w sieci. Dziś jednak wyrafinowani intruzi znaleźli sposoby aby również i te zabezpieczenia skutecznie obchodzić.

Technologia 2FA lub MFA nie jest dziś dla nikogo nowością. Globalnym wyzwaniem drugiej dekady dwudziestego wieku pozostaje wysoki poziom skomplikowania i różnorodności środowisk IT oraz implementacja w nich skutecznych metod MFA.

Z tego powodu w wielu dużych organizacjach większość systemów i aplikacji albo nie jest zabezpieczona MFA, albo jest zabezpieczona przestarzałymi metodami, takimi jak SMS czy kody TOTP, które nie chronią przed nowoczesnymi atakami typu phishing.

Stare metody MFA

Według badania firmy HYPR Report: State of Authentication in the Finance Industry 2022, 32% pracowników banków z U.S. (200 osób), U.K. (100 osób), Francji (100 osób) i Niemiec (100 osób) nadal korzysta z tradycyjnych metod MFA, takich jak SMS-y i hasła jednorazowe, 43% polega na menedżerach haseł, a 22% polega wyłącznie na nazwach użytkowników i hasłach.

Kilka lat temu uwierzytelnianie wieloskładnikowe było de-facto zaleceniem cyberbezpieczeństwa dla firm i banków. Aktualnie jedynym rozwiązaniem, w pełni odpornym na phishing oraz kradzież loginów i haseł jest otwarty i darmowy standard uwierzytelniania FIDO2, który pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z czytnikiem linii papilarnych w celu potwierdzenia swojej tożsamości w sieci.

Niewykorzystane bezpieczeństwo

Zdanie specjalistów od bezpieczeństwa IT potwierdzają również osoby na co dzień pracujące w zbadanych przez HYPR instytucjach finansowych. Aż 99% ankietowanych osób przyznało, że metody uwierzytelniania stosowane w ich organizacjach wymagają unowocześnienia. Nie jest ono jednak aktualnie możliwe, bo stoją mu na przeszkodzie m.in. problemy z integracją (27%) czy zarządzaniem tym procesem (75%).

Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli bank posiada w swojej infrastrukturze IT setki aplikacji – a tak jest w większości dużych organizacji – masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard uwierzytelniania FIDO2 – choć zaprojektowany w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.

Rewolucja za darmo

Metoda FIDO2 zrewolucjonizowała uwierzytelnianie i zachowanie bezpieczeństwa w sieci. To otwarty standard, dzięki któremu każda usługa w Internecie może zostać dziś zabezpieczona darmową metodą, w pełni odporną na phishing oraz kradzież loginów i haseł. Pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z kamerą na podczerwień lub smartfony z czytnikiem linii papilarnych.

Jak obejść więc  problem z implementacją MFA opartą na FIDO2 w skomplikowanych środowiskach IT?

Wiedzieliśmy, że jedyną drogą jest stworzenie technologii, która umożliwi aktywację usług związanych z podniesieniem poziomu bezpieczeństwa w procesie uwierzytelniania użytkowników oraz autoryzacji kluczowych transakcji w dowolnej aplikacji web. Nasze rozwiązanie User Access Security Broker buduje warstwę ochronną a następnie polityki bezpieczeństwa egzekwuje “w locie” – bez bezpośredniej ingerencji w chronione aplikacje.

Technologia UASB została tak zaprojektowana, by w warunkach “zerowej” wiedzy o aplikacjach i środowisku informatycznym, które ma chronić, była zdolna nauczyć się go i zrozumieć procesy logowania użytkowników aplikacji. Etap uczenia się, podczas którego UASB uruchamia sondę do docelowej aplikacji, rejestruje wzorce logowania użytkownika, którego konto ma być chronione uwierzytelnianiem FIDO2. W kolejnym kroku wzorce te są aktywowane i przy każdym następnym logowaniu użytkownik jest proszony o potwierdzenie swojej tożsamości. Spogląda w kamerę, skanuje swoją twarz lub przykłada palec – dokładnie tak samo, jak do tej pory logował się do swojej stacji roboczej.

Wilk syty i owca cała

Na rynku istnieje wiele rozwiązań z zakresu cyberbezpieczeństwa, które chronią przed różnymi wektorami ataków. Aktualnie jednak za najwygodniejsze i najskuteczniejsze uznaje się uwierzytelnianie bez hasła (passwordless authentication). Niestety temat nadal jest często ignorowany w praktyce.

Na szczęście – jak mówią wyniki badania HYPR  –  większość respondentów wierzy, że bezhasłowe uwierzytelnianie jest najlepszą metodą ochrony. Aż 89% z nich twierdzi, że zwiększa stanowczo bezpieczeństwo i zadowolenie użytkowników.

A czy właśnie nie o te wartości najbardziej nam wszystkim chodzi?