Hasła mają złą prasę, ale prawda jest taka, że nadal są podstawą logowania w większości firm. I jeszcze długo nią będą. Problem nie polega więc na tym, że hasła są same w sobie złe. Problem zaczyna się wtedy, gdy bagatelizujemy ich siłę i możliwości jakie za nimi stoją.
A szkoda, bo nawet jedno dobre, silne hasło to już bardzo sensowny krok do przodu. Nie rozwiązuje wszystkiego, ale jest absolutnym minimum i nadal robi dużą różnicę. Problem zaczyna się wtedy, gdy firma chce pójść poziom wyżej. Bo szybko pojawia się pytanie: skoro jedno hasło to za mało, to ile zabezpieczeń logowania ma sens?
Dwa? Trzy? Pięć? Osiem?
Czy może najlepiej od razu czytnik linii papilarnych, kod SMS, push w telefonie, karta zbliżeniowa i jeszcze spojrzenie pełne determinacji na kamerę?
Brzmi efektownie. Tylko nie zawsze ma sens.
Jedno hasło to minimum. Ale naprawdę minimum
Dobre hasło nadal ma znaczenie. I to duże.
Jeśli jest długie, unikalne i nie krąży po firmie w pliku o nazwie „hasla_nowe_final_v3.xlsx”, to już daje sporą przewagę. NIST od lat podkreśla, że same hasła nie są wystarczające do ochrony bardziej wrażliwych zasobów i dlatego zaleca dokładanie kolejnych czynników tam, gdzie ryzyko jest większe.
Czyli tak, jedno hasło to nadal potrzebna podstawa. Ale samo w sobie coraz rzadziej wystarcza tam, gdzie w grę wchodzą dane klientów, poczta, systemy firmowe czy dostęp do aplikacji biznesowych.
Drugie zabezpieczenie robi największą robotę
I tu dochodzimy do punktu, w którym zwykle zaczyna się prawdziwa rozmowa o bezpieczeństwie logowania.
Bo o ile jedno hasło jest potrzebne, o tyle drugi składnik bardzo często robi największą zmianę. Microsoft podaje, że MFA może zablokować ponad 99,2% prób przejęcia kont opartych o ataki na tożsamość. To jest ten moment, w którym z „mamy hasło” przechodzimy do „mamy już realnie mocniejszą ochronę”.
I właśnie dlatego w tylu organizacjach drugi składnik nie jest już dodatkiem, tylko standardem.
Tylko zaraz, zaraz.
Jaki drugi składnik?
Dodatkowe hasło?
Kod SMS?
Powiadomienie push?
Odcisk palca?
Karta RFID?
A może wszystko naraz, żeby dział IT spał spokojnie, a użytkownicy zastanawiali się, czy łatwiej jednak wrócić do papierowego obiegu dokumentów?
Więcej nie zawsze znaczy lepiej
Teoretycznie można dokładać kolejne warstwy. W praktyce trzeba mieć trochę wyczucia.
Bo jeśli ktoś przy każdym logowaniu musi zrobić pięć rzeczy, kliknąć trzy potwierdzenia, przepisać kod, przyłożyć kartę i jeszcze pamiętać, czy tym razem aplikacja pyta o PIN, to bardzo szybko przestaje myśleć: „ale bezpiecznie”. Zaczyna raczej myśleć coś znacznie mniej eleganckiego i zwykle kieruje ten komunikat mentalnie w stronę działu IT.
I trudno mu się dziwić.
Dobrze zrobione uwierzytelnianie wieloskładnikowe ma podnosić bezpieczeństwo, ale nie może zabijać normalnej pracy. CISA i NIST zwracają uwagę, że najmocniejsze metody są te odporne na phishing, ale organizacje nadal powinny dobierać je do ryzyka, kontekstu i realnego sposobu pracy użytkowników.
Czyli nie chodzi o to, żeby dołożyć jak najwięcej. Chodzi o to, żeby dobrać tyle, ile naprawdę ma sens.
Czy dwa składniki to najlepsza odpowiedź?
Najczęściej, tak.
Nie dlatego, że świat technologii zatrzymał się na cyfrze dwa. Po prostu w wielu scenariuszach to właśnie dwa dobrze dobrane składniki dają najlepszy stosunek bezpieczeństwa do wygody. Hasło plus push. Hasło plus aplikacja mobilna. Hasło plus karta. Hasło plus biometria odblokowująca urządzenie, które potwierdza logowanie.
To zwykle ten moment, w którym bezpieczeństwo wyraźnie rośnie, a człowiek po drugiej stronie jeszcze nie ma ochoty zabierać wideł i maszerować do działu IT.
Ale są też firmy, które idą krok dalej. I czasem robią to bardzo sensownie.
Bo nie zawsze każde logowanie musi wyglądać tak samo
To jest w ogóle jeden z najciekawszych elementów całej układanki.
Nie każda próba logowania ma taki sam poziom ryzyka. I nie każda musi być traktowana identycznie.
Przykład? Pierwsze logowanie do systemu może być zabezpieczone mocniej. Na przykład hasłem i dodatkowym potwierdzeniem w telefonie. Potem, jeśli użytkownik pracuje dalej w znanym środowisku, zaufanym urządzeniu i przez określony czas, kolejne logowania mogą być już prostsze. Na przykład przez kilka godzin wystarczy samo hasło albo mniej uciążliwa metoda potwierdzenia.
To nie jest „odpuszczanie bezpieczeństwa”. To jest próba zrobienia go z głową.
Podobnie działa podejście zależne od lokalizacji czy kontekstu. Użytkownik logujący się z sieci firmowej może być traktowany inaczej niż ktoś próbujący wejść do systemu z nowego miejsca, innego kraju czy nietypowego urządzenia. W takim modelu nie chodzi tylko o liczbę metod, ale o to, kiedy i wobec kogo je uruchamiamy.
A co z kartami, telefonami i tym wszystkim, co firma już ma?
No właśnie tu robi się naprawdę ciekawie.
Bo bardzo często organizacja nie musi wymyślać wszystkiego od zera. Część elementów już istnieje. Pracownicy mają telefony. Często mają też karty RFID, którymi wchodzą do budynku. I jeśli rozwiązanie na to pozwala, to takie karty można wykorzystać także jako czynnik logowania do komputera czy aplikacji.
To jest ten moment, w którym MFA przestaje być abstrakcyjnym projektem z prezentacji, a zaczyna opierać się na czymś, co ludzie i tak już mają w kieszeni albo na smyczy.
I właśnie dlatego nie ma jednej idealnej odpowiedzi na pytanie, które metody są „najlepsze”. Najlepsze są te, które z jednej strony realnie podnoszą bezpieczeństwo, a z drugiej dają się wdrożyć bez robienia rewolucji przy każdym biurku.
No dobrze, ale ile tych metod może być?
Dużo. Czasem bardzo dużo.
Przykładowo OpenText Advanced Authentication, znane też wielu osobom jako NetIQ Advanced Authentication, wspiera ponad 30 metod uwierzytelniania. To pokazuje, jak szeroko można podejść do tematu i jak różne scenariusze da się zbudować w jednej organizacji.
Tylko że to, że można użyć trzydziestu, wcale nie znaczy, że trzeba.
Z praktyki zwykle wychodzi coś znacznie bardziej przyziemnego. Firma korzysta z tego, co już ma. Albo z tego, co planuje mieć. Jedna postawi na telefony i push. Druga na karty. Trzecia na bardziej odporne na phishing metody tam, gdzie ochrona musi być mocniejsza. Czwarta połączy kilka podejść, ale tylko dla wybranych grup użytkowników.
I to jest całkiem zdrowe podejście.
Najważniejsze nie jest to, żeby było „najwięcej”
Najważniejsze jest to, żeby było sensownie.
Silne hasło to już duży krok do przodu.
Dwa dobrze dobrane składniki to bardzo często prawdziwy gamechanger.
Większa liczba metod też może mieć sens, ale zwykle dopiero wtedy, gdy wynika z konkretnej potrzeby, poziomu ryzyka albo scenariusza pracy.
Bo bezpieczeństwo logowania nie polega na tym, żeby utrudnić życie wszystkim po równo. Polega na tym, żeby znaleźć złoty środek między ochroną a wygodą. Między ryzykiem a codziennością. Między „ma być bezpiecznie” a „ludzie naprawdę muszą z tego korzystać”.
I właśnie tam zaczyna się dobrze poukładane MFA.
A jeśli chcesz zobaczyć, jak podejść do tego w praktyce
W Akademii IP pokazujemy ten temat szerzej, także od strony rozwiązań i realnych scenariuszy. Bo samo pytanie „ile czynników?” jest ważne, ale jeszcze ważniejsze jest to, jak dobrać je do firmy, użytkowników i tego, co organizacja już dziś ma do dyspozycji.
Jeśli chcesz porozmawiać o swoim scenariuszu logowania, skontaktuj się z nami. Niezobowiązująco powiemy, co zwykle działa dobrze, co można sensownie wykorzystać i gdzie naprawdę warto podnieść poziom zabezpieczeń, a gdzie lepiej nie komplikować życia użytkownikom na siłę.