Badanie AVLab: Co piąty pracownik nic nie wie o dwuskładnikowym logowaniu

26 czerwca, 2020

Na portalu AVLab przeprowadziliśmy ankietę wśród naszych Czytelników. Badanie dotyczyło bezpieczeństwa dwuskładnikowego logowania w organizacjach. Respondenci ankiety mogli swobodnie wypowiedzieć się o metodach logowania się do służbowych zasobów internetowych w ich organizacjach.

Na pytanie „Czy w Twojej firmie używa się dwuskładnikowego logowania?” 40% ankietowanych odpowiedziało, że korzystanie z aplikacji lub klucza bezpieczeństwa jest dobrowolne. Zaświadcza to o dwóch rzeczach: dobrowolności w używaniu na własną rękę takich metod logowania, a więc i fragmentacji, rozproszeniu haseł i loginów przypadających na jednego pracownika, a także o konieczności budowaniu świadomości nawet wśród osób technicznych — administratorów IT i ludzi odpowiedzialnych za decyzje finansowania cyberbezpieczeństwa.

Świadomość niebezpieczeństw związanych z używaniem podstawowych poświadczeń logowania rozumie zaledwie co czwarta osoba (25%) i każdy z ankietowanych potwierdził, że bezpieczne logowanie co najmniej metodą 2FA wymusza firmowa polityka bezpieczeństwa. To bardzo niewiele biorąc pod uwagę fakt, że wieloskładnikowe uwierzytelnienie (2FA) nie gwarantuje pełnej ochrony przed atakami typu man-in-the-middle lub man-in-the-browser, ponieważ standard 2FA nie stosuje potwierdzenia logowania niezależnym kanałem komunikacji. Przypadki obchodzenia zabezpieczeń 2FA są znane ekspertom ds. bezpieczeństwa.

Na pytanie „Czy w Twojej firmie używa się dwuskładnikowego logowania?” aż 19% ankietowanych odpowiedziało, że nikt w ich organizacji jeszcze o tym nie wspominał. Mówiąc inaczej — co piąta firma nie przeprowadza dla swoich pracowników podstawowych szkoleń albo kursów.  

Zanim zorientowano się, że niektóre z metod 2FA nie są w 100% odporne na ataki, to już pracowano nad ulepszonym, otwartym standardem, czyli FIDO U2F (bazującym na kryptografii klucza publicznego) oraz późniejszego FIDO2 (integrującego dodatkowo  lokalne urządzenia uwierzytelniające). 

Prace nad standardem logowania FIDO U2F zostały rozpoczęte przez Google oraz firmę Yubico — producenta sprzętowych kluczy bezpieczeństwa YubiKey, a następnie rozwijane przez konsorcjum setek firm z branży technologicznej o nazwie FIDO Alliance (https://fidoalliance.org).

Proste i bezpieczne logowanie z kluczami YubiKey

Dzięki kluczom bezpieczeństwa Yubikey ryzyko przejęcia konta internetowego w wyniku ataku phishingowego lub wycieku loginu i hasła jest ograniczone praktycznie do ZERA. Zalogowanie się na profil użytkownika np. do poczty GMail, firmowego zasobu, bez fizycznego dostępu do klucza nie będzie możliwe.

Hakerzy nie mają żadnych szans!

Yubikey chroni internetowe konta polityków, osób na kluczowych stanowiskach,
ekspertów z branży IT, a także redakcję AVLab.

Metoda uwierzytelnienia z pomocą sprzętowego tokenu np. YubiKey wspierającego standardy technologiczne FIDO U2F i FIDO2 gwarantuje jeden z najbezpieczniejszych sposobów logowania się do serwisów internetowych, serwerów, systemów domowych Windows i serwerów produkcyjnych.

Informację możecie Państwo wykorzystać dowolnie z zastrzeżeniem podania firmy AVLab.pl jako źródła.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]