2FA και Κωδικοί πρόσβασης: Οδηγός για επιχειρήσεις

2FA και Κωδικοί πρόσβασης

2FA και Κωδικοί πρόσβασης: Ένας οδηγός για επιχειρήσεις

Κωδικοί πρόσβασης… Τους χρησιμοποιούμε καθημερινά στα social και στις ιστοσελίδες μας. Τους αγαπάμε και τους μισούμε. Είμαστε συνεχώς εξαρτημένοι από αυτούς — βρίσκουμε και θυμόμαστε την απαιτούμενη σειρά από κεφαλαία και πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες.

Με απλά λόγια, “οι κωδικοί πρόσβασης είναι αδύναμοι και μη φιλικοί προς τον χρήστη“!

Και αποτελούν τεράστιο κίνδυνο ασφάλειας: το 81% των παραβιάσεων που σχετίζονται με το hacking χρησιμοποιούν κλεμμένους ή/και αδύναμους κωδικούς πρόσβασης.

Οι καταναλωτές το αναγνωρίζουν αυτό, με το 68% να πιστεύει ότι οι κωδικοί πρόσβασης είναι η λιγότερο ασφαλής μέθοδος ασφάλειας και το 94% να είναι πρόθυμοι να λάβουν επιπλέον μέτρα ασφαλείας για να αποδείξουν την ταυτότητά τους. Ταυτόχρονα, περισσότεροι από τους μισούς από εμάς συνεχίζουν να χρησιμοποιούν κωδικούς πρόσβασης.

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ’ Απαίτηση

Ονομάστε το συνήθεια, απροθυμία να αλλάξουμε ή απλά αδιαφορία, οι κωδικοί πρόσβασης έχουν παγιωθεί — αλλά πρέπει να διακόψουμε τη συνήθεια, λένε οι ειδικοί. Αξίζει να σημειωθεί ότι πολλοί στον κλάδο της ασφάλειας πιέζουν για μεθόδους ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης και χρήση κλειδιών πρόσβασης — και ορισμένοι μάλιστα προβάλλουν ότι θα γίνουν βιομηχανικά πρότυπα.

Τα κλειδιά ελέγχου ταυτότητας είναι μια σημαντική πρόοδος στους κλάδους ταυτότητας και ασφάλειας», δήλωσε ο Ralph Rodriguez, πρόεδρος και CPO στην εταιρεία εμπιστοσύνης ψηφιακής ταυτότητας Daon. «Είναι μια πολύ πιο ασφαλής εναλλακτική λύση για τους κωδικούς πρόσβασης, ειδικά σε μια εποχή που οι απειλές στον κυβερνοχώρο αυξάνονται».

Κλειδιά ελέγχου ταυτότητας: Προχωρούμε προς ευρεία υιοθέτηση

Τα κλειδιά ελέγχου ταυτότητας είναι μια μορφή ασφάλειας ταυτότητας χωρίς κωδικό πρόσβασης που επιτρέπουν τον έλεγχο ταυτότητας 2FA.

Οι γίγαντες του κλάδου, όπως η Apple, η Microsoft και η Google, έχουν πρόσφατα υποστηρίξει κλειδιά ελέγχου ταυτότητας, συνεργαζόμενοι με την 2FA και την Authy.

Αυτή η μέθοδος ελέγχου ταυτότητας χρησιμοποιεί κρυπτογραφικά κλειδιά και αποθηκεύει διαπιστευτήρια για πολλές συσκευές στο cloud. Οι χρήστες συνδυάζουν έναν κωδικό πρόσβασης στο smartphone τους με ασφαλώς αποθηκευμένα και κρυπτογραφημένα διαπιστευτήρια που βασίζονται στο cloud.

Οι κωδικοί ελέγχου ταυτότητας εξαλείφουν την ανάγκη για κωδικούς πρόσβασης, επιτρέποντας έναν πιο ασφαλή και πρόσφορο τρόπο ελέγχου ταυτότητας λογαριασμού. Μπορούν να ενσωματωθούν με υπάρχουσες εφαρμογές και μπορούν να μειώσουν σημαντικά τη συχνότητα κλοπής ταυτότητας και προσπαθειών phishing.

Τελικά, θα γίνουν το πρότυπο του κλάδου και η υιοθέτησή τους από πολυεθνικούς κολοσσούς θα βοηθήσει στην ευρεία χρήση τους.

2FA και Κωδικοί πρόσβασης
2FA και Κωδικοί πρόσβασης

Η εταιρική χρήση κλειδιών ελέγχου ταυτότητας, ιδιαίτερα σε βιομηχανίες που είναι υπεύθυνες για οικονομικά και προσωπικά δεδομένα, είναι ένα τεράστιο βήμα προς τη σωστή κατεύθυνση.

Είναι αυτό το τέλος των κωδικών πρόσβασης;

Επειδή οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης προκαλούν τους χρήστες να χρησιμοποιήσουν εναλλακτικά διαπιστευτήρια, θα μειώσουν περαιτέρω – και ενδεχομένως ακόμη και να εξαλείψουν – τους κωδικούς πρόσβασης.

Αυτήν τη στιγμή, οι οργανισμοί μπορεί να έχουν πολλές εφαρμογές που βασίζονται σε έναν κωδικό πρόσβασης στον ίδιο κατάλογο. Αλλά καθώς αυτές οι εφαρμογές μεταφέρονται σε έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, κάποια μέρα ο κωδικός πρόσβασης μπορεί να μην χρειάζεται πλέον.

Εάν ή όταν επιτευχθεί αυτό το σημείο, οι κωδικοί πρόσβασης ενδέχεται να απενεργοποιηθούν πλήρως σε έναν κατάλογο (παρόλο που από τώρα, μόνο λίγοι κατάλογοι και υπηρεσίες ταυτότητας επιτρέπουν στους διαχειριστές να το κάνουν αυτό). Σε ορισμένες περιπτώσεις, οι διαχειριστές μπορεί να είναι σε θέση να ορίσουν τους κωδικούς πρόσβασης σε μια τυχαία και ασφαλή τιμή που δεν μοιράζεται με τον χρήστη, εξαλείφοντας ουσιαστικά τον κωδικό πρόσβασης από όλες τις εμπειρίες χρήστη.

Όπως σημείωσε, είναι δύσκολο να δημιουργήσεις και να θυμάσαι έναν καλό κωδικό πρόσβασης (και ακόμα πιο δύσκολο αν πρέπει να έχεις πολλούς). Και, εάν ξεχάσετε ένα ή παραβιαστεί, πρέπει να περάσετε από μια διαδικασία επαναφοράς κωδικού πρόσβασης. Ενώ πολλοί οργανισμοί αναπτύσσουν επαναφορά κωδικού πρόσβασης αυτοεξυπηρέτησης (SSPR), μια επαναφορά κωδικού πρόσβασης με τη βοήθεια διαχειριστή μπορεί να κοστίζει 15 έως 70 ευρώ ανά συμβάν.

Ωστόσο, όλες οι εφαρμογές βασίζονται σε κωδικούς πρόσβασης και οι χρήστες τους έχουν συνηθίσει ακόμα κι αν τους αρέσει να τους μισούν.

Επομένως, οι νέες μέθοδοι ελέγχου ταυτότητας και οι νέες διαδικασίες για την απόκτηση, την εγγραφή, τον καθημερινό έλεγχο ταυτότητας και την ανάκτηση λογαριασμού πρέπει να σχεδιάζονται προσεκτικά για να επιτύχουμε την καλύτερη δυνατή ασφάλεια.

Όπως όλα, υπάρχουν πλεονεκτήματα και μειονεκτήματα

Τα Passkeys είναι μια ασφαλέστερη, ταχύτερη εναλλακτική των κωδικών πρόσβασης και η ικανότητά τους να μεταφέρουν διαπιστευτήρια μεταξύ συσκευών επιταχύνει και απλοποιεί την ανάκτηση λογαριασμού. Για παράδειγμα, εάν ένας χρήστης χάσει το τηλέφωνό του, μπορεί να ανακτήσει τον κωδικό πρόσβασης και να τον χρησιμοποιήσει σε άλλη συσκευή.

Όταν χρησιμοποιούνται έχοντας κατά νου την εμπειρία χρήστη (UX), (τα κλειδιά πρόσβασης) μπορούν να βοηθήσουν τους καταναλωτές να κόψουν τη συνήθεια να χρησιμοποιούν κωδικούς πρόσβασης.

Ωστόσο, επεσήμανε, μπορεί να μην είναι κατάλληλα για όλα τα επιχειρηματικά σενάρια ή για κυβερνητικούς φορείς που απαιτούν συμμόρφωση με τις κατευθυντήριες γραμμές του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST).

Το ίδιο ισχύει για κλάδους με υψηλή ρύθμιση, όπως οι χρηματοπιστωτικές υπηρεσίες, όπου οι απαιτήσεις συμμόρφωσης διαφέρουν ανά χώρα ή περιοχή.

Επίσης, οι κωδικοί πρόσβασης δεν είναι τόσο ισχυροί όσο άλλα πρότυπα 2FA, τα οποία χρησιμοποιούν μεθόδους βιομετρικής επαλήθευσης όπως η αναγνώριση φωνής, αφής και προσώπου. Και οι κωδικοί πρόσβασης δεν μπορούν να χρησιμοποιηθούν για συναλλαγές με χρηματοπιστωτικά ιδρύματα λόγω των προτύπων Know Your Customer (KYC) που εφαρμόστηκαν για την προστασία των χρηματοπιστωτικών ιδρυμάτων από απάτη, διαφθορά, ξέπλυμα χρήματος και χρηματοδότηση της τρομοκρατίας. Δεν μπορούν να προσδιορίσουν την ταυτότητα των χρηστών. Εάν εφαρμοστούν, θα μπορούσαν να αυξήσουν τη συνθετική απάτη.

Η χρήση κλειδιών πρόσβασης μόνο στις οικονομικές συναλλαγές μπορεί να εξακολουθεί να δημιουργεί ορισμένους κινδύνους, είπε, και θα πρέπει να εξεταστεί το ενδεχόμενο πρόσθετης βιομετρικής ταυτότητας.

Επειδή οι ρυθμιστικές αρχές δεν έχουν ακόμη αποδεχτεί τη χρήση κλειδιού πρόσβασης μόνο για την εκπλήρωση των προτύπων ασφαλείας που απαιτούνται σε κλάδους με υψηλή ρύθμιση, όπως ο τραπεζικός και ο ασφαλιστικός κλάδος, οι κωδικοί πρόσβασης τουλάχιστον προς το παρόν πρέπει να συνδυάζονται με έναν άλλο παράγοντα ελέγχου ταυτότητας.

Ο αριθμός των παραγόντων που εμπλέκονται στον έλεγχο ταυτότητας είναι μια απόφαση που θα ληφθεί τελικά από την επιχείρηση ή την επιχείρηση, αλλά οι καταναλωτές και οι τελικοί χρήστες θα έχουν λόγο για το θέμα.

Όλοι οι μέθοδοι ασφαλείας δεν είναι το ίδιο

Οι ειδικοί συμφωνούν ότι «δεν είναι όλες οι μέθοδοι ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης ίσες».

«Όλες οι μέθοδοι πάσχουν από ορισμένες αδυναμίες ασφάλειας», είπε.

Για παράδειγμα, τα SMS και οι κωδικοί πρόσβασης μίας χρήσης (OTP) που παραδίδονται με φωνή δεν είναι τόσο ασφαλείς όσο ο έλεγχος ταυτότητας δεύτερου ή πολλαπλών παραγόντων (2FA), είπε. Επομένως, θα πρέπει να χρησιμοποιούνται μόνο σε εφαρμογές πολύ χαμηλού κινδύνου.

Ομοίως, η ώθηση για κινητά σε συνδυασμό με τον έλεγχο ταυτότητας τοπικής συσκευής υποφέρει από «βομβαρδισμό με ώθηση» ή «κόπωση με ώθηση», επεσήμανε. Οι χάκερ μπορούν να επωφεληθούν από αυτό προτρέποντας μια εφαρμογή να βομβαρδίσει τους χρήστες με μηνύματα push που τελικά θα δεχτούν.

Διαβάστε επίσης: 6 προβλέψεις για την ασφάλεια στον κυβερνοχώρο για το 2023

Επίσης, ενώ το 2FA έχει πολύ καλές ιδιότητες ασφαλείας – είναι ανθεκτικό στο phishing, για παράδειγμα – δεν καθορίζει βοηθητικές διαδικασίες, όπως προστασία εγγραφής διαπιστευτηρίων χρήστη ή κανόνες ανάκτησης λογαριασμού. Αυτό μπορεί να παρέχει έναν αδύναμο κρίκο. Επομένως, το 2FA και όλες οι άλλες μέθοδοι ελέγχου ταυτότητας πρέπει να σχεδιαστούν προσεκτικά.

Η υποστήριξη για το 2FA από προμηθευτές ελέγχου ταυτότητας και διαχείρισης πρόσβασης είναι σχεδόν καθολική. Ορισμένοι κατεστημένοι προμηθευτές συνήθως περιορίζονται μόνο στο 2FA, αλλά ορισμένοι — συμπεριλαμβανομένων των Microsoft, Okta, RSA και ForgeRock — υποστηρίζουν πρόσθετες μεθόδους ελέγχου ταυτότητας.

Αυτά μπορεί να περιλαμβάνουν μαγικούς συνδέσμους (όπου οι χρήστες συνδέονται σε έναν λογαριασμό κάνοντας κλικ σε έναν σύνδεσμο που τους αποστέλλεται μέσω email, αντί να πληκτρολογούν το όνομα χρήστη και τον κωδικό πρόσβασής τους) και βιομετρικό έλεγχο ταυτότητας.

Το 2FA είναι «πολλά υποσχόμενο», αλλά η υιοθέτησή του παρεμποδίζεται από τη μη διαθεσιμότητα επαληθευτών περιαγωγής που βασίζονται σε smartphone που επιτρέπουν στο smartphone να χρησιμοποιείται ως συνοδευτική συσκευή για χρήστες που εργάζονται σε υπολογιστές. Ωστόσο, αυτό θα αλλάξει με την εισαγωγή και την τυποποίηση των κωδικών πρόσβασης.

Μια σταδιακή εξέλιξη χωρίς κωδικό πρόσβασης

Προχωρώντας προς τα εμπρός, ορισμένες αρχιτεκτονικές εφαρμογών θα διευκολύνουν την υιοθέτηση του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης, επειδή οι πάροχοι ιστότοπων και eshop θα υποστηρίξουν σύντομα — τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης.

Ωστόσο, για εφαρμογές παλαιού τύπου που εξαρτώνται από κωδικό πρόσβασης, αυτό θα αργήσει να γίνει. Επισημάνουμε ότι πολλές νέες εφαρμογές SaaS εξακολουθούν να υποθέτουν τον κωδικό πρόσβασης.

Τελικά, αυτή θα είναι μια σταδιακή διαδικασία, επειδή οι κωδικοί πρόσβασης είναι τόσο εδραιωμένοι.

Δείτε περισσότερα για ασφάλεια ιστότοπου:

Scroll to Top