Firma Yubico opublikowała raport dotyczący zarządzania hasłami w organizacjach. Producent sprzętowych kluczy bezpieczeństwa zlecił przygotowanie badania instytutowi Panemon. W internetowej ankiecie wzięło udział 2507 specjalistów ds. bezpieczeństwa z Australii, Francji, Niemiec, Szwecji, Wielkiej Brytanii i Stanów Zjednoczonych, a także 563 indywidualnych użytkowników. Główne wnioski z raportu nie napawają optymizmem. W kwestii uświadamiania ryzyka nadal jest wiele do zrobienia — zarówno specjaliści IT, jak i osoby prywatne zakorzenione mają niedobre praktyki zarządzania hasłami. Wielu specjalistów nawet nie korzysta z uwierzytelnienia dwuskładnikowego (2FA).
Najważniejsze wnioski z raportu
- 50% specjalistów i 39% indywidualnych użytkowników loguje się do prywatnych serwisów w miejscu pracy za pomocą swoich haseł.
- 59% specjalistów twierdzi, że polityka zarządzania hasłami w ich organizacji polega na ludzkiej pamięci (brak menadżerów haseł!).
- Mniej niż połowa (46%) specjalistów IT twierdzi, że w ich firmach wymaga się korzystania z 2FA, aby uzyskać dostęp do kont firmowych.
- 62% respondentów nie podejmuje niezbędnych kroków w celu ochrony informacji na urządzeniach mobilnych.
- 37% organizacji, które wdrażają 2FA w celu zabezpieczenia kont firmowych polega na aplikacjach do mobilnego uwierzytelniania, a 28% na kodach SMS.
- 23% osób uważa, że metody uwierzytelniania za pomocą SMS-ów lub aplikacji mobilnych 2FA są bardzo niewygodne.
- 56% osób korzystających z urządzenia mobilnego w celu uzyskania dostępu do zasobów związanych z pracą nie korzysta z 2FA.
Pogrubioną czcionką zaznaczyliśmy ustalenia, które precyzują potrzebę używania łatwego i bezpiecznego rozwiązania. Okazuje się, że pracownicy IT, uznawani za „specjalistów”, nie korzystają z bezpiecznej metody logowania jaką są sprzętowe tokeny. Zaświadcza to o niedużej świadomości zarządzania hasłami, braku wiedzy o atakach przechwytujących logowanie 2FA, oraz niedostatecznej znajomości zalet sprzętowego tokenu, który znacząco ułatwia logowanie, robiąc to BARDZO bezpiecznie.
https://www.yubico.com/blog/yubico-releases-2020-state-of-password-and-authentication-security-behaviors-report/” data-entity-type=”file” data-entity-uuid=”25d376f5-f65f-4ff4-ad02-3e894a1b7612″ src=”/wp-content/uploads/2020/02/2020_ponemon_yubikey.png” width=”1560″ height=”1920″>
2FA => U2F/FIDO2
Wielokrotnie przedstawialiśmy korzyści z posiadania klucza bezpieczeństwa Yubikey firmy Yubico. Pewną barierą przed używaniem tego świetnego tokenu sprzętowego, może być jego cena. Ale nie przesadzajmy, ponieważ za niewiele ponad 200zł kupuje się wieczysty token sprzętowy z możliwością logowania do prawie nieograniczonej ilości stron internetowych.
YubiKey 5Ci
Jest to dedykowany klucz do logowania się z urządzeń Apple i nie tylko. Posiada porty Lightning i USB-C, dlatego mogą go używać właściciele iPhone’ów, iPad’ów, Mac’ów, a także użytkownicy dowolnych urządzeń z portem USB typu C — mogą to być nowoczesne laptopy z Windows lub Linuksem albo smartfony z Androidem. Jest to najbardziej uniwersalny klucz dla większości urządzeń i dla różnych systemów operacyjnych
- Doskonale zabezpiecza logowanie wojskową technologią
- W 100% chroni przed przejęciem kont online
- Obsługuje wiele protokołów szyfrujących: FIDO2, U2F, karty inteligentne, OpenPGP, OTP
- Pasuje do wszystkich urządzeń z portem USB-C
- Zgodny z urządzeniami Apple z portem Lightning
- Działa we wszystkich przeglądarkach i systemach operacyjnych
Niedawno zaprezentowano Yubikey BIO — jest to wersja klucza bezpieczeństwa, która będzie rozpoznawała odcisk palca użytkownika, korzystając z technologii rozpoznawania linii papilarnych. Data wprowadzenia na rynek Yubikey BIO nie jest znana.
Sporo dużych serwisów społecznościowych oraz dostawców usług m.in. poczty internetowej umożliwia logowanie z wykorzystaniem tokenu sprzętowego. Protokół logowania U2F występuje w drugiej wersji: U2F/FIDO2 WebAuthn to druga generacja U2F. Tutaj użytkownik może zostać zidentyfikowany i uwierzytelniony bez podawania hasła w pierwszym kroku przy logowaniu.
U2F/FIDO2 nie wymaga drugiego składnika logowania, dlatego będzie wypierał 2FA. Na pewno potrwa to bardzo długo, zważywszy na powolną adaptację samego 2FA w Internecie i ciągle niską świadomości specjalistów IT. Zresztą niewiele jest serwisów, które oferują wyłącznie logowanie via FIODO2/Webauthn ze względu na sytuacje awaryjne — użytkownik gubiąc klucz może zalogować się do usługi za pomocą awaryjnej metody np. kodu z SMS. Dlatego najczęściej spotykanymi w sieci sposobami logowania są mieszane tryby — wspierane są zarówno 2FA (SMS, jednorazowy kod, PIN, odcisk palca), jak i U2F (sprzętowy token). Sugerujemy zakup od razu dwóch kluczy, aby jeden z nich był tokenem awaryjnym.
