Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

Aktualności

Alternatywa dla haseł? Rozwiązań jest wiele, ale liczy się wygoda

passwordZ raportu Verizon wynika, że w 2023 roku niemal połowa (49%) zgłoszonych naruszeń danych, w tym 86% naruszeń aplikacji internetowych, dotyczyło użycia skradzionych poświadczeń: nazw użytkowników i haseł. Firmy i organizacje mają wciąż wiele do zrobienia w zakresie bezpiecznego uwierzytelniania. Problemem nie jest jednak brak alternatywnych metod potwierdzania tożsamości, ale przywiązanie użytkowników do haseł. Które z dostępnych na rynku rozwiązań są jednocześnie bezpieczne i przyjazne w użyciu?

"Wiemy, że hasła są podatne na złamanie, ujawnienie lub kradzież i wykorzystanie przeciwko nam, ale wiele organizacji wciąż na nich polega w zakresie zabezpieczenia dostępu do systemów, aplikacji i zasobów. Dzieje się tak nie bez powodu. Hasła są wygodne i przywykliśmy do korzystania z nich. Rozumiemy ich działanie. Dodatkowo - są łatwe do wdrożenia i wymagają minimalnej infrastruktury oraz inwestycji ze strony firm. Użytkownicy nie muszą mieć żadnych dodatkowy urządzeń, by uwierzytelniać się za pomocą haseł. Są proste i znajome. Jeśli chcemy je zastąpić, nowy sposób weryfikacji tożsamości musi mieć podobne cechy. Inaczej nie spełni swojego zadania" - mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Ograniczenie naszej zależności od haseł

Rozważając alternatywy dla haseł, trzeba pamiętać o tym, aby priorytetowo traktować bezpieczeństwo, użyteczność i skalowalność. Tylko uwzględniając wygodę użytkowników, firmy osiągną sukces. Jeśli proces uwierzytelniania będzie zbyt skomplikowany, pracownicy i klienci znajdą sposób na to, aby go obejść.

Jakie sposoby uwierzytelniania mają do dyspozycji organizacje? Kilka aktualnie dostępnych może pomóc podnieść poziom bezpieczeństwa, nie zrażając użytkowników.

Uwierzytelnianie dwu lub wieloskładnikowe (2FA / MFA): Ten rodzaj uwierzytelniania stał się już domyślnym zabezpieczeniem aplikacji. 2FA wymaga, aby użytkownicy przeszli przez dwa etapy identyfikacji, zanim uzyskają dostęp do systemu. Zazwyczaj muszą użyć czegoś, coś, co znają, na przykład hasła, i czegoś, coś, co mają, na przykład kodu udostępnionego na urządzeniu mobilnym. W tym przypadku dodatkowy wysiłek po stronie użytkownika jest niewielki.

MFA dodaje do tego procesu kolejne warstwy uwierzytelniania - coś, czym użytkownik jest (biometria), lub sposób, w jaki użytkownik się zachowuje (biometria behawioralna). Jednak w ostatnich latach atakujący nauczyli się, jak złamać MFA poprzez ukierunkowany phishing lub taktykę zwaną „zmęczeniem MFA", czyli bombardowanie użytkownika powiadomieniami o logowaniu.

Pojedyncze uwierzytelnianie, czyli Single Sing-On (SSO): SSO pozwala użytkownikom uzyskać dostęp do wielu aplikacji za pomocą jednego zestawu danych logowania. Zmniejsza tym samym potrzebę używania i zapamiętywania wielu haseł, co samo w sobie upraszcza proces uwierzytelniania oraz udoskonala doświadczenia użytkownika. Jest to bardzo skuteczne rozwiązanie w przypadku wewnętrznych aplikacji biznesowych. Jednak skonfigurowanie go może być czasochłonne.

"SSO staje się ryzykowne, jeśli jest stosowane w wielu serwisach internetowych, do których dostęp uzyskuje się za pomocą poświadczeń popularnych usług online, takich jak Google, Facebook, Apple, Yahoo czy Microsoft. Chociaż ułatwia to logowanie, otwiera cyberprzestępcom drogę do dowolnej usługi, jeśli przejmą pojedynczy zestaw danych uwierzytelniających do którejś z powyższych usług" - wyjaśnia Mateusz Ossowski z Barracuda Networks.

Uwierzytelnianie biometryczne: Obejmuje metody takie jak rozpoznawanie odcisków palców, twarzy, głosu czy skanowanie tęczówki oka. Biometria behawioralna wykorzystuje natomiast choćby sposób pisania lub obsługi urządzenia przez użytkownika. Uwierzytelnianie biometryczne zapewnia wysoki poziom bezpieczeństwa i wygody. Nie wymaga wykonywania czynności, do których nie jesteśmy na co dzień przyzwyczajeni. Coraz więcej urządzeń konsumenckich posiada dziś funkcje uwierzytelniania biometrycznego, skanowanie odcisków palców nie jest zatem niczym nowym. To ułatwia wdrożenie tego typu technologii w środowisku biznesowym.

Co więcej, dzięki zastosowaniu biometrii użytkownik nie musi przypominać sobie haseł przy każdym logowaniu. Jednak nie każde urządzenie obsługuje tego typu uwierzytelnianie, a wdrożenie wymaganej technologii w organizacji może być kosztowne. Pracownicy muszą także czuć się komfortowo i pewnie, udostępniając swoje dane biometryczne pracodawcy.

Tokeny sprzętowe: To fizyczne urządzenia, które generują jednorazowe, często czasowo ograniczone kody lub klucze kryptograficzne do uwierzytelniania, dodając dodatkową warstwę bezpieczeństwa. Atakujący musieliby mieć fizyczny dostęp do tokena i znać poświadczenia użytkownika, aby przejąć jego konto. Choć metoda ta zapewnia wysoki poziom bezpieczeństwa, ma swoje minusy w zakresie wygody użytkowania. O ile zapomniane hasło można zresetować, o tyle zagubionego sprzętu nie można odtworzyć. Zespół IT musi mieć więc plan awaryjny.

Uwierzytelnianie oparte na certyfikatach: Cyfrowe certyfikaty wydawane są przez instytucję certyfikującą i opierają się na kryptografię klucza publicznego. Certyfikat przechowuje informacje identyfikacyjne i klucz publiczny, użytkownik natomiast korzysta z przechowywanego wirtualnie klucza prywatnego. Jest to dobra opcja uwierzytelniania dla firm zatrudniających kontrahentów, którzy potrzebują tymczasowego dostępu do jej zasobów. Jednak wdrożenie certyfikatów może być kosztowne i czasochłonne.

Uwierzytelnianie oparte na ryzyku: Jest to podejście dynamiczne, które polega na każdorazowym ocenianiu ryzyka związanego z próbą logowania na podstawie różnych czynników. Są wśród nich między innymi zachowanie użytkownika, jego lokalizacja czy informacje o urządzeniu, z którego korzysta. Jeśli coś budzi podejrzenia lub odbiega od normy, użytkownik proszony jest o wykonanie dodatkowych czynności potwierdzających jego tożsamość.

"Nowoczesne i bezpieczne uwierzytelnianie musi być przyjazne dla użytkownika. I na tyle proste, aby bez żalu ograniczył stosowanie znanych mu haseł, do których przywykł i które zaakceptował. Dostęp do zasobów polegający na alternatywnych lub uzupełniających metodach uwierzytelniania często staje się częścią wdrażanej w firmach polityki Zero Trust. Zarówno uwierzytelnianie bez haseł, jak i Zero Trust wzmacniają bezpieczeństwo organizacji i poprawiają doświadczenia użytkownika. Dzięki temu mogą pomóc w zerwaniu naszej emocjonalnej i trwałej więzi z hasłami" - podsumowuje Mateusz Ossowski.

Źródło: Barracuda Networks

Logowanie i rejestracja