2FA ciągle nie jest standardem. Wiele firm nawet nie korzysta z menadżerów haseł

21 lutego 2020

Firma Yubico opublikowała raport dotyczący zarządzania hasłami w organizacjach. Producent sprzętowych kluczy bezpieczeństwa zlecił przygotowanie badania instytutowi Panemon. W internetowej ankiecie wzięło udział 2507 specjalistów ds. bezpieczeństwa z Australii, Francji, Niemiec, Szwecji, Wielkiej Brytanii i Stanów Zjednoczonych, a także 563 indywidualnych użytkowników. Główne wnioski z raportu nie napawają optymizmem. W kwestii uświadamiania ryzyka nadal jest wiele do zrobienia — zarówno specjaliści IT, jak i osoby prywatne zakorzenione mają niedobre praktyki zarządzania hasłami. Wielu specjalistów nawet nie korzysta z uwierzytelnienia dwuskładnikowego (2FA).

Najważniejsze wnioski z raportu

  • 50% specjalistów i 39% indywidualnych użytkowników loguje się do prywatnych serwisów w miejscu pracy za pomocą swoich haseł. 
  • 59% specjalistów twierdzi, że polityka zarządzania hasłami w ich organizacji polega na ludzkiej pamięci (brak menadżerów haseł!).
  • Mniej niż połowa (46%) specjalistów IT twierdzi, że w ich firmach wymaga się korzystania z 2FA, aby uzyskać dostęp do kont firmowych.
  • 62% respondentów nie podejmuje niezbędnych kroków w celu ochrony informacji na urządzeniach mobilnych.
  • 37% organizacji, które wdrażają 2FA w celu zabezpieczenia kont firmowych polega na aplikacjach do mobilnego uwierzytelniania, a 28% na kodach SMS.
  • 23% osób uważa, że metody uwierzytelniania za pomocą SMS-ów lub aplikacji mobilnych 2FA są bardzo niewygodne.
  • 56% osób korzystających z urządzenia mobilnego w celu uzyskania dostępu do zasobów związanych z pracą nie korzysta z 2FA. 

Pogrubioną czcionką zaznaczyliśmy ustalenia, które precyzują potrzebę używania łatwego i bezpiecznego rozwiązania. Okazuje się, że pracownicy IT, uznawani za „specjalistów”, nie korzystają z bezpiecznej metody logowania jaką są sprzętowe tokeny. Zaświadcza to o niedużej świadomości zarządzania hasłami, braku wiedzy o atakach przechwytujących logowanie 2FA, oraz niedostatecznej znajomości zalet sprzętowego tokenu, który znacząco ułatwia logowanie, robiąc to BARDZO bezpiecznie.

2FA jest mało stosowane nawet przez specjalistów IT.https://www.yubico.com/blog/yubico-releases-2020-state-of-password-and-authentication-security-behaviors-report/” data-entity-type=”file” data-entity-uuid=”25d376f5-f65f-4ff4-ad02-3e894a1b7612″ src=”/wp-content/uploads/2020/02/2020_ponemon_yubikey.png” width=”1560″ height=”1920″>

2FA => U2F/FIDO2

Wielokrotnie przedstawialiśmy korzyści z posiadania klucza bezpieczeństwa Yubikey firmy Yubico. Pewną barierą przed używaniem tego świetnego tokenu sprzętowego, może być jego cena. Ale nie przesadzajmy, ponieważ za niewiele ponad 200zł kupuje się wieczysty token sprzętowy z możliwością logowania do prawie nieograniczonej ilości stron internetowych.

Gdzie kupić klucz bezpieczeństwa?

Dla kluczy sprzętowych Yubikey polecamy rekomendowanych sprzedawców z naszych linków referencyjnych, które podajemy poniżej. Za każdą transakcję otrzymamy niewielką prowizję. Alternatywą dla kluczy Yubikey są Google Titan Security Key (niedostępne w Polsce) i Nitrokey (trudno dostępne w Polsce).

YubiKey 5Ci

Jest to dedykowany klucz do logowania się z urządzeń Apple i nie tylko. Posiada porty Lightning i USB-C, dlatego mogą go używać właściciele iPhone’ów, iPad’ów, Mac’ów, a także użytkownicy dowolnych urządzeń z portem USB typu C — mogą to być nowoczesne laptopy z Windows lub Linuksem albo smartfony z Androidem. Jest to najbardziej uniwersalny klucz dla większości urządzeń i dla różnych systemów operacyjnych

  • Doskonale zabezpiecza logowanie wojskową technologią
  • W 100% chroni przed przejęciem kont online
  • Obsługuje wiele protokołów szyfrujących: FIDO2, U2F, karty inteligentne, OpenPGP, OTP
  • Pasuje do wszystkich urządzeń z portem USB-C
  • Zgodny z urządzeniami Apple z portem Lightning
  • Działa we wszystkich przeglądarkach i systemach operacyjnych

Niedawno zaprezentowano Yubikey BIO — jest to wersja klucza bezpieczeństwa, która będzie rozpoznawała odcisk palca użytkownika, korzystając z technologii rozpoznawania linii papilarnych. Data wprowadzenia na rynek Yubikey BIO nie jest znana.

Sporo dużych serwisów społecznościowych oraz dostawców usług m.in. poczty internetowej umożliwia logowanie z wykorzystaniem tokenu sprzętowego. Protokół logowania U2F występuje w drugiej wersji: U2F/FIDO2 WebAuthn to druga generacja U2F. Tutaj użytkownik może zostać zidentyfikowany i uwierzytelniony bez podawania hasła w pierwszym kroku przy logowaniu.

U2F/FIDO2 nie wymaga drugiego składnika logowania, dlatego będzie wypierał 2FA. Na pewno potrwa to bardzo długo, zważywszy na powolną adaptację samego 2FA w Internecie i ciągle niską świadomości specjalistów IT. Zresztą niewiele jest serwisów, które oferują wyłącznie logowanie via FIODO2/Webauthn ze względu na sytuacje awaryjne — użytkownik gubiąc klucz może zalogować się do usługi za pomocą awaryjnej metody np. kodu z SMS. Dlatego najczęściej spotykanymi w sieci sposobami logowania są mieszane tryby — wspierane są zarówno 2FA (SMS, jednorazowy kod, PIN, odcisk palca), jak i U2F (sprzętowy token). Sugerujemy zakup od razu dwóch kluczy, aby jeden z nich był tokenem awaryjnym.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
3 komentarzy
Inline Feedbacks
View all comments
Wadalber
Wadalber
5 miesięcy temu

Jakoś nikt nie wspomina, że problemem dla wielu może być też koszt takiego klucza, a zasadniczo powinno się posiadać dwa. Nie ma też uniwersalnego klucza USB i USB-C.

Bartek
Bartek
5 miesięcy temu
To jest odpowiedź do  Wadalber

Co do ceny nie przesadzajmy. YubiKey’e są faktycznie drogie, ale i najlepsze. Nie są też jedyne. Nie tak dawno kupiłem na Amazonie klucze U2F firmy Hyperfido. Za 4szt. z wysyłką do Polski zapłaciłem bodajże 135 złotych. Oczywiście były na wyprzedaży. Na codzień używam YubiKey’a 4 i 5 NFC. Ich główną zaletą jak dla mnie jest statyczne hasło. Inne hasła trzymam w menadżerze haseł, ale główne hasło, które umożliwia mi zalogowanie się do niego mam właśnie na YubiKey’ach.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone