Co najmniej od kilku lat słyszy się o śmierci haseł. Jednak uwierzytelnianie bazujące na hasłach stało się tak wszechobecne, że bardzo trudno je zastąpić, choć oczywiście nie brakuje alternatywnych rozwiązań.
Większość specjalistów ds. bezpieczeństwa IT wymienia stosowanie silnych, trudnych do złamania haseł jako jedną z podstawowych zasad cyberhigieny. Jednak prawda jest taka, że skuteczność tej formy zabezpieczeń z roku na rok maleje.
Pod koniec stycznia Bob Dyachenko, właściciel SecurityDiscovery.com wraz z zespołem Cybernews dokonali niesamowitego odkrycia w postaci bazy danych zawierającej 26 miliardów rekordów o łącznej pojemności 12 TB. Bazy zawierały między innymi dane użytkowników takich serwisów jak: LinkedIn, Twitter, Weibo czy Tencent. To wymarzony zbiór dla cyberprzestępców, mogących wykorzystać informacje do szerokiego zakresu ataków, w tym kradzieży tożsamości, wyrafinowanych schematów phishingowych, ukierunkowanych cyberataków oraz nieautoryzowanego dostępu do kont osobistych i wrażliwych.
– Przyczyny wycieków danych bywają bardzo różne. Czasami jest to wina administratora, który niepoprawnie skonfigurował firewall, ale często błędów popełnianych przez pracowników, takich jak otwieranie e-maili nieznanego pochodzenia, czy stosowanie słabych haseł lub tych samych haseł i loginów dla różnych kont. Proste hasła są podatne na ataki brute-force, podczas których hakerzy korzystają z predefiniowanej listy popularnych słów i wyrażeń – tłumaczy Robert Dziemianko, Marketing Manager w G DATA Software.
Według Verizon Data Breach Investigations Report z 2023 roku aż 74 procent wszystkich naruszeń obejmował czynnik ludzki. W praktyce oznacza to. że ludzie zostali zaangażowani do niewłaściwego wykorzystania uprawnień lub skradziono im dane uwierzytelniające.
Większość organizacji próbuje pójść na kompromis, starając zrównoważyć silne bezpieczeństwo z wygodą, ale zazwyczaj nie osiągają zamierzonych celów. Nie działają też skrajne opcje. Restrykcyjna polityka bezpieczeństwa z reguły frustruje pracowników, a tym samym zmniejsza ich produktywność, zaś obdarzenie ich dużą dozą zaufania przyczynia się do wzrostu ryzyka wycieku danych.
Znaczenie haseł słabnie w miarę jak powierzchnia ataku się rozszerza, a tak się dzieje w ostatnich latach za sprawą cyfryzacji, rosnącej popularności hybrydowego modelu pracy czy postępującej adaptacji usług chmurowych. Współczesne ataki, takie jak phishing, włamania oparte na poświadczeniach i przejęcia kont, bazują bardziej niż kiedykolwiek wcześniej na hasłach, co czyni je najbardziej wrażliwą częścią cyfrowego uwierzytelniania tożsamości.
Alternatywa dla hasła
Analitycy Gartnera przewidują, że do 2025 roku ponad połowa pracowników nie będzie korzystać z haseł.
– Hasła wciąż cieszą się dużą popularnością, ponieważ są łatwe w użyciu i każdy rozumie, jak działają. Tymczasem większość alternatywnych form uwierzytelniania jest trudna do skonfigurowania. Wiele organizacji odstrasza kilkanaście różnych dostępnych metod. W związku z tym czekają , dopóki jeden lub dwa formaty nie staną się dominującymi standardami bez haseł – tłumaczy Robert Dziemianko.
Firmy poszukujące alternatywy dla haseł mogą skorzystać z różnych wariantów: biometrii (skanowanie tęczówki, twarzy, odcisków palców), powiadomienia push, SMS-y, kody QR czy klucze bezpieczeństwa USB lub Bluetooth bądź w smartfonie. Niemniej wymienione metody wykorzystują bardzo zróżnicowane technologie takie jak WebAuthn, FIDO, FIDO2, Windows Hello, Touch ID czy Face ID.
Dla przeciętnego użytkownika komputera lub smartfona każda inna forma uwierzytelniania niż kod PIN, rozpoznawanie twarzy lub odcisku palca, jest trudna do zaakceptowania. Znaczna część ludzi nie zawraca sobie głowy kodami wysyłanymi za pośrednictwem SMS-ów, aplikacjami uwierzytelniającymi i nie chce wydawać pieniędzy na klucze zabezpieczające USB. Zresztą pokazują to wyniki badań „Cyberbezpieczeństwo w liczbach” przeprowadzonych przez firmę G DATA. Stosowanie uwierzytelniania składnikowego (2FA), poza bankowością elektroniczną, deklaruje jedynie połowa respondentów.
Passkey – lekiem na całe zło?
W ostatnim czasie coraz częściej słyszy się o nowej formie uwierzytelniania Passkey, czyli klucza uniwersalnego. Użytkownik danej aplikacji lub konta nie musi zapamiętywać i wpisywać haseł, lecz wykorzystuje specjalny klucz cyfrowy przechowywany na urządzeniu (komputerze, smartfonie, tablecie). Podczas tworzenia klucza dostępu strona internetowa lub aplikacja, generuje dwa fragmenty kodu. Jeden z nich przechowuje strona internetowa lub aplikacja, zaś drugi jest zapisywany na urządzeniu. W czasie logowania użytkownik potwierdza swoją tożsamość za pomocą skanowania twarzy, odcisku palca czy kodu PIN. W czasie odblokowywania urządzenia dwa fragmenty kodu komunikują się z sobą.
Jednak wciąż jest bardzo świeża technologia i nie wszystko działa bezproblemowo. Oczekiwania klientów, standardy, a także wdrożenia dostawców znajdują się na różnych poziomach, a ich połączenie wymaga jeszcze nieco czasu. Dlatego na razie lepiej nie rezygnować z menedżerów haseł.
Menedżer haseł w antywirusie
Jedna z podstawowych zasad bezpieczeństwa mówi o tym, aby nie korzystać z tych samych loginów i haseł dla różnych kont. Niestosowanie się do tej reguły prędzej czy później ściągnie na użytkownika kłopoty, bowiem wystarczy, że haker wejdzie w posiadanie jednego zestawu danych uwierzytelniających, automatycznie zyska dostęp do pozostałych kont. W najgorszym scenariuszu może to się skończyć utratą tożsamości cyfrowej.
Ale zapamiętanie skomplikowanych haseł do różnych usług czy serwisów internetowych jest nie lada wyzwaniem. Nawet osoby o doskonałej pamięci mogą mieć z tym spore trudności. Jednak z pomocą przychodzą im tak zwane menedżery haseł, gromadzące wszystkie dane uwierzytelniające w jednym miejscu. Osoby poszukujące tych narzędzi mają do wyboru kilka opcji, a jedną z nich jest zakup oprogramowania antywirusowego z odpowiednim modułem. Taką funkcjonalność oferuje między innymi G DATA. Użytkownik posiada dostęp do wszystkich haseł w jednym miejscu, a zatem może stosować najbardziej zawiłe sekwencje cyfr, liczb i znaków specjalnych i nie musi ich pamiętać. Oprogramowanie szyfruje wszystkie te dane i nie pozwala na dostęp do niego innym osobom. Menedżer pamięta wszystkie hasła używane na różnorodnych serwisach, a więc nie trzeba ich za każdym razem wpisywać. Są one automatycznie uzupełniane. Ponadto z poziomu systemu antywirusowego można sprawnie zarządzać hasłami używanymi na różnych portalach, kontach, w tym także w czasie logowania do bankowości internetowej. Warto sobie uświadomić, że bezpieczne hasła to nie tylko ochrona dostępu do kont, ale przede wszystkim zabezpieczenie środków finansowych, kontaktów do znajomych, zdjęć i filmów.