W dzisiejszym cyfrowym świecie bezpieczeństwo danych jest kluczowe. Każdy, kto korzysta z Internetu, narażony jest na różnego rodzaju cyberzagrożenia. W wielu przedsiębiorstwach coraz więcej systemów wymaga logowania w sieci. Często każdy z pracowników posiada swoje własne konto osobiste. Oznacza to konieczność zwiększenia ochrony danych przed nieautoryzowanym dostępem. Jednym z najważniejszych narzędzi pozwalających na zapewnienie bezpieczeństwa naszych informacji jest uwierzytelnianie wieloskładnikowe. W tym artykule przyjrzymy się, dlaczego warto korzystać z MFA, szczególnie w kontekście platformy WithSecure Elements.
Wyjaśnienie ryzyka związanego z posiadaniem i logowaniem na konto
Gdy użytkownik loguje się do systemu przy użyciu swojej nazwy użytkownika i hasła, dane uwierzytelniające mogą już zostać naruszone – na przykład z powodu luki w zabezpieczeniach przeglądarki lub menedżera haseł.
Dane uwierzytelniające, które wyciekły, mogą znajdować się na publicznie dostępnej liście i zostać wykorzystane przez osoby atakujące do włamania się do systemów. Jeśli przestępca zna dane dostępowe, może podszywać się pod osobę, której dane wyciekły i wykonywać nielegalne działania w jej imieniu. Gdy uzyskają dostęp do konta, tak naprawdę nie ma ograniczeń co do tego, co może zrobić z informacjami, które są na nim przechowywane.
Potencjał wycieku danych, w tym danych osobowych
Wiele systemów zawiera dodatkowe informacje w ramach konta, takie jak adres pocztowy lub numer telefonu. Jeśli przestępca uzyska dostęp do tych szczegółów, otwiera się przed nim wiele innych możliwości ataku. Im więcej uzyskanych informacji umożliwiających identyfikację użytkownika, tym łatwiej powiązać je z innymi danymi, które wyciekły, co jeszcze bardziej naraża na atak. Co więcej, jeśli przestępcy uda się zdobyć informację należącą do dowolnego klienta firmy, mogą on się stać się celem, na przykład poprzez kampanię związaną z oprogramowaniem ransomware.
Utrata reputacji może kosztować fortunę
Wystarczy, że przestępca ogłosi, że uzyskał dostęp do systemu firmy, a reputacja przedsiębiorstwa zostaje naruszona. Może to oczywiście mieć bardzo realny wpływ na dobre imię firmy/marki, ponieważ obecni i potencjalni klienci mogą w przyszłości nie ufać jej w zakresie swoich informacji i interesów.
Christine Bejerasco, CISO w WithSecure, mówi: „Ataki oparte na hasłach to jeden z najpowszechniejszych i najskuteczniejszych wektorów ataków, jakie zaobserwowaliśmy. Ataki te są w dalszym ciągu skuteczne, ponieważ są tanie w wykonaniu, osoby atakujące mogą je przeprowadzić z dowolnego miejsca, a ponadto nadal istnieją usługi, które wykorzystują hasła jako jedyną metodę uwierzytelniania. Usługa MFA, wprowadza dodatkową warstwę uwierzytelniania, aby osoba atakująca musiała pokonać dodatkową barierę w celu dostania się do konta. Podnosi to koszt ataku i dla większości współczesnych cyberprzestępców wystarczy, aby uczynić ten wektor ataku bezużytecznym”.
Czym jest uwierzytelnianie wieloskładnikowe (MFA)?
Uwierzytelnianie wieloskładnikowe, czasami zastępowane terminem „uwierzytelnianie dwuskładnikowe” lub 2FA, to metoda zwiększająca bezpieczeństwo podczas procesu logowania do systemu.
Podstawowa zasada jest taka, że po wpisaniu nazwy użytkownika i hasła podczas uwierzytelniania w usłudze, pojawia się dodatkowe „wyzwanie bezpieczeństwa” przy użyciu zupełnie innego systemu, które należy pomyślnie zakończyć. Wysyłanie wyzwanie inną metodą powoduje, że atakujący również potrzebowałby dostępu do tej metody aby uzyskać wgląd w konto, a to zmniejsza w znaczny sposób ryzyko, że mu się to uda. Najczęściej przy uwierzytelnianiu dwuskładnikowym wyróżnia się następujące rodzaje czynników:
- Coś, co wiesz: np. hasło lub PIN.
- Coś, co masz: np. telefon komórkowy, token sprzętowy.
- Coś, czym jesteś: np. odcisk palca, rozpoznawanie twarzy.
„Wyzwania”, o których mowa wcześniej mogą mieć różną formę jak np. wiadomości e-mail na oddzielny adres e-mail, wiadomości SMS lub konieczności skorzystania z aplikacji uwierzytelniającej. Treść może zawierać kod numeryczny, który należy następnie potwierdzić w procesie logowania do usługi lub w inny podobny sposób.
Korzystanie z usługi MFA dla WithSecure Elements
Obsługa MFA w WithSecure Elements obejmuje następujące opcje:
- Powiadomienia push za pomocą aplikacji Auth0 Guardian Multi Factor Authenticator. Umożliwia ona zatwierdzenie żądania uwierzytelnienia jednym kliknięciem przycisku.
- Kod weryfikacyjny za pomocą aplikacji Authenticator np.: Microsoft Authenticator, Google Authenticator lub inny dowolny moduł uwierzytelniający oparty na TOTP dostępny na urządzeniu mobilnym czy komputerze. W tym przypadku do aplikacji Authenticator zostaje wysłany sześciocyfrowy kod uwierzytelniający, który należy wprowadzić w oknie logowania, aby kontynuować.
- Kod weryfikacyjny za pomocą wiadomości SMS. Na skonfigurowany przez użytkownika numer telefonu komórkowego wysyłany jest sześciocyfrowy kod uwierzytelniający za pośrednictwem wiadomości SMS. Aby kontynuować, należy wprowadzić ten kod w oknie logowania.
Należy pamiętać, że odbieranie wiadomości SMS może wiązać się z dodatkowymi kosztami, dlatego zalecamy, aby tej opcji używać wyłącznie jako dodatkowej metody uwierzytelniania, na wypadek utraty dostępu do podstawowej metody uwierzytelniania. Wskazówki dotyczące dobrego zarządzania hasłami i korzystania z usługi MFA.
Uwierzytelnienie wieloskładnikowe to niezbędny element nowoczesnej strategii bezpieczeństwa. W WithSecure Elements MFA jest łatwe do wdrożenia, zarządzania i znacząco zwiększa poziom ochrony danych. Korzystanie z MFA nie tylko chroni przed szerokim zakresem cyberzagrożeń, ale także pomaga spełniać wymogi regulacyjne, buduje zaufanie i minimalizuje ryzyko finansowe. Inwestycja w MFA to inwestycja w bezpieczeństwo i stabilność działalności firmy.
Ważne aby skonfigurować zawsze minimum 2 metody MFA, w celu zapewnienia dodatkowej ochrony w momencie utrata możliwości uwierzytelniania jedną z nich.
W ofercie naszej firmy znajdują się różne produkty do przeprowadzania autentykacji osób uprawnionych. Część z nich znajdziecie Państwo w kategorii Kontrola i Zarzadzanie w naszym sklepie o inne można pytać wysyłając wiadomość na adres [email protected] lub poprzez formularz kontaktowy.
O autorze: Marcelina Fusiek
Specjalista ds. marketingu
Od ponad 10 lat zajmuje się marketingiem. Jej doświadczenie wywodzi się z agencji reklamowej, gdzie poznała dziesiątki branż i pracowała nad wizerunkiem niezliczonej liczby firm. Biegła w wielu obszarach marketingu B2B.