Na portalu AVLab przeprowadziliśmy ankietę wśród naszych Czytelników. Badanie dotyczyło bezpieczeństwa dwuskładnikowego logowania w organizacjach. Respondenci ankiety mogli swobodnie wypowiedzieć się o metodach logowania się do służbowych zasobów internetowych w ich organizacjach.
Na pytanie „Czy w Twojej firmie używa się dwuskładnikowego logowania?” 40% ankietowanych odpowiedziało, że korzystanie z aplikacji lub klucza bezpieczeństwa jest dobrowolne. Zaświadcza to o dwóch rzeczach: dobrowolności w używaniu na własną rękę takich metod logowania, a więc i fragmentacji, rozproszeniu haseł i loginów przypadających na jednego pracownika, a także o konieczności budowaniu świadomości nawet wśród osób technicznych — administratorów IT i ludzi odpowiedzialnych za decyzje finansowania cyberbezpieczeństwa.
Świadomość niebezpieczeństw związanych z używaniem podstawowych poświadczeń logowania rozumie zaledwie co czwarta osoba (25%) i każdy z ankietowanych potwierdził, że bezpieczne logowanie co najmniej metodą 2FA wymusza firmowa polityka bezpieczeństwa. To bardzo niewiele biorąc pod uwagę fakt, że wieloskładnikowe uwierzytelnienie (2FA) nie gwarantuje pełnej ochrony przed atakami typu man-in-the-middle lub man-in-the-browser, ponieważ standard 2FA nie stosuje potwierdzenia logowania niezależnym kanałem komunikacji. Przypadki obchodzenia zabezpieczeń 2FA są znane ekspertom ds. bezpieczeństwa.
Na pytanie „Czy w Twojej firmie używa się dwuskładnikowego logowania?” aż 19% ankietowanych odpowiedziało, że nikt w ich organizacji jeszcze o tym nie wspominał. Mówiąc inaczej — co piąta firma nie przeprowadza dla swoich pracowników podstawowych szkoleń albo kursów.
Zanim zorientowano się, że niektóre z metod 2FA nie są w 100% odporne na ataki, to już pracowano nad ulepszonym, otwartym standardem, czyli FIDO U2F (bazującym na kryptografii klucza publicznego) oraz późniejszego FIDO2 (integrującego dodatkowo lokalne urządzenia uwierzytelniające).
Prace nad standardem logowania FIDO U2F zostały rozpoczęte przez Google oraz firmę Yubico — producenta sprzętowych kluczy bezpieczeństwa YubiKey, a następnie rozwijane przez konsorcjum setek firm z branży technologicznej o nazwie FIDO Alliance (https://fidoalliance.org).
Proste i bezpieczne logowanie z kluczami YubiKey
Dzięki kluczom bezpieczeństwa Yubikey ryzyko przejęcia konta internetowego w wyniku ataku phishingowego lub wycieku loginu i hasła jest ograniczone praktycznie do ZERA. Zalogowanie się na profil użytkownika np. do poczty GMail, firmowego zasobu, bez fizycznego dostępu do klucza nie będzie możliwe.
Hakerzy nie mają żadnych szans!
Yubikey chroni internetowe konta polityków, osób na kluczowych stanowiskach,
ekspertów z branży IT, a także redakcję AVLab.
Metoda uwierzytelnienia z pomocą sprzętowego tokenu np. YubiKey wspierającego standardy technologiczne FIDO U2F i FIDO2 gwarantuje jeden z najbezpieczniejszych sposobów logowania się do serwisów internetowych, serwerów, systemów domowych Windows i serwerów produkcyjnych.
Informację możecie Państwo wykorzystać dowolnie z zastrzeżeniem podania firmy AVLab.pl jako źródła.
