S dobrom ste lozinkom sigurni, a bez nje – još sigurniji

Kada govorimo o računalnoj sigurnosti, kao prva se linija obrane od kompromitiranja korisničkih računa najčešće ističe način prijave na njih – a u tom svijetu i dalje je neprikosnoveni vladar rudimentarni način prijave, korištenjem korisničkog imena i lozinke. Pomalo zastarjela metoda pamćenja fraze koja služi kao lozinka ima mnogo mana, a najveći problem u sigurnosnom se lancu najčešće nalazi, kako se to u IT žargonu kaže, “između stolice i tipkovnice“.

Ljudski faktor prvi je koji će zakazati. Bilo da korisnik odabere lošu lozinku, bilo da je zapiše na svima dostupnom mjestu, ili da je koristi za prijavu na više mjesta – sve ove prakse iznimno su riskantne, pa se često kao lijek za slične probleme navodi korištenje raznih aplikacija za upravljanje lozinkama (password managera”). Međutim, i njih se može hakirati, a šteta od takvog događaja bila bi značajna.

Izbacimo lozinke

Što se, dakle, može učiniti kako bi se osjetljivi poslovni sustavi zaštitili od neovlaštenog pristupa? Spanovi stručnjaci, Nataša Fucijaš, Senior Program Manager i Marijan Pongrac, Solution Consulting Services Director i član Uprave, preporučuju tvrtkama da se prebace na potpuno passwordless pristup. U podcastu Spanoptic dodatno su pojasnili što donosi ukidanje lozinki i autentifikacija korsinika putem kombinacije Azure računa i sustava Windows Hello for Business.

Ovaj sustav koristi multifaktorsku autentifikaciju, snimanje lica ili otiska prsta, u kombinaciji s jedinstvenim obilježjima svakog pojedinog računala, kako bi verificirao identitet korisnika. Osim njega, za unaprjeđenje sigurnosti u svijetu bez lozinki moguće je koristiti i mobilne aplikacije poput Google ili Microsoft Authenticatora, ili pak hardverskih ključića kompatibilnih s kriptografskim protokolom FIDO2.

Nešto što znate + nešto što imate = višefaktorska provjera identiteta
Nešto što znate + nešto što imate = višefaktorska provjera identiteta

“Ideja passwordlessa je prvenstveno pojednostaviti pristup korisnicima, koji ne moraju pamtiti lozinke, baviti se njihovom kompleksnošću i brinuti kada istječu te kako će ih promijeniti. Umjesto toga, ulogiravaju se s nekom drugom metodom, koja može biti prepoznavanje lica, otiska prstiju ili PIN-om. Sve te metode služe da bi se otključao sigurnosti dio TPM čipa i pročitao privatni ključ s kojim se onda može autenticirati”, pojašnjava Marijan Pongrac. “Govorimo li o Windows svijetu, potrebno je funkciju Windows Hello for Business povezati s Azure Active Directoryjem”, što je metoda koju u Spanu i sami primjenjuju.

PIN je kraći, a sigurniji

Kako to, pak, da u slučaju provjere identiteta putem snimanja lica ili otiska prsta kao drugi stupanj zaštite služi PIN broj, od samo četiri ili šest znamenki? Nije li to manje sigurno od kompleksne lozinke?

Nataša Fucijaš pojašnjava da tome nije tako. “PIN je zapravo obavezan. Biometrija je zgodna za korištenje, ali kod postavljanja Windows Hello for Businessa PIN je prva i jedina stvar koja se zaista traži. Prije toga potrebno je multifaktorskom autentifikacijom potvrditi identitet, i potom kreirati PIN. Time se privatni dio enkripcijskog ključa sprema u TPM čip, a javni u Azure”.

PIN, iako je kraći i lakši za zapamtiti, sigurniji je od standardne lozinke. “Kada se koristi password, on putuje po mreži i bilo tko ga može presresti, ukrasti i koristiti”, kaže Fucijaš. ” Windows Hello for Business PIN ima asimetrični način autentikacije, i ono što se na mreži može presresti je potpuno beskorisno napadaču”. Prednost PIN-a je u tome što je vezan za pojedini uređaj – bez obzira što korisnik možda koristi istu kombinaciju znakova na dva različita računala, oni su u svojoj biti drugačiji, i ne mogu, za razliku od lozinke, biti iskorišteni na trećem računalu. K tome, PIN je mnogo lakše zapamtiti i nije podložan phishingu.

Kako prijeći na passwordless?

“Za tvrtke je najbolje da odjednom prebace sve korisnike na passwordless, jer na taj način izbjegavaju korištenje lozinki i podižu sigurnost kompanije. Ono što im za to treba su Microsoft Azure AD P1 licence, kao minimum”, kaže Pongrac. Od ostalih zahtjeva, računala bi trebala imati najmanje Windows 10 OS. Moguće je, naravno, implementirati Windows Hello for Business kao passwordless rješenje i sa third party MFA providerom, no implementacija je kompleksnija i sa sobom nosi određena ograničenja i izazove.

Način i brzina prelaska ovisi o kompleksnosti kompanije, ali varira i od odjela do odjela. Preporuča se započeti proces pilot projektom, čime se uči s kakvim se problemima korisnici susreću, i kada eventualno dolaze do situacije u kojoj moraju koristiti lozinke. “To su obično aplikacije koje nisu kompatibilne s modernim protokolima. Tek kad sve te različite scenarije pokrijemo, možemo ići dalje u implementaciji passwordlessa”, kaže Fucijaš. Kranji cilj je u cijelosti iz poslovanja isključiti lozinke, jer je cijeli sustav sigurniji bez njih, i bez potrebe da ih korisnici uopće znaju.