Από τους κωδικούς πρόσβασης στους κωδικούς πρόσβασης: Ένας οδηγός για επιχειρήσεις

Από τους κωδικούς πρόσβασης στους κωδικούς πρόσβασης: Ένας οδηγός για επιχειρήσεις

Dezember 13, 2022 0 Von admin

Δείτε όλες τις κατ‘ απαίτηση συνεδρίες από το Intelligent Security Summit εδώ.


Κωδικοί πρόσβασης. Τα χρησιμοποιούμε καθημερινά. Τους αγαπάμε και τους μισούμε. Είμαστε συνεχώς απογοητευμένοι από αυτούς — βρίσκουμε και θυμόμαστε την απαιτούμενη σειρά από κεφαλαία και πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες.

Με απλά λόγια, „οι κωδικοί πρόσβασης είναι αδύναμοι και μη φιλικοί προς τον χρήστη“, δήλωσε ο ανώτερος διευθυντής αναλυτής της Gartner, Paul Rabinovich.

Και αποτελούν τεράστιο κίνδυνο για την ασφάλεια: 81% για παραβιάσεις που σχετίζονται με το hacking χρησιμοποιούν κλεμμένους ή/και αδύναμους κωδικούς πρόσβασης.

Οι καταναλωτές το αναγνωρίζουν αυτό, με το 68% να πιστεύει ότι οι κωδικοί πρόσβασης είναι η λιγότερο ασφαλής μέθοδος ασφάλειας και το 94% να είναι πρόθυμοι να λάβουν επιπλέον μέτρα ασφαλείας για να αποδείξουν την ταυτότητά τους. Ταυτόχρονα, περισσότεροι από τους μισούς από εμάς συνεχίζουν να χρησιμοποιούν κωδικούς πρόσβασης.

Εκδήλωση

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ‘ Απαίτηση

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου. Παρακολουθήστε τις συνεδρίες κατ‘ απαίτηση σήμερα.

Παρακολουθήστε εδώ

Ονομάστε το συνήθεια, απροθυμία να αλλάξουμε ή απλά αδιαφορία, οι κωδικοί πρόσβασης έχουν παγιωθεί — αλλά πρέπει να διακόψουμε τη συνήθεια, λένε οι ειδικοί. Αξίζει να σημειωθεί ότι πολλοί στον κλάδο της ασφάλειας πιέζουν για μεθόδους ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης και χρήση κλειδιών πρόσβασης — και ορισμένοι μάλιστα προβάλλουν ότι θα γίνουν βιομηχανικά πρότυπα.

«Οι κωδικοί πρόσβασης αποτελούν σημαντική πρόοδο στους κλάδους ταυτότητας και ασφάλειας», είπε Ραλφ Ροντρίγκεζπρόεδρος και CPO στην εταιρεία εμπιστοσύνης ψηφιακής ταυτότητας Daon. «Είναι μια πολύ πιο ασφαλής εναλλακτική λύση για τους κωδικούς πρόσβασης, ειδικά σε μια εποχή που οι απειλές στον κυβερνοχώρο αυξάνονται».

Κλειδιά πρόσβασης: Προχωρούμε προς ευρεία υιοθέτηση

Οι κωδικοί πρόσβασης είναι μια μορφή ασφάλειας ταυτότητας χωρίς κωδικό πρόσβασης που επιτρέπουν τον έλεγχο ταυτότητας FIDO2 (πρότυπα που ορίζονται από το Συμμαχία FIDO, το οποίο είναι αφιερωμένο στη μείωση της εξάρτησης από τους κωδικούς πρόσβασης). Οι γίγαντες του κλάδου, όπως η Apple, η Microsoft και η Google, έχουν πρόσφατα υποστηρίξει κωδικούς πρόσβασης, συνεργαζόμενοι με την FIDO Alliance και την Κοινοπραξία World Wide Web.

Αυτή η μέθοδος ελέγχου ταυτότητας χρησιμοποιεί κρυπτογραφικά κλειδιά και αποθηκεύει διαπιστευτήρια για πολλές συσκευές στο cloud, εξήγησε ο Rodriguez. Οι χρήστες συνδυάζουν έναν κωδικό πρόσβασης στο smartphone τους με ασφαλώς αποθηκευμένα και κρυπτογραφημένα διαπιστευτήρια που βασίζονται στο cloud.

«Οι κωδικοί πρόσβασης εξαλείφουν την ανάγκη για κωδικούς πρόσβασης, επιτρέποντας έναν πιο ασφαλή και πρόσφορο τρόπο ελέγχου ταυτότητας λογαριασμού», δήλωσε ο Rodriguez. Μπορούν να ενσωματωθούν με υπάρχουσες εφαρμογές και μπορούν να μειώσουν σημαντικά τη συχνότητα κλοπής ταυτότητας και προσπαθειών phishing.

Τελικά, θα γίνουν το πρότυπο του κλάδου, προέβλεψε ο Rodriguez, και η υιοθέτησή τους από πολυεθνικούς κολοσσούς θα βοηθήσει στην ευρεία χρήση τους.

«Η εταιρική χρήση κλειδιών πρόσβασης, ιδιαίτερα σε βιομηχανίες που είναι υπεύθυνες για οικονομικά και προσωπικά δεδομένα, είναι ένα τεράστιο βήμα προς τη σωστή κατεύθυνση», δήλωσε ο Rodriguez.

Αλλά πραγματικά, είναι αυτό το τέλος των κωδικών πρόσβασης;

Επειδή οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης προκαλούν τους χρήστες να χρησιμοποιήσουν εναλλακτικά διαπιστευτήρια, θα μειώσουν περαιτέρω – και ενδεχομένως ακόμη και να εξαλείψουν – τους κωδικούς πρόσβασης, είπε ο Rabinovich.

Αυτήν τη στιγμή, οι οργανισμοί μπορεί να έχουν πολλές εφαρμογές που βασίζονται σε έναν κωδικό πρόσβασης στον ίδιο κατάλογο. Αλλά καθώς αυτές οι εφαρμογές μεταφέρονται σε έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, «κάποια μέρα ο κωδικός πρόσβασης μπορεί να μην χρειάζεται πλέον», είπε.

Εάν ή όταν επιτευχθεί αυτό το σημείο, οι κωδικοί πρόσβασης ενδέχεται να απενεργοποιηθούν πλήρως σε έναν κατάλογο (παρόλο που από τώρα, μόνο λίγοι κατάλογοι και υπηρεσίες ταυτότητας επιτρέπουν στους διαχειριστές να το κάνουν αυτό). Σε ορισμένες περιπτώσεις, οι διαχειριστές μπορεί να είναι σε θέση να ορίσουν τους κωδικούς πρόσβασης σε μια τυχαία και ασφαλή τιμή που δεν μοιράζεται με τον χρήστη, «εξαλείφοντας ουσιαστικά τον κωδικό πρόσβασης από όλες τις εμπειρίες χρήστη», είπε ο Rabinovich.

Όπως σημείωσε, είναι δύσκολο να δημιουργήσεις και να θυμάσαι έναν καλό κωδικό πρόσβασης (και ακόμα πιο δύσκολο αν πρέπει να έχεις πολλούς). Και, εάν ξεχάσετε ένα ή παραβιαστεί, πρέπει να περάσετε από μια διαδικασία επαναφοράς κωδικού πρόσβασης. Ενώ πολλοί οργανισμοί αναπτύσσουν επαναφορά κωδικού πρόσβασης αυτοεξυπηρέτησης (SSPR), η επαναφορά κωδικού πρόσβασης με τη βοήθεια διαχειριστή μπορεί να είναι δαπανηρή: 15 έως 70 $ ανά συμβάν.

Ωστόσο, όλες οι εφαρμογές βασίζονται σε κωδικούς πρόσβασης και οι χρήστες τους έχουν συνηθίσει «ακόμα κι αν τους αρέσει να τους μισούν», είπε ο Ραμπίνοβιτς.

Επομένως, οι νέες μέθοδοι ελέγχου ταυτότητας και οι νέες διαδικασίες για την απόκτηση, την εγγραφή, τον καθημερινό έλεγχο ταυτότητας και την ανάκτηση λογαριασμού πρέπει να σχεδιάζονται προσεκτικά.

Όπως οτιδήποτε, πλεονεκτήματα και μειονεκτήματα

Τα Passkeys είναι μια ασφαλέστερη, ταχύτερη εναλλακτική των κωδικών πρόσβασης, είπε ο Rodriguez, και η ικανότητά τους να μεταφέρουν διαπιστευτήρια μεταξύ συσκευών επιταχύνει και απλοποιεί την ανάκτηση λογαριασμού. Για παράδειγμα, εάν ένας χρήστης χάσει το τηλέφωνό του, μπορεί να ανακτήσει τον κωδικό πρόσβασης και να τον χρησιμοποιήσει σε άλλη συσκευή.

«Όταν χρησιμοποιούνται έχοντας κατά νου την εμπειρία χρήστη (UX), τα (passkeys) μπορούν να βοηθήσουν τους καταναλωτές να κόψουν τη συνήθεια να χρησιμοποιούν κωδικούς πρόσβασης», δήλωσε ο Rodriguez.

Ωστόσο, επεσήμανε, μπορεί να μην είναι κατάλληλα για όλα τα επιχειρηματικά σενάρια ή για κυβερνητικούς φορείς που απαιτούν συμμόρφωση με το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) Κατευθυντήριες γραμμές. Το ίδιο ισχύει για κλάδους με υψηλή ρύθμιση, όπως οι χρηματοπιστωτικές υπηρεσίες, όπου οι απαιτήσεις συμμόρφωσης διαφέρουν ανά χώρα ή περιοχή.

Επίσης, οι κωδικοί πρόσβασης δεν είναι τόσο ισχυροί όσο άλλα πρότυπα FIDO, τα οποία χρησιμοποιούν μεθόδους βιομετρικής επαλήθευσης όπως η αναγνώριση φωνής, αφής και προσώπου, είπε ο Rodriguez. Και οι κωδικοί πρόσβασης δεν μπορούν να χρησιμοποιηθούν για συναλλαγές με χρηματοπιστωτικά ιδρύματα λόγω των προτύπων Know Your Customer (KYC) που εφαρμόστηκαν για την προστασία των χρηματοπιστωτικών ιδρυμάτων από απάτη, διαφθορά, ξέπλυμα χρήματος και χρηματοδότηση της τρομοκρατίας. Δεν μπορούν να προσδιορίσουν την ταυτότητα των χρηστών. Εάν εφαρμοστούν, θα μπορούσαν να αυξήσουν τη συνθετική απάτη.

Η χρήση κλειδιών πρόσβασης μόνο στις οικονομικές συναλλαγές μπορεί να εξακολουθεί να δημιουργεί ορισμένους κινδύνους, είπε, και θα πρέπει να εξεταστεί το ενδεχόμενο πρόσθετης βιομετρικής ταυτότητας.

Επειδή οι ρυθμιστικές αρχές δεν έχουν ακόμη αποδεχτεί τη χρήση κλειδιού πρόσβασης μόνο για την εκπλήρωση των προτύπων ασφαλείας που απαιτούνται σε κλάδους με υψηλή ρύθμιση, όπως ο τραπεζικός και ο ασφαλιστικός κλάδος, οι κωδικοί πρόσβασης τουλάχιστον προς το παρόν πρέπει να συνδυάζονται με έναν άλλο παράγοντα ελέγχου ταυτότητας.

«Ο αριθμός των παραγόντων που εμπλέκονται στον έλεγχο ταυτότητας είναι μια απόφαση που θα ληφθεί τελικά από την επιχείρηση ή την επιχείρηση, αλλά οι καταναλωτές και οι τελικοί χρήστες θα έχουν λόγο για το θέμα», δήλωσε ο Rodriguez.

Όχι το τέλος-όλα, γίνε-όλα

Ο Ραμπίνοβιτς συμφώνησε ότι «δεν δημιουργούνται όλες οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης ίσες».

«Όλες οι μέθοδοι πάσχουν από ορισμένες αδυναμίες ασφάλειας», είπε.

Για παράδειγμα, τα SMS και οι κωδικοί πρόσβασης μίας χρήσης (OTP) που παραδίδονται με φωνή δεν είναι τόσο ασφαλείς όσο ο έλεγχος ταυτότητας δεύτερου ή πολλαπλών παραγόντων (MFA), είπε. Επομένως, θα πρέπει να χρησιμοποιούνται μόνο σε εφαρμογές πολύ χαμηλού κινδύνου.

Ομοίως, η ώθηση για κινητά σε συνδυασμό με τον έλεγχο ταυτότητας τοπικής συσκευής υποφέρει από «βομβαρδισμό με ώθηση» ή «κόπωση με ώθηση», επεσήμανε. Οι κακοί ηθοποιοί μπορούν να επωφεληθούν από αυτό προτρέποντας μια εφαρμογή να βομβαρδίσει τους χρήστες με μηνύματα push που τελικά θα δεχτούν.

Επίσης, ενώ το FIDO2 έχει πολύ καλές ιδιότητες ασφαλείας — είναι ανθεκτικό στο phishing, για παράδειγμα — δεν καθορίζει βοηθητικές διαδικασίες, όπως προστασία εγγραφής διαπιστευτηρίων χρήστη ή κανόνες ανάκτησης λογαριασμού. Αυτό μπορεί να παρέχει έναν αδύναμο κρίκο. Επομένως, το FIDO και όλες οι άλλες μέθοδοι ελέγχου ταυτότητας πρέπει να σχεδιαστούν προσεκτικά.

Η υποστήριξη για το FIDO από προμηθευτές ελέγχου ταυτότητας και διαχείρισης πρόσβασης είναι σχεδόν καθολική. Ορισμένοι κατεστημένοι προμηθευτές συνήθως περιορίζονται μόνο στο FIDO2, αλλά ορισμένοι — συμπεριλαμβανομένων των Microsoft, Okta, RSA και ForgeRock — υποστηρίζουν πρόσθετες μεθόδους ελέγχου ταυτότητας. Αυτά μπορεί να περιλαμβάνουν μαγικούς συνδέσμους (όπου οι χρήστες συνδέονται σε έναν λογαριασμό κάνοντας κλικ σε έναν σύνδεσμο που τους αποστέλλεται μέσω email, αντί να πληκτρολογούν το όνομα χρήστη και τον κωδικό πρόσβασής τους) και βιομετρικό έλεγχο ταυτότητας.

Οι αναδυόμενοι ειδικοί χωρίς κωδικό πρόσβασης — συμπεριλαμβανομένων των 1KOSMOS, Beyond Identity, HYPR, Secret Double Octopus, Trusona, Truu και Veridium — υποστηρίζουν πολλές περιπτώσεις εταιρικής χρήσης.

Το FIDO2 είναι «πολύ υποσχόμενο», αλλά η υιοθέτησή του παρεμποδίζεται από τη μη διαθεσιμότητα επαληθευτών περιαγωγής που βασίζονται σε smartphone που επιτρέπουν στο smartphone να χρησιμοποιείται ως συνοδευτική συσκευή για χρήστες που εργάζονται σε υπολογιστές. Ωστόσο, αυτό θα αλλάξει με την εισαγωγή και την τυποποίηση των κωδικών πρόσβασης, είπε ο Ραμπίνοβιτς.

Μια σταδιακή εξέλιξη χωρίς κωδικό πρόσβασης

Προχωρώντας προς τα εμπρός, ορισμένες αρχιτεκτονικές εφαρμογών θα διευκολύνουν την υιοθέτηση του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης, επειδή οι πάροχοι ταυτότητας/αρχές ελέγχου ταυτότητας ενδέχεται —ή θα υποστηρίξουν σύντομα — τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης.

Ωστόσο, «για εφαρμογές παλαιού τύπου που εξαρτώνται από κωδικό πρόσβασης, αυτό θα είναι αργό», είπε ο Rabinovich. Επισήμανε ότι πολλές νέες εφαρμογές SaaS εξακολουθούν να υποθέτουν τον κωδικό πρόσβασης.

Τελικά, «αυτή θα είναι μια σταδιακή διαδικασία», είπε ο Ραμπίνοβιτς, «επειδή οι κωδικοί πρόσβασης είναι τόσο εδραιωμένοι».

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.