Multi-factor authentication (MFA, uwierzytelnianie wieloskładnikowe) opiera się na przeświadczeniu, że kombinacja nazwy użytkownika i hasła jest niedostatecznym zabezpieczeniem w dynamicznie zmieniającej się cyberprzestrzeni. Potwierdzają to statystyki – według raportu Multi-factor Authentication i Cyberbezpieczeństwo przygotowanego przez Xopero Software ponad 85% ataków jest następstwem wyłudzenia hasła.
Popyt na uwierzytelnianie wieloskładnikowe napędzają rosnąca skala oszustw finansowych, ataki cybernetyczne, płatności mobilne, uwarunkowania prawne, polityka BYOD (Bring Your Own Device), czy powszechny już model pracy zdalnej.
Bezapelacyjnie przyczyniło się do tego RODO czy unijna dyrektywa PSD2, która wprowadziła wymóg silnego uwierzytelniania podczas logowania do usług płatniczych, wykonywania transakcji oraz przeprowadzania czynności za pomocą kanału mobilnego. W 2019 roku klienci banków zostali obligatoryjnie objęci dwuskładnikowym uwierzytelnieniem.
W efekcie rośnie wartość tej branży. Globalny rynek uwierzytelniania wieloskładnikowego w 2018 roku został wyceniony na 4,56 mld USD, z czego blisko 35% wartości wygenerowano w USA (1,57 mld $). Przewiduje się, że do 2025 roku ta wartość sięgnie 20,23 mld USD.
Wieloskładnikowe uwierzytelnianie – czyli jakie?
MFA obejmuje różne modele – uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), a także uwierzytelnianie trzy-, cztero- czy pięcioskładnikowe w zależności od ilości wymaganych warstw bezpieczeństwa, z czego najbardziej popularne jest wciąż to pierwsze – 2FA.
– Uwierzytelnianie dwuskładnikowe powinniśmy uważać za standard, który należy stosować praktycznie w każdym systemie informatycznym, uwzględniając również pocztę email, czy seriwsy społecznościowe – mówi Grzegorz Bąk, Product Development Manager w Xopero Software – Jesteśmy tylko ludźmi i mamy tendencje do definiowania haseł, które będą dla nas łatwe do zapamiętania, a przez to możliwe do złamania metodą słownikową, czy łatwe do przewidzenia.
Składniki uwierzytelniające można sprowadzić do trzech grup: “coś co znasz (np. PIN)”, “coś co masz (np. token, aplikacja)”, “coś, czym jesteś (np. biometria)”.
Trendy wyznaczają również największe firmy technologiczne na świecie – w tym te należące do FIDO Alliance. To zrzeszenie wraz z W3C pracują nad tym, aby hasła odeszły do lamusa i zostały zastąpione przez WebAuthn API, które daje użytkownikom możliwość logowania się do usług i urządzeń za pomocą danych biometrycznych lub kluczy FIDO. Wprowadzony standard FIDO2 ma zapewnić bezpieczeństwo poprzez unikalne poświadczenia logowania dla każdej strony internetowej. Poufne dane nie opuszczają tym samym urządzenia i nie są przechowywane na serwerze co ma eliminować ryzyko phishingu, kradzieży i ataków typu replay. Zapewnia również prywatność poprzez unikatowość kluczy – nie można użyć ich do śledzenia użytkowników w różnych witrynach – czytamy w Raporcie Multi-factor Authentication i Cyberbezpieczeństwo.
Dane biometryczne – przyszłość czy przekleństwo?
Uwierzytelnianie biometryczne weryfikuje tożsamość użytkownika za pomocą unikalnych cech biologicznych, takich jak skan siatkówki/tęczówki, głos, cechy twarzy czy odciski palców. Ponieważ dane te są unikatowe dla każdego użytkownika, uwierzytelnianie biometryczne w teorii powinno być bezpieczniejsze niż tradycyjne formy uwierzytelniania wieloskładnikowego. Głównym problemem natomiast są konsekwencje ich wycieku – w przeciwieństwie do hasła, które możemy zmienić, nie pozbędziemy się przecież linii papilarnych czy siatkówki. Są to dane, które zostaną z nami w niezmienionej formie przez całe życie. Na tym stosunkowo wczesnym stadium rozwoju usług opartych na biometrii ciężko sobie wyobrazić cały kalejdoskop zagrożeń, który może wyniknąć w momencie ich wycieku. A wystarczy, że nastąpi on tylko raz…
Specjalistom IT wciąż brakuje informacji
Według badań ankietowych firmy Spiceworks, 50% specjalistów IT uważa, że trudniej jest zhakować dane biometryczne niż tradycyjne hasła tekstowe, ale tylko 23% sądzi, że ta procedura zastąpi hasła w ciągu najbliższych dwóch lat. 65% dostrzega brak przejrzystości w odniesieniu do luk wykrytych w systemach biometrycznych, a 63% zgłasza obawy w odniesieniu do prywatności danych gromadzonych przez dostawców. W efekcie blisko 60% specjalistów IT twierdzi, że do jednoznacznej oceny potrzebuje więcej informacji o tym, gdzie dostawcy technologii przechowują dane biometryczne.
Niemniej jednak, według prognoz Jupiter Research, wartość rynku uwierzytelniania biometrycznego wzrośnie z 429 mln dolarów w 2018 do 1,5 mld w 2023 r.
Uwierzytelnianie nowej generacji
Możemy spodziewać się, że w najbliższych latach będziemy odchodzić od haseł na rzecz uwierzytelniania nowej generacji (next-gen authentication) i idei passwordless, opierających się głównie na wykorzystaniu tokenów (w tym programowych – aplikacji na smartfony i laptopy) oraz kluczy kryptograficznych z zastosowaniem biometrii.
– Osoby i firmy, dla których bezpieczeństwo danych jest krytyczne, zaopatrywać się będą w klucze kryptograficzne, których gama w 2020 dalej rośnie – twierdzi Antoni Sikora, Head of Growth w Secfense – Do firm takich jak Yubico czy Feitian dołączył między innymi Google ze swoim kluczem Google Titan. Dziennikarze, influencerzy, politycy, osoby zarządzające na wysokim szczeblu – wszyscy oni w najbliższym czasie powinni sięgnąć po dwuskładnikowe uwierzytelnienie oparte na kryptografii.
Passwordless authentication z kolei eliminuje problem używania…słabych i powtarzanych haseł. Niweluje również konieczność ich zapamiętywania i wpisywania oraz powoduje lepszą i sprawniejszą obsługę klienta. Z punktu widzenia organizacji – ogranicza potrzebę przechowywania haseł, co prowadzi do zwiększenia bezpieczeństwa, redukcji liczby naruszeń i obniżenia kosztów pomocy technicznej.
Więcej informacji i statystyk na temat uwierzytelniania wieloskładnikowego w Raporcie Multifactor Authentication i Cyberbezpieczeństwo, do pobrania bezpłatnie tutaj.
Źródło: Xopero
