2FA ciągle nie jest standardem. Wiele firm nawet nie korzysta z menadżerów haseł

21 lutego, 2020
2FA ciągle nie jest standardem. Wiele firm nawet nie korzysta z menadżerów haseł

Firma Yubico opublikowała raport dotyczący zarządzania hasłami w organizacjach. Producent sprzętowych kluczy bezpieczeństwa zlecił przygotowanie badania instytutowi Panemon. W internetowej ankiecie wzięło udział 2507 specjalistów ds. bezpieczeństwa z Australii, Francji, Niemiec, Szwecji, Wielkiej Brytanii i Stanów Zjednoczonych, a także 563 indywidualnych użytkowników. Główne wnioski z raportu nie napawają optymizmem. W kwestii uświadamiania ryzyka nadal jest wiele do zrobienia — zarówno specjaliści IT, jak i osoby prywatne zakorzenione mają niedobre praktyki zarządzania hasłami. Wielu specjalistów nawet nie korzysta z uwierzytelnienia dwuskładnikowego (2FA).

Najważniejsze wnioski z raportu

  • 50% specjalistów i 39% indywidualnych użytkowników loguje się do prywatnych serwisów w miejscu pracy za pomocą swoich haseł. 
  • 59% specjalistów twierdzi, że polityka zarządzania hasłami w ich organizacji polega na ludzkiej pamięci (brak menadżerów haseł!).
  • Mniej niż połowa (46%) specjalistów IT twierdzi, że w ich firmach wymaga się korzystania z 2FA, aby uzyskać dostęp do kont firmowych.
  • 62% respondentów nie podejmuje niezbędnych kroków w celu ochrony informacji na urządzeniach mobilnych.
  • 37% organizacji, które wdrażają 2FA w celu zabezpieczenia kont firmowych polega na aplikacjach do mobilnego uwierzytelniania, a 28% na kodach SMS.
  • 23% osób uważa, że metody uwierzytelniania za pomocą SMS-ów lub aplikacji mobilnych 2FA są bardzo niewygodne.
  • 56% osób korzystających z urządzenia mobilnego w celu uzyskania dostępu do zasobów związanych z pracą nie korzysta z 2FA. 
 

Pogrubioną czcionką zaznaczyliśmy ustalenia, które precyzują potrzebę używania łatwego i bezpiecznego rozwiązania. Okazuje się, że pracownicy IT, uznawani za „specjalistów”, nie korzystają z bezpiecznej metody logowania jaką są sprzętowe tokeny. Zaświadcza to o niedużej świadomości zarządzania hasłami, braku wiedzy o atakach przechwytujących logowanie 2FA, oraz niedostatecznej znajomości zalet sprzętowego tokenu, który znacząco ułatwia logowanie, robiąc to BARDZO bezpiecznie.

2FA jest mało stosowane nawet przez specjalistów IT.https://www.yubico.com/blog/yubico-releases-2020-state-of-password-and-authentication-security-behaviors-report/” data-entity-type=”file” data-entity-uuid=”25d376f5-f65f-4ff4-ad02-3e894a1b7612″ src=”/wp-content/uploads/2020/02/2020_ponemon_yubikey.png” width=”1560″ height=”1920″>

2FA => U2F/FIDO2

Wielokrotnie przedstawialiśmy korzyści z posiadania klucza bezpieczeństwa Yubikey firmy Yubico. Pewną barierą przed używaniem tego świetnego tokenu sprzętowego, może być jego cena. Ale nie przesadzajmy, ponieważ za niewiele ponad 200zł kupuje się wieczysty token sprzętowy z możliwością logowania do prawie nieograniczonej ilości stron internetowych.

YubiKey 5Ci

Jest to dedykowany klucz do logowania się z urządzeń Apple i nie tylko. Posiada porty Lightning i USB-C, dlatego mogą go używać właściciele iPhone’ów, iPad’ów, Mac’ów, a także użytkownicy dowolnych urządzeń z portem USB typu C — mogą to być nowoczesne laptopy z Windows lub Linuksem albo smartfony z Androidem. Jest to najbardziej uniwersalny klucz dla większości urządzeń i dla różnych systemów operacyjnych

  • Doskonale zabezpiecza logowanie wojskową technologią
  • W 100% chroni przed przejęciem kont online
  • Obsługuje wiele protokołów szyfrujących: FIDO2, U2F, karty inteligentne, OpenPGP, OTP
  • Pasuje do wszystkich urządzeń z portem USB-C
  • Zgodny z urządzeniami Apple z portem Lightning
  • Działa we wszystkich przeglądarkach i systemach operacyjnych

Niedawno zaprezentowano Yubikey BIO — jest to wersja klucza bezpieczeństwa, która będzie rozpoznawała odcisk palca użytkownika, korzystając z technologii rozpoznawania linii papilarnych. Data wprowadzenia na rynek Yubikey BIO nie jest znana.

Sporo dużych serwisów społecznościowych oraz dostawców usług m.in. poczty internetowej umożliwia logowanie z wykorzystaniem tokenu sprzętowego. Protokół logowania U2F występuje w drugiej wersji: U2F/FIDO2 WebAuthn to druga generacja U2F. Tutaj użytkownik może zostać zidentyfikowany i uwierzytelniony bez podawania hasła w pierwszym kroku przy logowaniu.

U2F/FIDO2 nie wymaga drugiego składnika logowania, dlatego będzie wypierał 2FA. Na pewno potrwa to bardzo długo, zważywszy na powolną adaptację samego 2FA w Internecie i ciągle niską świadomości specjalistów IT. Zresztą niewiele jest serwisów, które oferują wyłącznie logowanie via FIODO2/Webauthn ze względu na sytuacje awaryjne — użytkownik gubiąc klucz może zalogować się do usługi za pomocą awaryjnej metody np. kodu z SMS. Dlatego najczęściej spotykanymi w sieci sposobami logowania są mieszane tryby — wspierane są zarówno 2FA (SMS, jednorazowy kod, PIN, odcisk palca), jak i U2F (sprzętowy token). Sugerujemy zakup od razu dwóch kluczy, aby jeden z nich był tokenem awaryjnym.

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]