Astazi, orice organizatie care doreste sa ramana competitiva, sa isi atinga obiectivele de business si sa indeplineasca asteptarile utilizatorilor trebuie sa treaca printr-un proces transformational de digitalizare.
Organizatiile migreaza usor usor de la un model traditional in care sistemele si aplicatiile folosite pentru a isi desfasura activitatea se afla on premises intr-un data center propriu la un model cloud-based oferit de un astfel de furnizor, rezultand intr-un mediu hibrid pentru toti utilizatorii organizatiei: angajati, contractori, parteneri sau vendori.
Cele mai multe aplicatii folosite astazi de un utilizator sunt aplicatii web—based, disponibile oricand si gazduite in cloud. Modelul de accesare a unei aplicatii in cloud este centrat pe verificarea identitatii utilizatorului, ceea ce se numeste Identity and Access Management.
Implementarea corecta a acestui mecanism este critica pentru accesul securizat la aplicatii si pentru politica de securitate a companiei. Parametrii folositi la verificarea identitatii trebuie sa fie siguri si usor de folosit de utilizator, indiferent de locatia resursei care se incearca a fi accesata (on premises sau cloud based).
Adoptia unei autentificari fara parola
Originea parolei, ca mijloc de verificare a identitatii, dateaza din anii 1960 pe cand se foloseau mainframe-uri ce foloseau tehnologii de time share. Aceste sisteme de calcul erau folosite de utilizatori diferiti, si fiecare isi putea folosi parola personala pentru a isi accesa propriile resurse in limita de timp alocata. Pe masura ce timpul trecea, oamenii au inceput sa faca schimb de parole, ceea ce a subliniat necesitatea unei alte forme de identificare. In ultimele doua decenii autentificarea multi factor (MFA) s-a dezvoltat si s-a maturizat, devenind un al doilea mecanism de autentificare care ofera o securitate sporita mecanismului principal de autentificare prin parola.
In contexul actual, simpla parola nu mai este capabila sa ofere protectia necesara. Acest mecanism de securitate vechi de aproape 60 de ani nu a rezistat testului timpului. Un al doilea factor de autentificare este absolut vital pentru securizarea accesului la aplicatii si resurse, avand in vedere frecventa atacurilor care vizeaza furtul de parole prin tehnici de phising, sniffing prin malware precum keylogger-e, sau folosirea de credentiale publicate pe Internet sau cumpararea acestora de pe piata neagra Dark Web. (de exemplu, un sistem capabil sa proceseze mai multe 100 de MILIARDE de HASH-uri SHA256 pe SECUNDA costa sub 20000$, o nimica toata pentru o grup organizational sau pentru un actor sponsorizat de guvernul unui stat).
Progresul facut de dezvoltarea factorilor secundari de autentificare, printre care telefoanele smart cu aplicatii create special pentru a ajuta in procesul de verificare a identitatii sau proliferarea biometriei (amprenta, scanarea fetei, etc) ne face sa gandim de ce inca mai folosim parole. De multe ori, primim sfaturi despre cum trebuie sa fie o parola: „ folositi parole cu minim 8 caractere si includeti litere mici, litere mari, cifre si caractere speciale sau in loc de parole complexe „ folositi propozitii sau fraze” sau „nu folositi parole care au fost leak-uite pe Internet printr-un data breach”.
In loc sa punem presiune pe utilizator, ca el sa se focuseze pe aceste reguli de constructie a parolei, mai bine ne indreptam atentia spre lucruri care chiar pot sa ajute, ca autentificarea multifactor. O autentificare puternica este bazata pe mai multi factori, iar daca parola este cel mai slab factor posibil, atunci de ce sa o mai folosim?
Problemele pe care le au parolele
Folosirea acestui mijloc de identificare are astazi mai multe neajunsuri si mult mai putine avantaje:
- sunt costisitioare si dificil de administrat: parolele consuma timpul departamentului IT, in special pentru partea de helpdesk prin tichete de resetare a parolei
- streseaza utilizatorul: se intampla deseori ca utilizatorul sa isi blocheze un cont prin introducerea parolei in mod gresit dupa un anumit numar de incercari, lucru care inseamna apelarea departamentului IT pentru deblocarea situatiei. Mai mult, riscul de frustrare duce la folosirea aceleiasi parole pentru toate conturile utilizatorului. O organizatie astazi foloseste un numar de aplicatii mult mai mare ca acum 10 ani, iar utilizatorul trebuie sa foloseasca mult mai multe parole pentru a-si putea indeplini sarcinile de zi cu zi.
- sunt usor de compromis: atacatorii pot folosi diverse mijloace prin care sa obtina parolele utilizatorilor cele mai des folosite fiind folosirea email-urilor de tip phising, social engineering, tehnici de quid pro quo (promisiunea oferirii unui premiu in schimbul parolei) folosirea unor baze de credentiale compromise.
Autentificarea fara parola
O autentificare fara parola asigura verificarea identitatii utilizatorului fara a se baza pe parola, permitand utilizatorilor sa se autentifice prin parametrii de biometrie, chei de securitate ( key fobs) sau prin dispozitive mobile (un cod PIN primit prin SMS aplicatii care primesc o notificare de aprobare a cererii de autentificare). Folosirea unei autentificari passwordless aduce cu sine din start doua beneficii mari: autentificare mai sigura si o usurinta in folosirea de catre utilizator.
Organizatii pot beneficia de urmatoarele avantaje:
- o experienta mai buna pentru utilizator: eliminand dependenta de parole, se elimina si oboseala introducerii parolelor la autentificare ca si gradul de frustrare, crescand productivitatea
- reducerea costurilor si a timpului petrecut de departamentul IT pentru a rezolva tichetele cauzate de blocarea conturilor sau de resetarea parolelor
- eliminarea riscului de a folosi parole slabe, compromise sau „furate” pentru accesarea resurselor organizatiei
Autentificarea passwordless este o componenta fundamentala a modelului de securitate „zero trust” foarte folosit in organizatiile cloud-first. Cele mai multe medii business sunt astazi borderless, se extind dupa firewall-ul companiei, permitand utilizatorilor munca de la distanta. Noul perimetru al organizatiei este reprezentat de utilizator si de dispozitivul acestui, iar organizatia trebuie sa securizeze aceste doua elemente critice pentru acordarea accesului la o aplicatie sau resursa.
Cisco Duo este o solutie enterprise care poate sa implementeze cu usurinta verificarea identitatii unui utilizator sau dispozitiv fara a folosi parole, aducand securitatea organizatiei la un nivel mult mai ridicat fata de ce pot oferi metodele traditionale de autentificare. Cisco Duo poate implementa autentificarea passwordless, ajutand organizatiile sa adopte modelul de securitate zero-trust, atat de necesar in mediile cloud-first sau hibride.
Inginerii Dendrio va pot ajuta sa va securizati fiecare acces la aplicatiile dumneavoastra, cloud-based sau on premises, indiferent de dispozitivul folosit sau de locatia utilizatorului.
Mihai Dumitrascu, Sr Systems Engineer