Na ratunek politykom zarządzania hasłami – MFA!

Przełom 20/21 jest dla nas początkiem czegoś nowego, ale nie odcinamy grubą kreską tego, co działo się w 2020r.

Idziemy wciąż do przodu. Mamy za sobą rok pełen wyzwań, prób i testów.

A teraz przed nami otwierają się nowe horyzonty, będziemy realizować nowe pomysły i projekty.
Jednym z nich jest wdrożenie systemu uwierzytelniania wieloskładnikowego (MFA).

Jest nam niezmiernie miło poinformować, że kolejna firma zdecydowała się dołączyć do grona zadowolonych klientów oferowanego przez nas rozwiązania.

Dziś nie trzeba chyba nikogo przekonywać o powodach, dla których warto stosować uwierzytelnianie wieloskładnikowe (MFA).
Jednak jeszcze nie tak dawno – kiedy mało kto o MFA słyszał, zalecaną praktyką w wielu systemach IT (jak chociażby Active Directory), było zmuszanie użytkowników do zmiany hasła co miesiąc.

Takie hasło, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, musiało spełnić także kilka dodatkowych warunków:
1. Długości – przynajmniej 8 znaków.
2. Złożoności:
a. przynajmniej 1 mała litera,
b. przynajmniej 1 wielka litera,
c. przynajmniej 1 cyfra,
d. przynajmniej 1 znak specjalny.

Co ambitniejsze organizacje wymagały od użytkowników stosowania haseł prawdziwie unikalnych, tj. takich, które nie mogły się powtórzyć na przestrzeni ostatnich 12 a czasem nawet 24 miesięcy.

W teorii?

…cudowna sprawa, hasła były zmieniane, więc nawet w przypadku wykradnięcia bazy haseł, szansa na złamanie tak skonstruowanego hasła w ciągu 30 dni była znikoma. Po tym czasie hasło stawało się bezużyteczne, więc też nie było z tym problemu.

Z czasem jednak okazało się, że takie podejście ma więcej wad niż zalet.
Użytkownicy zaczęli mieć problem z zapamiętaniem haseł, toteż coraz częściej musieli zgłaszać w helpdesku potrzebę zresetowania hasła. W zależności od wielkości organizacji oraz od obciążenia helpdesku, zdarzały się sytuacje, kiedy na reset hasła trzeba było poczekać 1 dzień bądź nawet dłużej. To znowu wpływało na znaczne obniżenie efektywności pracy, gdyż powodowało niepotrzebne przestoje.

Generalnie, użytkowników w tym czasie można było podzielić na 3 podstawowe grupy:
1.notorycznie proszących helpdesk o pomoc,
2.przechowujących kolejne hasła na żółtych karteczkach przyklejonych pod klawiaturą komputera,
3. oraz tych sprytniejszych, którzy bazując na doświadczeniach 2 wcześniejszych grup, wpadli na pomysł tworzenia haseł unikalnych, ale łatwych do zapamiętania. To im zawdzięczamy kwiatki w stylu: „Lipiec2016!”, „Haslo04!@”, itd.

Dziś sytuacja jest trudniejsza.

Po pierwsze zdecydowanie wzrosła moc obliczeniowa komputerów służących do łamania haseł. Zawdzięczamy to atakującym, którzy zmienili swoje podejście do tego zagadnienia. Kiedyś do łamania haseł wykorzystywano procesory komputerów, dziś to zadanie zrzucono na karty graficzne, które by sprostać wymaganiom dynamicznie rozwijającego się rynku gier komputerowych, wyposażane są w coraz potężniejsze jednostki obliczeniowe, zdolne do wykonywania dziesiątek miliardów operacji w czasie 1 sekundy.
Warto w tym miejscu zaznaczyć, że komputery łamiące hasła posiadają wiele takich kart, a to wielokrotnie skraca czas potrzebny na odgadnięcie hasła.

Obecnie, złamanie hasła 8-mio znakowego, spełniającego wcześniej podane kryteria złożoności, przy zastosowaniu komputera wyposażonego w zaledwie 1 taką kartę, zajmie maksymalnie 3 dni.

Dodatkowym problemem jest także stały wzrost popularności rozwiązań chmurowych. W ich przypadku, przejęcie hasła przez atakującego, wiąże się z niemal natychmiastowym odcięciem ofiary od jej własnych danych zgromadzonych w chmurze.

Czy zatem jedynie hasła 16-to znakowe są wyjściem z tej sytuacji?
Na szczęście nie.
Rozwiązaniem powyższego problemu jest właśnie technologia uwierzytelnienia wieloskładnikowego (MFA).
Dzięki niej można „odciążyć” głowę użytkownika, który zamiast zapamiętywać często zmieniane hasła, zostaje wyposażony w dodatkowe elementy wzmacniające proces uwierzytelniania. Nawet w sytuacji, kiedy z powodu niewystarczającej złożoności, hasło użytkownika zostanie przejęte przez atakującego, ten ostatni nadal będzie musiał pokonać jeszcze zabezpieczenia w postaci pozostałych składników uwierzytelnienia.

Przykładem systemu wprowadzającego organizacje w świat MFA jest NetIQ Advanced Authentication, tj. bohater dzisiejszego wpisu.

Co oferuje?
Przede wszystkim ogromną elastyczność w podejściu do potrzeb klienta, poczynając od szalenie przyjaznego licencjonowania (np. HA w cenie), poprzez rozbudowane API ułatwiające integrację z innymi systemami, po łatwość dostosowania do warunków panujących w różnych działach organizacji.

W skrócie, sposoby uwierzytelniania dzielimy na 3 główne grupy:
1. coś, co wiesz, np. hasło,
2. coś, co masz przy sobie, np. klucz FIDO U2F,
3. coś, czym jesteś, np. skan tęczówki.

Na bazie powyższych grup system pozwala zbudować dowolne łańcuchy uwierzytelnień, a te w elastyczny sposób kojarzone są z użytkownikami oraz rodzajami zdarzeń, takimi jak np. logowanie do Windowsa.
Mamy nadzieję, że choć trochę udało nam się zainteresować Was bohaterem dzisiejszego wpisu. Zapewniamy, że można by o nim pisać jeszcze długo, jednak musimy dokończyć wspomniane wdrożenie. A więc bierzemy się za instalację kolejnego węzła klastra.

…wspominaliśmy już, że nie trzeba za niego dodatkowo płacić? 😊

O tak!

Robert