Appgate przedstawił różne modele bezpiecznego uwierzytelniania, aby zapobiec powszechnej kradzieży haseł. Przedstawił również kalendarium ewolucji tego systemu.
Pomyślne zalogowanie się za pomocą hasła nie gwarantuje już legalnego dostępu do systemu i poufnych kont. Dlatego Appgate, firma zajmująca się bezpiecznym dostępem i światowy lider w dziedzinie cyberbezpieczeństwa, wyjaśnia znaczenie wdrożenia bezpiecznego uwierzytelniania w celu ochrony przed zagrożeniami cyfrowymi.
Liczba ujawnionych danych uwierzytelniających wzrosła o 300% od 2018 r., A wzrost ten ujawnił, że klucze i hasła użytkowników są nieskuteczną metodą bezpiecznego uwierzytelniania. Jednak zdecydowana większość organizacji nadal polega na tym modelu.
Pierwszą rzeczą, o której należy wiedzieć, jest to, że każdy czynnik uwierzytelniania należy do jednej z trzech kategorii:
- Wiedza, umiejętności: Ta kategoria odnosi się do czegoś, co jest znane. Najprostszym przykładem jest hasło użytkownika. Ponieważ jednak łatwo jest manipulować tymi poświadczeniami, kategoria wiedzy jest najmniej skuteczna w implementacji bezpiecznego uwierzytelniania.
- Posiadanie: Dotyczy czegoś, co jest własnością i jest uważane za silną kategorię uwierzytelniania, ponieważ trudniej jest nią manipulować. To, że użytkownik musi fizycznie mieć coś przy sobie, stanowi wyzwanie, ale nadal nie okazuje się niezawodnym środkiem.
- Nieodłączny: To najsilniejsza kategoria uwierzytelniania. Oszustom jest znacznie trudniej odtworzyć ludzkie cechy, więc ta nieodłączna kategoria staje się mniejszym celem dla cyberprzestępców.
Każdy czynnik uwierzytelniania ma swoje zalety i wady. Poniżej Appgate przedstawia przegląd ewolucji uwierzytelniania.
- Pierwsze hasło: System bazowy został stworzony na początku lat 60. w MIT, co oznacza, że hasło ma ponad pięć dekad, a nawet wtedy nie było bezpieczne. Pomimo tego, że są łatwe w instalacji i opłacalne, stają się słabym czynnikiem uwierzytelniania i łatwe do złamania.
- Żetony twarde zostały po raz pierwszy opatentowane pod koniec lat 80: Podali jednorazowe hasło i wyświetlali losową liczbę, która zmieniała się okresowo. Chociaż unikalny kod numeryczny zmienia się z częstotliwością i utrudnia manipulowanie nim, jest to przestarzały system, który został zastąpiony przez znacznie bardziej dostępne inteligentne urządzenia.
- Rozpoznawanie urządzeń: Pliki cookie powstały pod koniec lat 90. XX wieku i stały się powszechne na początku XXI wieku. Byli pierwszym przykładem rozpoznawania urządzeń na dużą skalę. Technologia ta ewoluowała i poprawiła się, wykorzystując różne metody, które są stale aktualizowane, jednak oszuści mogą uzyskać zdalny dostęp do urządzenia za pomocą trojana dostępu zdalnego (RAT).
- SMS: Były one szeroko stosowane na początku XXI wieku i zapoczątkowały dystrybucję haseł do telefonów w ogóle. Jest to prosty sposób na wdrożenie bezpiecznego systemu uwierzytelniania. Jednak okazuje się to niewygodne dla użytkowników, którzy zgubili swoje urządzenie lub nie mają już dostępu do zarejestrowanego numeru telefonu.
- Pchać: Blackberry był pierwszym, który używał powiadomień push, ale Google i Apple przyjęły je do głównego nurtu w 2009 i 2010 roku. Czynnik ten przedstawia wyskakujący komunikat na urządzeniu mobilnym, umożliwiający użytkownikowi zaakceptowanie lub odrzucenie transakcji lub próby logowania. Jest to bardzo bezpieczna metoda, ponieważ jest egzekwowana na poziomie urządzenia, ale polega na tym, że użytkownik ma dostęp do urządzenia pierwotnie zarejestrowanego na koncie.
- Biometria odcisków palców: Touch ID firmy Apple spopularyzował biometrię odcisków palców w 2013 r. Ta metoda wymaga po prostu potwierdzenia tożsamości odcisku palca zarejestrowanego użytkownika, co utrudnia oszustom replikację.
- Uwierzytelnianie QR: Witryna WhatsApp uruchomiła uwierzytelnianie QR w 2015 r. Kody QR zapewniają bezpieczny sposób uwierzytelniania, zapewniając każdemu użytkownikowi unikalny kod. Jest to szybka, wygodna i bardzo bezpieczna forma uwierzytelniania, ale może być używana tylko w procesach pozapasmowych.
- Biometria twarzy: Identyfikator twarzy firmy Apple był jednym z pierwszych przykładów danych biometrycznych twarzy służących do uwierzytelniania użytkowników. Wady obejmują to, że jest zależny od oświetlenia i kąta twarzy użytkownika, a także może zostać przechwycony przez zdjęcie lub wideo użytkownika.
Chociaż wiele modeli uwierzytelniania zapewnia pewien poziom ochrony, żaden pojedynczy model nie jest sam w sobie wystarczająco skuteczny. Dlatego ważne jest, aby zapewnić, że organizacje wdrażają bezpieczne uwierzytelnianie przy użyciu wielu modeli w różnych kategoriach.