Firma Yubico opublikowała raport dotyczący zarządzania hasłami w organizacjach. Producent sprzętowych kluczy bezpieczeństwa zlecił przygotowanie badania instytutowi Panemon. W internetowej ankiecie wzięło udział 2507 specjalistów ds. bezpieczeństwa z Australii, Francji, Niemiec, Szwecji, Wielkiej Brytanii i Stanów Zjednoczonych, a także 563 indywidualnych użytkowników. Główne wnioski z raportu nie napawają optymizmem. W kwestii uświadamiania ryzyka nadal jest wiele do zrobienia — zarówno specjaliści IT, jak i osoby prywatne zakorzenione mają niedobre praktyki zarządzania hasłami. Wielu specjalistów nawet nie korzysta z uwierzytelnienia dwuskładnikowego (2FA).

Najważniejsze wnioski z raportu

  • 50% specjalistów i 39% indywidualnych użytkowników loguje się do prywatnych serwisów w miejscu pracy za pomocą swoich haseł. 
  • 59% specjalistów twierdzi, że polityka zarządzania hasłami w ich organizacji polega na ludzkiej pamięci (brak menadżerów haseł!).
  • Mniej niż połowa (46%) specjalistów IT twierdzi, że w ich firmach wymaga się korzystania z 2FA, aby uzyskać dostęp do kont firmowych.
  • 62% respondentów nie ​​podejmuje niezbędnych kroków w celu ochrony informacji na urządzeniach mobilnych.
  • 37% organizacji, które wdrażają 2FA w celu zabezpieczenia kont firmowych polega na aplikacjach do mobilnego uwierzytelniania, a 28% na kodach SMS.
  • 23% osób uważa, że ​​metody uwierzytelniania za pomocą SMS-ów lub aplikacji mobilnych 2FA są bardzo niewygodne.
  • 56% osób korzystających z urządzenia mobilnego w celu uzyskania dostępu do zasobów związanych z pracą nie korzysta z 2FA. 

Pogrubioną czcionką zaznaczyliśmy ustalenia, które precyzują potrzebę używania łatwego i bezpiecznego rozwiązania. Okazuje się, że pracownicy IT, uznawani za „specjalistów”, nie korzystają z bezpiecznej metody logowania jaką są sprzętowe tokeny. Zaświadcza to o niedużej świadomości zarządzania hasłami, braku wiedzy o atakach przechwytujących logowanie 2FA, oraz niedostatecznej znajomości zalet sprzętowego tokenu, który znacząco ułatwia logowanie, robiąc to BARDZO bezpiecznie.

2FA jest mało stosowane nawet przez specjalistów IT.
Rys. Źródło: https://www.yubico.com/blog/yubico-releases-2020-state-of-password-and-authentication-security-behaviors-report/

2FA => U2F/FIDO2

Wielokrotnie przedstawialiśmy korzyści z posiadania klucza bezpieczeństwa Yubikey firmy Yubico. Pewną barierą przed używaniem tego świetnego tokenu sprzętowego, może być jego cena. Ale nie przesadzajmy, ponieważ za niewiele ponad 200zł kupuje się wieczysty token sprzętowy z możliwością logowania do prawie nieograniczonej ilości stron internetowych.

Gdzie kupić klucz bezpieczeństwa?

Dla kluczy sprzętowych Yubikey polecamy rekomendowanych sprzedawców z naszych linków referencyjnych, które podajemy poniżej. Za każdą transakcję otrzymamy niewielką prowizję. Alternatywą dla kluczy Yubikey są Google Titan Security Key (niedostępne w Polsce) i Nitrokey (trudno dostępne w Polsce).

W zależności od modelu, klucz jest wyposażony np. w technologię NFC (logowanie w telefonach z NFC) lub port USB typu C. Dostępne są też tokeny dla smartfonów i komputerów Apple - dwukierunkowe klucze z portem USB typu C i z drugiej strony z portem Lightning (to tzw. Yubkkey 5Ci).

Niedawno zaprezentowano Yubikey BIO — jest to wersja klucza bezpieczeństwa, która będzie rozpoznawała odcisk palca użytkownika, korzystając z technologii rozpoznawania linii papilarnych. Data wprowadzenia na rynek Yubikey BIO nie jest znana.

Sporo dużych serwisów społecznościowych oraz dostawców usług m.in. poczty internetowej umożliwia logowanie z wykorzystaniem tokenu sprzętowego. Protokół logowania U2F występuje w drugiej wersji: U2F/FIDO2 WebAuthn to druga generacja U2F. Tutaj użytkownik może zostać zidentyfikowany i uwierzytelniony bez podawania hasła w pierwszym kroku przy logowaniu.

U2F/FIDO2 nie wymaga drugiego składnika logowania, dlatego będzie wypierał 2FA. Na pewno potrwa to bardzo długo, zważywszy na powolną adaptację samego 2FA w Internecie i ciągle niską świadomości specjalistów IT. Zresztą niewiele jest serwisów, które oferują wyłącznie logowanie via FIODO2/Webauthn ze względu na sytuacje awaryjne — użytkownik gubiąc klucz może zalogować się do usługi za pomocą awaryjnej metody np. kodu z SMS. Dlatego najczęściej spotykanymi w sieci sposobami logowania są mieszane tryby — wspierane są zarówno 2FA (SMS, jednorazowy kod, PIN, odcisk palca), jak i U2F (sprzętowy token). Sugerujemy zakup od razu dwóch kluczy, aby jeden z nich był tokenem awaryjnym.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Wadalber sob., 22-02-2020 - 00:19

Jakoś nikt nie wspomina, że problemem dla wielu może być też koszt takiego klucza, a zasadniczo powinno się posiadać dwa. Nie ma też uniwersalnego klucza USB i USB-C.

Bartek pon., 24-02-2020 - 22:44

Co do ceny nie przesadzajmy. YubiKey'e są faktycznie drogie, ale i najlepsze. Nie są też jedyne. Nie tak dawno kupiłem na Amazonie klucze U2F firmy Hyperfido. Za 4szt. z wysyłką do Polski zapłaciłem bodajże 135 złotych. Oczywiście były na wyprzedaży. Na codzień używam YubiKey'a 4 i 5 NFC. Ich główną zaletą jak dla mnie jest statyczne hasło. Inne hasła trzymam w menadżerze haseł, ale główne hasło, które umożliwia mi zalogowanie się do niego mam właśnie na YubiKey'ach.

Dodane przez Wadalber w odpowiedzi na

Adrian Ścibor sob., 22-02-2020 - 04:16

Jest wspomniane :) to jednorazowy koszt. Nie trzeba odnawiać co rok licencji bo takiej nie ma.

Dwa klucze mieć najlepiej. Ale jeden też wystarczy. Jak stoi w artykule wiele serwisów oferuje awaryjne metody logowania bez klucza po jego zgubieniu np. Google.

Klucz zwykły z NFC ma port A więc pasuje to każdego komputera z USB 2.0 i USB 3
0. Nie trzeba żadnych przejściówek.

Dodaj komentarz