Uwierzytelnianie wieloskładnikowe. To nie opcja, tylko konieczność

Przeczytaj także: Uwierzytelnienie dwuskładnikowe MFA: jakie ma słabości?

Rosnąca popularność uwierzytelniania wieloskładnikowego to odpowiedź zarówno na coraz bardziej wyrafinowane oszustwa finansowe oraz cyberataki, jak i na rozpowszechnienie się płatności mobilnych, trendu BYOD (Bring Your Own Device), czy - jak ma to miejsce obecnie - modelu pracy zdalnej.

Jest to także efekt działania przepisów RODO i dyrektywy PSD2, która przyniosła za sobą m.in. konieczność silnego uwierzytelniania przy okazji korzystania z usług płatniczych czy realizowania transakcji z poziomu zainstalowanej na urządzeniu mobilnym aplikacji. W minionym roku uwierzytelnianie dwuskładnikowe objęło obowiązkowo klientów banków.

Nie jest zatem zaskoczeniem rosnąca wartość światowego rynku uwierzytelniania wieloskładnikowego. W 2018 roku został wyceniony na 4,56 mld USD, z czego blisko 35% wartości wygenerowano w USA (1,57 mld $). Przewiduje się, że do 2025 roku ta wartość sięgnie 20,23 mld USD.

Uwierzytelnianie wieloskładnikowe - czyli jakie?

MFA obejmuje różne modele - uwierzytelnianie dwuskładnikowe (two-factor authentication, 2FA), a także uwierzytelnianie trzy-, cztero- czy pięcioskładnikowe w zależności od ilości wymaganych warstw bezpieczeństwa, z czego najbardziej popularne jest wciąż to pierwsze - 2FA.

- Uwierzytelnianie dwuskładnikowe powinniśmy uważać za standard, który należy stosować praktycznie w każdym systemie informatycznym, uwzględniając również pocztę email, czy serwisy społecznościowe - mówi Grzegorz Bąk, Product Development Manager w Xopero Software - Jesteśmy tylko ludźmi i mamy tendencje do definiowania haseł, które będą dla nas łatwe do zapamiętania, a przez to możliwe do złamania metodą słownikową, czy łatwe do przewidzenia.

Składniki uwierzytelniające można sprowadzić do trzech grup: “coś co znasz (np. PIN)”, “coś co masz (np. token, aplikacja)”, “coś, czym jesteś (np. biometria)”.

Trendy wyznaczają również największe firmy technologiczne na świecie - w tym te należące do FIDO Alliance. To zrzeszenie wraz z W3C pracują nad tym, aby hasła odeszły do lamusa i zostały zastąpione przez WebAuthn API, które daje użytkownikom możliwość logowania się do usług i urządzeń za pomocą danych biometrycznych lub kluczy FIDO.

Wprowadzony standard FIDO2 ma zapewnić bezpieczeństwo poprzez unikalne poświadczenia logowania dla każdej strony internetowej. Poufne dane nie opuszczają tym samym urządzenia i nie są przechowywane na serwerze co ma eliminować ryzyko phishingu, kradzieży i ataków typu replay. Zapewnia również prywatność poprzez unikatowość kluczy - nie można użyć ich do śledzenia użytkowników w różnych witrynach - czytamy w Raporcie Multi-factor Authentication i Cyberbezpieczeństwo.

Dane biometryczne - przyszłość czy przekleństwo?

Uwierzytelnianie biometryczne weryfikuje tożsamość użytkownika za pomocą unikalnych cech biologicznych, takich jak skan siatkówki/tęczówki, głos, cechy twarzy czy odciski palców. Ponieważ dane te są unikatowe dla każdego użytkownika, uwierzytelnianie biometryczne w teorii powinno być bezpieczniejsze niż tradycyjne formy uwierzytelniania wieloskładnikowego.

Głównym problemem natomiast są konsekwencje ich wycieku - w przeciwieństwie do hasła, które możemy zmienić, nie pozbędziemy się przecież linii papilarnych czy siatkówki. Są to dane, które zostaną z nami w niezmienionej formie przez całe życie. Na tym stosunkowo wczesnym stadium rozwoju usług opartych na biometrii ciężko sobie wyobrazić cały kalejdoskop zagrożeń, który może wyniknąć w momencie ich wycieku. A wystarczy, że nastąpi on tylko raz...

Specjalistom IT wciąż brakuje informacji

Według badań ankietowych firmy Spiceworks, 50% specjalistów IT uważa, że trudniej jest zhakować dane biometryczne niż tradycyjne hasła tekstowe, ale tylko 23% sądzi, że ta procedura zastąpi hasła w ciągu najbliższych dwóch lat. 65% dostrzega brak przejrzystości w odniesieniu do luk wykrytych w systemach biometrycznych, a 63% zgłasza obawy w odniesieniu do prywatności danych gromadzonych przez dostawców. W efekcie blisko 60% specjalistów IT twierdzi, że do jednoznacznej oceny potrzebuje więcej informacji o tym, gdzie dostawcy technologii przechowują dane biometryczne.

Niemniej jednak, według prognoz Jupiter Research, wartość rynku uwierzytelniania biometrycznego wzrośnie z 429 mln dolarów w 2018 do 1,5 mld w 2023 r.

Uwierzytelnianie nowej generacji

Możemy spodziewać się, że w najbliższych latach będziemy odchodzić od haseł na rzecz uwierzytelniania nowej generacji (next-gen authentication) i idei passwordless, opierających się głównie na wykorzystaniu tokenów (w tym programowych - aplikacji na smartfony i laptopy) oraz kluczy kryptograficznych z zastosowaniem biometrii.

- Osoby i firmy, dla których bezpieczeństwo danych jest krytyczne, zaopatrywać się będą w klucze kryptograficzne, których gama w 2020 dalej rośnie - twierdzi Antoni Sikora, Head of Growth w Secfense - Do firm takich jak Yubico czy Feitian dołączył między innymi Google ze swoim kluczem Google Titan. Dziennikarze, influencerzy, politycy, osoby zarządzające na wysokim szczeblu - wszyscy oni w najbliższym czasie powinni sięgnąć po dwuskładnikowe uwierzytelnienie oparte na kryptografii.

Passwordless authentication z kolei eliminuje problem używania...słabych i powtarzanych haseł. Niweluje również konieczność ich zapamiętywania i wpisywania oraz powoduje lepszą i sprawniejszą obsługę klienta. Z punktu widzenia organizacji - ogranicza potrzebę przechowywania haseł, co prowadzi do zwiększenia bezpieczeństwa, redukcji liczby naruszeń i obniżenia kosztów pomocy technicznej.