Zbog čega su pristupni ključevi budućnost autentifikacije.
Od kada se pojavio internet, lozinke su bile i ostale primarni faktor autentifikacije za pristup nalozima na mreži. Nedavno istraživanje koje je obuhvatilo 20.000 zaposlenih pokazalo je da 58 procenata i dalje koristi korisničko ime i lozinku za prijavu na lične naloge, dok 54 procenata koristi isti takav metod prijavljivanja za pristup poslovnim nalozima.
U tom domenu nismo mnogo napredovali iako je 80 procenata hakerskih upada u naloge i podatke izvršeno tako što su napadači ukrali akreditive za prijavu uz pomoć phishing napada. Zbog toga, stručnjaci za bezbednost smatraju da su lozinke najnesigurniji metod autentifikacije koji pojedince, organizacije i njihove zaposlene širom sveta izlaže modernim i sve podmuklijim i veštijim sajber-napadima, kao što je phishing.
U stvari, čak i lozinke koje veb-stranice smatraju „jakim“, to jest, koje sadrže više od desetak znakova među kojima moraju da budu velika i mala slova, brojevi i simboli, i dalje mogu da predstavljaju lak plen sajber-kriminalaca koji ih otkriju bez većih problema. Kada „provale“ lozinku, mogu da zaobiđu sve sisteme višefaktorske autentifikacije (engl. multi-factor authentication – MFA) i sa lakoćom pristupe ličnim podacima pojedinaca. U kombinaciji sa činjenicom da ljudi imaju tendenciju da koriste istu lozinku na većem broju naloga, što hakerima daje mogućnost da provale više naloga jednim prijavljivanjem, sasvim je jasno da su lozinke kao metod autentifikacije loše i izuzetno nesigurne iz nekoliko razloga.
I pored svega što smo naveli, još postoji nedostatak svesti o najboljim postupcima za autentifikaciju. Prema spomenutom istraživanju, 39 procenata pojedinaca veruje da su korisničko ime i lozinka najbezbedniji oblik autentifikacije, dok 37 procenata smatra da su jednokratne lozinke koje se šalju u poruci na mobilni telefon (engl. one-time password – OTP) najbezbedniji metod autentifikacije. Iako je bilo koji oblik višefaktorske autentifikacije značajno napredniji od oslanjanja isključivo na lozinku, važno je da shvatimo da ne nude svi metodi isti nivo bezbednosti. Tradicionalne tehnike višefaktorkse autentifikacije, uključujući OTP i mobilne aplikacije za autentifikaciju, imaju značajne ranjivosti, pri čemu sajber-kriminalci pokazuju sposobnost da ih lako zaobiđu putem phishing napada. Kako pojedinci i organizacije postaju sve svesniji sajber-rizika povezanih sa lozinkama i zastarelim višefaktorskim utentifikacijama, preduzeća su počela da prelaze sa zastarelih metoda na jače, sajber otpornije tehnologije, a jedna od njih je i ona koja koristi pristupne ključeve.
Rešavamo se lozinki i budućnost dočekujemo sa pristupnim ključevima
Organizacije i pojedinci širom sveta, svesni rizika kojeg sobom nosi korišćenje lozinki, počeli su da traže rešenje koje pruža poboljšanu bezbednost i bolje korisničko iskustvo. Pristupni ključevi su osvojili svet kao rešenje za autentifikaciju u aplikacijama i na veb-stranicama umesto lozinki i pomogle su pojedincima i preduzećima da se snađu u novom postupku. Pristupni ključevi jednostavno potvrđuju autentičnost korisnika korišćenjem kriptografskih bezbednosnih „ključeva“ uskladištenih na računaru ili uređaju. Smatraju se superiornom zamenom za lozinke, jer se od korisnika ne traži da se prisećaju ili ručno unose dugačke nizove znakova koje mogu da zaborave ili neko može da ih ukrade ili presretne.
Pristupni ključevi, kao i FIDO (Fast Identity Online) tehnologija u kojoj nema lozinki, otporni su na krađu identiteta i ubrzavaju uklanjanje problematičnih lozinki koje se lako „provale“. Pristupni ključevi se koriste za efikasno i bezbedno prijavljivanje u aplikacije i na usluge, čime se poboljšava produktivnost i bezbednost na mreži. Na primer, pristupni ključevi zahtevaju verifikaciju posedovanja, kao i fizičko prisustvo korisnika tokom procesa prijavljivanja, što ih efikasno štiti od presretanja ili krađe.
Pored poboljšane bezbednosti, pristupačnost je takođe značajno poboljšana pri korišćenju pristupnih ključeva iz dva razloga. Prvo, protokoli za autentifikaciju mogu da se čuvaju u oblaku (sinhronizovani pristupni ključ) ili na uređaju, kao što je hardverski bezbednosni ključ (pristupni ključ koji je vezan za uređaj). Prilikom prijavljivanja unosi se prevlačenjem, pritiskom, dodirom ili biometrijskim pokretom.
Sa stanovišta bezbednosti, kad se prijavljujete pomoću pristupnih ključeva, sajber-kriminalcima je mnogo teže da iskoriste akreditive i dobiju neovlašćeni pristup, jer tehnologija koristi kriptografiju javnog ključa zasnovanu na matematičkim principima. Pristupni ključevi mogu da budu pogodno i bezbedno uskladišteni na hardverskim bezbednosnim ključevima, što nudi viši nivo bezbednosti, jer sprečava njihovo kopiranje ili deljenje u oblaku i drugim uređajima. Međutim, svaki izbor čuvanja pristupnog ključa donosi različite prednosti, o čemu bi trebalo da se obavestite da biste shvatili koji metod odgovara vašim potrebama.
Koju opciju pristupnih ključeva treba izabrati
Prvo, važno je da utvrdite razliku između sinhronizovanih pristupnih ključeva i onih koji su povezani sa uređajem. Sinhronizovani pristupni ključevi su prvenstveno napravljeni za masovnu upotrebu, a ne za preduzeća, i čuvaju se u oblaku. To znači da akreditivi mogu da se kopiraju na sve uređaje povezane sa korisničkim nalogom. Za pojedince i porodice koji dele uređaje i naloge, to može da bude velika prednost. Međutim, u organizacijama može da izazove ozbiljne probleme i velike nedostatke u ključnim poslovnim procesima, kao što su rad na daljinu i bezbednost lanca snabdevanja.
Što se tiče pristupnih ključeva vezanih za uređaje, treba napomenuti da se njima lakše upravlja i da imate veću kontrolu nad FIDO akreditivima, nego što je to slučaj kod sinhronizovanih pristupnih ključeva, zbog čega su pogodniji za korisnike u visokom stepenu rizika, kao i za preduzeća. Kad su ključevi vezani za uređaj, to znači da autentifikacija mora da potiče sa jednog određenog komada hardvera odvojenog od svakodnevnih uređaja, gde pristupni ključ ne može da se kopira ili deli. Iako ovde ne možemo da govorimo o fleksibilnosti, jer svaki uređaj treba posebno da se registruje, takvo rešenje pruža veću bezbednost, jer autentifikaciju možete da obavite samo ako u rukama imate određeni, prethodno registrovani uređaj.
Međutim, čak i tu postoje određene razlike. Naime, pristupni ključevi mogu da budu povezani sa uređajima koji se svakodnevno koriste, kao što su pametni telefoni i laptopovi, a drugi mogu da se nalaze u hardverskim bezbednosnim ključevima i smatra se da oni nude najveći nivo bezbednosti. Hardverski bezbednosni ključevi opremaju organizacije pouzdanim metodima upravljanja životnim ciklusom akreditiva i neophodnim dokazom za validaciju bezbednosti akreditiva, što omogućava preduzećima da postignu optimalnu bezbednost i da ispunjavaju najstrože zahteve u različitim privrednim granama.
Uspostavljanje ravnoteže između pristupačnosti i bezbednosti je i najvažniji zahtev sajber-bezbednosti, što je slučaj i sa pristupnim ključevima. Preduzeća bi trebalo da izaberu onu opciju pristupnih ključeva koja im u istoj meri pruža bezbednost i udobnost. Rešenje bi trebalo da poboljša bezbednost onlajn naloga i osetljivih podataka, kao i da zaštiti korisnike i širu organizaciju od phishing napada i neovlašćenog pristupa, dok u isto vreme omogućava zaposlenima da iskoriste prednosti neometanog iskustva prijavljivanja.
Pošto se okruženje sajber-bezbednosti stalno razvija, integracija autentifikacije bez lozinke, posebno kroz široko rasprostranjenu primenu pristupnih ključeva, postaće sredstvo koje ćemo koristiti da bismo zaštitili sopstveni digitalni identitet i obezbedili sisteme i usluge koji su sastavni deo našeg svakodnevnog života.