Przewodnik kupującego dotyczący uwierzytelniania bez hasła

Opublikowany: 2020-09-09

Prawdopodobnie minęło bardzo dużo czasu, odkąd oceniałeś swoje rozwiązania dotyczące uwierzytelniania użytkowników.

W końcu firmy nie codziennie szukają nowego rozwiązania do uwierzytelniania użytkowników. Niektórzy nigdy nie używali niczego innego niż proste hasło do uwierzytelnienia swoich użytkowników. Inni mogli wdrożyć tradycyjne rozwiązanie uwierzytelniania wieloskładnikowego w celu rozwiązania określonych problemów związanych z bezpieczeństwem związanych z uwierzytelnianiem połączeń dostępu zdalnego lub w odpowiedzi na wymóg prawny dotyczący silniejszego uwierzytelniania. Ten krótki przewodnik zawiera aktualny przegląd nowoczesnych podejść do uwierzytelniania użytkowników.

Opublikowany w 2017 r. raport o naruszeniu danych firmy Verizon (DBIR) okazał się przełomowym momentem w postrzeganiu uwierzytelniania użytkowników. Raport trafił na pierwsze strony gazet w całym świecie IT, gdy ujawnił, że 81 procent naruszeń danych było wynikiem złamanych haseł.

To wtedy wiele firm zdało sobie sprawę, że hasła nie rozwiązują ich problemów związanych z bezpieczeństwem, a zamiast tego powodują ich wiele, i zaczęły szukać alternatywnych opcji uwierzytelniania. Jest to moment, w którym uwierzytelnianie bez hasła przeszło z niszowej alternatywy poszukiwanej przez przyszłościowe firmy do czegoś, o czym wszyscy mówili.

Co to jest uwierzytelnianie bez hasła?

Uwierzytelnianie bez hasła definiuje klasę rozwiązań uwierzytelniania, które weryfikują tożsamość użytkownika bez użycia hasła. Dowód tożsamości opiera się na innych czynnikach, które jednoznacznie identyfikują użytkownika, takich jak posiadanie czegoś jednoznacznie powiązanego z użytkownikiem (np. generatora haseł jednorazowych, zarejestrowanego urządzenia mobilnego lub tokena sprzętowego) lub podpisu biometrycznego użytkownika (np. odcisk palca, odcisk twarzy, skan siatkówki itp.). Uwierzytelnianie oparte na czymś, co użytkownik wie (tj. uwierzytelnianie oparte na wiedzy) jest również możliwe, o ile to coś nie jest hasłem.

4 rodzaje metod uwierzytelniania bezhasłowego

Oto kilka powszechnie używanych metod uwierzytelniania bez hasła, z których ludzie często wybierają:

Kody jednorazowe

Jednorazowy kod wysłany na zarejestrowane urządzenie mobilne lub adres e-mail. Jest to zazwyczaj wdrażane przez firmy w celu uwierzytelniania swoich klientów (B2C). Jest rzadziej używany do uwierzytelniania przedsiębiorstwa, czyli do uwierzytelniania pracowników.

Biometria

Ta metoda uwierzytelniania bez hasła stała się normą w uwierzytelnianiu użytkowników na urządzeniach mobilnych, dzięki popularnym implementacjom technologii w Apple Face ID oraz uwierzytelnianiu odciskiem palca, które jest powszechnie dostępne nawet na najtańszych urządzeniach mobilnych. Biometria służy przede wszystkim do uwierzytelniania użytkownika na samym urządzeniu, a rzadziej na zasobach, do których uzyskuje się dostęp z urządzenia.

Dedykowane sprzętowe tokeny bezpieczeństwa

Dedykowane sprzętowe tokeny zabezpieczające, zwykle przechowujące poświadczenia infrastruktury klucza publicznego (PKI). W ostatnich latach urządzenia zgodne z FIDO, takie jak YubiKeys, zyskują na popularności jako alternatywa do uwierzytelniania użytkowników o wysokim stopniu pewności dla haseł. Urządzenia te zapewniają dobry poziom bezpieczeństwa, ponieważ są trudne do podrobienia i wymagają fizycznego posiadania, ale są również dość drogie i niewygodne w noszeniu i użytkowaniu przez użytkowników.

Dane uwierzytelniające dołączone do urządzenia hosta

To poświadczenie (tj. certyfikat uwierzytelniania klienta PKI przypięty do komputera osobistego) jest najczęściej używany do uwierzytelniania stacji roboczych pracowników w sieciach i zasobach firmowych. Również tutaj rozwiązania zgodne z FIDO zyskują na popularności, a najbardziej godnym uwagi przykładem jest Microsoft Windows Hello for Business. Funkcja Windows Hello jest dostępna w nowszych wersjach systemu Windows i łączy poświadczenie zgodne z FIDO z kodem PIN użytkownika lub wydrukiem biometrycznym w celu odblokowania dostępu do poświadczeń.

Uwierzytelnianie wieloskładnikowe (MFA) a uwierzytelnianie bez hasła

Połączenie wielu form uwierzytelniania w celu potwierdzenia tożsamości skutkuje uwierzytelnianiem wieloskładnikowym (MFA). W przeszłości MFA był używany jako sposób na poprawę bezpieczeństwa uwierzytelniania opartego na hasłach. Używanie hasła (coś, co znasz) wraz z dedykowanym brelokiem lub zarejestrowanym urządzeniem mobilnym (coś, co masz) zapewniłoby wiele czynników uwierzytelniania, które są trudniejsze do wyłudzenia, złamania lub zhakowania, a tym samym zapewnią wyższy poziom pewności.

Obecnie możliwe jest wykorzystanie wielu czynników uwierzytelniania bez haseł jako jednego z czynników, co skutkuje bezhasłową MFA. Najczęściej używanymi czynnikami uwierzytelniającymi dla MFA bez hasła są zarejestrowane urządzenie mobilne użytkownika wraz z kodem PIN użytkownika lub odciskiem palca dostarczonym przez wbudowany czujnik odcisków palców urządzenia.

Uwagi dotyczące oceny rozwiązania do uwierzytelniania bez hasła

Na co więc powinno zwrócić się przedsiębiorstwo, szukając odpowiedniego rozwiązania do uwierzytelniania? Przy zakupie nowego rozwiązania do uwierzytelniania użytkowników należy wziąć pod uwagę wiele kwestii, ale trzy najważniejsze to:

Czy rozwiązanie do uwierzytelniania obsługuje pełną gamę przypadków użycia uwierzytelniania użytkowników?

Najbardziej podstawową kwestią jest to, czy rozwiązanie do uwierzytelniania obsługuje przypadki użycia uwierzytelniania w pełnym zakresie, z jakimi spotykają się użytkownicy w ciągu ich dnia pracy. Gdy określone przypadki użycia nie są obsługiwane, dostępna jest jedna z dwóch opcji: pozostawienie istniejącego rozwiązania do uwierzytelniania — zazwyczaj prostą nazwę użytkownika i hasło — lub wprowadzenie drugiego rozwiązania do uwierzytelniania.

Powrót do nazw użytkowników i haseł przekreśla cel inwestowania w lepsze, bezpieczniejsze rozwiązanie uwierzytelniania, ponieważ oznacza to, że podatne hasła mogą być nadal wykorzystywane przez atakujących, narażając firmę na ryzyko. Można to porównać do budowania muru obronnego wokół domu i pozostawienia tylnego wejścia z kłódką.

Uzyskanie drugiego rozwiązania do uwierzytelniania, które może obsłużyć nieobsługiwane przypadki użycia, oznacza wdrożenie innego rozwiązania, a co ważniejsze, wymaganie od użytkowników noszenia przy sobie innego poświadczenia/uwierzytelniającego. Jest to kosztowna propozycja, która zapewnia również wrażenia, które prawdopodobnie będą frustrować użytkowników.

Obsługa pełnego zakresu przypadków użycia uwierzytelniania użytkowników może dodać do wielu scenariuszy dla typowego przedsiębiorstwa. Typowe przypadki użycia w przedsiębiorstwach obejmują:

  • Logowanie do stacji roboczych, w tym hostów Windows i Mac, a w niektórych firmach Linux jest również ważnym czynnikiem. Jest to często najtrudniejszy przypadek użycia dla wielu rozwiązań uwierzytelniania, ponieważ wymaga delikatnej integracji z systemami operacyjnymi i rozwiązaniami do zarządzania domenami sieciowymi.
  • Zdalny dostęp VPN to podstawowa technologia, która umożliwia pracownikom mobilnym i zdalnym pozostawanie w kontakcie z pracą. W użyciu jest kilka technologii i wielu dostawców oferujących rozwiązania. Na szczęście z biegiem lat pojawił się zestaw standardów umożliwiających prostą integrację z systemami uwierzytelniania.
  • Dostęp do aplikacji w chmurze stał się głównym nurtem nawet dla najbardziej tradycyjnych przedsiębiorstw. Chociaż istnieją pewne standardy ułatwiające interoperacyjność między systemami uwierzytelniania przedsiębiorstwa a usługami w chmurze, nie wszystkie są w pełni gotowe. Konkurencyjne standardy i częste zmiany istniejących standardów sprawiają, że wspieranie dostępu do usług w chmurze stało się ruchomym celem.
  • Uwierzytelnianie offline było piętą achillesową wielu systemów uwierzytelniania w ogóle, a w szczególności uwierzytelniania wieloskładnikowego (MFA). Stanowi to trudne wyzwanie, ponieważ większość rozwiązań uwierzytelniających została zaprojektowana dla połączonego świata. Jeśli więc połączenie sieciowe nie działa lub jest niedostępne, a serwer uwierzytelniający jest niedostępny, wymagane są skomplikowane obejścia, aby zapewnić, że użytkownicy będą mogli kontynuować uwierzytelnianie na swoim komputerze i zasobach hostowanych lokalnie.
  • Utracony wystawca uwierzytelnienia powoduje ogromny ból głowy, zwłaszcza gdy jest to uwierzytelniacz sprzętowy. Fizyczne wysłanie tokena zastępczego do zdalnego pracownika jest kosztowne i czasochłonne. Aby zapobiec przedłużającym się przestojom, dla niektórych sprzętowych rozwiązań MFA opracowano rozwiązania do odzyskiwania oparte na oprogramowaniu.

Ogólnie rzecz biorąc, nowoczesne rozwiązanie do uwierzytelniania korporacyjnego musi być wszechstronnym graczem, który poradzi sobie z szeroką gamą przypadków uwierzytelniania. Wybór rozwiązania punktowego, które dobrze rozwiązuje określone przypadki użycia, prawdopodobnie spowoduje konieczność wdrożenia wielu rozwiązań uwierzytelniania, co jest kosztowne i trudne dla użytkowników.

Czy rozwiązanie do uwierzytelniania będzie działać z tym, co już masz?

Rzeczywistość dla większości przedsiębiorstw jest taka, że ​​przez lata inwestowania w IT nabyły one zróżnicowaną mieszankę systemów i aplikacji. Te systemy są rzeczywistością, którą należy uznać, a każde nowe rozwiązanie uwierzytelniające musi być w stanie współpracować ze wszystkim, co już jest na miejscu. Podejście typu rip-and-replace jest po prostu zbyt bolesne i kosztowne.

Należy zatem oczekiwać, że nowoczesne rozwiązania w zakresie uwierzytelniania będą projektowane z myślą o obsłudze starszych systemów i aplikacji oraz łatwej integracji z istniejącymi inwestycjami informatycznymi. Obsługa istniejących katalogów użytkowników (np. Active Directory), praca ze starszymi systemami, praca z istniejącymi rozwiązaniami uwierzytelniania itp. powinny być wbudowane w rozwiązanie, a nie coś, co wymaga kosztownych projektów dostosowywania i integracji.

Powinna być również wymagana praca z istniejącymi rozwiązaniami uwierzytelniającymi, takimi jak tokeny USB, tokeny OTP, uwierzytelnianie FIDO, uwierzytelnianie mobilne i inne. Wiele przedsiębiorstw zainwestowało w silne rozwiązania uwierzytelniania, co oznacza, że ​​prawie nie ma możliwości od podstaw, gdzie nic innego nie jest wdrożone. Tak więc praca w harmonii z istniejącymi rozwiązaniami uwierzytelniania, uproszczenie operacji heterogenicznego środowiska uwierzytelniania i zapewnienie środków do stopniowego wycofywania starszych rozwiązań i migracji do bardziej nowoczesnych stało się ważnym czynnikiem samym w sobie.

Czy rozwiązanie spełnia wymagania audytorów i regulatorów?

Obecnie większość przedsiębiorstw działa w branżach regulowanych i podlega surowym wymaganiom dotyczącym ochrony danych i uwierzytelniania użytkowników. Zgodność z przepisami i standardami branżowymi, takimi jak PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR itp., jest zatem istotnym czynnikiem i często głównym motorem inwestycji w nowe rozwiązanie do uwierzytelniania użytkowników.

Korzyści z uwierzytelniania bez hasła

Uwierzytelnianie bez hasła to jeden z tych rzadkich przypadków w życiu, w których nowe rozwiązanie jest wyraźnie lepsze pod każdym względem. Jego wybór nie wymaga żadnych kompromisów ani rozważania zalet i wad. Uwierzytelnianie bez hasła zapewnia lepsze bezpieczeństwo, lepsze wrażenia użytkownika oraz jest tańsze w posiadaniu i obsłudze w porównaniu z rozwiązaniami uwierzytelniania opartymi na hasłach.

Poprawia wrażenia użytkownika

Uwierzytelnianie bez hasła zapewnia lepsze wrażenia użytkownika, ponieważ użytkownicy nie muszą przypominać i wprowadzać haseł. Oznacza to szybsze logowanie i mniej nieudanych prób. A hasła nigdy nie są zapominane lub muszą być zresetowane, co oznacza mniej przestojów spowodowanych zgubieniem lub zapomnianym hasłem i mniej problemów.

Poprawia ogólne bezpieczeństwo

Zastąpienie podatnych haseł dobrze zaprojektowanym rozwiązaniem do uwierzytelniania bezhasłowego faktycznie poprawia bezpieczeństwo, ponieważ bezhasło jest odporne na phishing i zapewnia lepszą ochronę przed innymi formami ataków na dostęp do poświadczeń, w tym typu man-in-the-middle, keyloggerami, upychaniem poświadczeń, rozpylaniem haseł i innymi .

Na dłuższą metę jest taniej

Uwierzytelnianie bez hasła jest tańsze w posiadaniu i obsłudze w porównaniu z hasłami. Hasła wymagają kosztownego zarządzania, ponieważ wymagają obsługi systemów zarządzania hasłami, aby umożliwić użytkownikom okresowe odświeżanie haseł i sporadyczne resetowanie haseł.

Hasła powodują również znaczne obciążenie helpdesków, gdy użytkownicy zapominają swoje hasła lub tracą swój token uwierzytelniający i dzwonią do helpdesku w celu uzyskania pomocy w odzyskaniu. Dalsze oszczędności można osiągnąć poprzez zamknięcie programów zapobiegania phishingowi, które mają na celu edukowanie użytkowników i ochronę ich przed phishingiem. Dobrze zaprojektowane uwierzytelnianie bez hasła jest odporne na phishing.

Wyzwania z uwierzytelnianiem bez hasła

Najważniejszym wyzwaniem dla firm, które decydują się na wdrożenie uwierzytelniania bezhasłowego, są zwykle starsze systemy i aplikacje, które nie zostały zaprojektowane do uwierzytelniania bezhasłowego. Tak więc, chociaż łatwo jest uwierzyć w wizję miejsca pracy bez haseł, dotarcie do niego może być zniechęcające w przypadku heterogenicznego środowiska IT, które łączy nowe i przestarzałe systemy.

Jednym ze sposobów jest wdrożenie uwierzytelniania bezhasłowego tylko dla systemów i aplikacji, które je obsługują. Przekłada się to na ogół na wdrożenie uwierzytelniania bezhasłowego dla aplikacji w chmurze, a czasem także w nowszych systemach operacyjnych (tj. najnowszych wersjach Windows 10). Ale przejście bez hasła to tak naprawdę wysiłek typu „wszystko albo nic”: albo pozbywasz się haseł, albo nie.

Tak więc, aby pomyślnie wdrożyć uwierzytelnianie bez hasła dla użytkowników, zwykle nie wystarczy zdecydować, że bezhasła jest lepszą, tańszą i bezpieczniejszą opcją. Ważne jest, aby wybrać technologię, która pomoże wdrożyć bez hasła w istniejącym i heterogenicznym środowisku IT, a także zająć się wszystkimi przypadkami użycia uwierzytelniania.

Krajobraz rozwiązań uwierzytelniania bez hasła

Prawie każdy dostawca rozwiązań do uwierzytelniania na rynku twierdzi, że oferuje uwierzytelnianie bez hasła. Zasiedziali dostawcy uwierzytelniania dostosowali swoją ofertę MFA, aby umożliwić niektóre formy uwierzytelniania bez hasła w niektórych przypadkach użycia. Nowi gracze uwierzytelniający idą na całość bez haseł, kierując się do klientów z nowoczesną infrastrukturą i aplikacjami, które będą dobrze współpracować z bezhasłowymi – starsze systemy i aplikacje pozostają w tyle.

Jednak powszechne wdrażanie uwierzytelniania bez hasła nadal nie jest możliwe w przypadku większości przedsiębiorstw, ponieważ nadal istnieje wiele systemów i aplikacji, które nie są zaprojektowane do pracy bez hasła. Pozostawienie haseł na miejscu dla niektórych systemów prawie przekreśla cel, ponieważ aby skorzystać z bezhasła, naprawdę musisz pozbyć się wszystkich haseł.

Pomyślna migracja do rozwiązania uwierzytelniania bez hasła wymaga rozwiązania, które może działać we wszystkich systemach i aplikacjach, zapewniając uwierzytelnianie bez hasła tam, gdzie to możliwe, i tworząc środowisko bez hasła, w którym nie jest możliwe. Zaletą tego podejścia jest to, że z perspektywy UX użytkownicy nie muszą tworzyć, przypominać ani wprowadzać hasła.

Z punktu widzenia bezpieczeństwa hasła są albo całkowicie usuwane, albo po prostu nieznane użytkownikom, co czyni je odpornymi na phishing. Co więcej, podczas wdrażania środowiska bez hasła, hasłami zarządzają maszyny, co oznacza, że ​​korzystają z wysokiej złożoności i częstych rotacji, co z kolei czyni je bardziej odpornymi na wiele form ataków na hasła.