Multi Factor Authentication
13 kwietnia 2021
Ochrona zapewniana przez MFA
Rosnąca liczba cyberataków
Każdego dnia ma miejsce średnio ponad 300 milionów nielegalnych prób zalogowania się na konta użytkowników tylko w kontekście usług chmurowych świadczonych przez Microsoft. Część wspomnianej nielegalnej aktywności, to składowe działań związanych z cyberatakami, których liczba niestety wzrasta. Co ciekawe, niektóre spośród ataków okazują się na określonym etapie skuteczne, pomimo braku wykorzystania do ich realizacji zaawansowanych rozwiązań technologicznych.
Bezpieczeństwo danych w organizacji może osłabić przejęcie poświadczeń do kont użytkowników przez cyberprzestępców lub słabości związane z używaniem w firmie aplikacji korzystających z protokołów starszego typu.
Obszary generujące największe podatności na atak
- Przejęcie dostępu do konta e-mail w firmie. W takiej sytuacji atakujący uzyskuje dostęp do skrzynki mailowej w organizacji w celu pozyskiwania dodatkowych informacji dotyczących przedsiębiorstwa lub wyłudzenia pieniędzy. Sposobem uzyskania poświadczeń do zdobytego konta e-mail może być np. phishing, spoofing, keystroke logging, brute force. Konta mailowe, które są chronione tylko za pomocą hasła są niestety relatywnie łatwym celem dla przestępców.
- Protokoły uwierzytelniania starszego typu (legacy protocols). Korzystanie w firmie z protokołów starego typu, które nie są przystosowane do obsługi uwierzytelniania wieloskładnikowego (np. SMTP) rodzi podatności na ataki. Hackerzy wyszukują możliwości, by atakować przestarzałe przeglądarki lub aplikacje mailowe pozwalające na korzystanie z protokołów starszego typu.
- Ponowne wykorzystanie haseł. Hackerzy często korzystają z popularnych haseł oraz zestawów poświadczeń podczas prób uzyskania dostępu do firmowych kont użytkowników. Strategia może bazować na wykorzystaniu gotowych zbiorów haseł oraz poświadczeń uzyskanych z wcześniejszych wycieków danych. Hackerzy realizują ataki określane mianem credential stuffing (próba wykorzystania zestawu poświadczeń do uzyskania dostępu do różnych usług) lub password spray (próba wykorzystania danego hasła do zalogowania się na kontach różnych użytkowników). Szacuje się, że nawet 73% wykorzystywanych przez użytkowników haseł to duplikaty, co ułatwia zadanie przestępcom dążącym do uzyskania dostępu do konta lub usługi.
Działania mające na celu zwiększenie bezpieczeństwa IT
Administrator zarządzający infrastrukturą IT w firmie może zwiększyć poziom bezpieczeństwa IT dzięki wdrożeniu odpowiedniej polityki dotyczącej stosowanych przez użytkowników haseł, blokowaniu użycia autoryzacji za pomocą starszych protokołów (tzw. legacy authorization) oraz szkoleniu i uświadamianiu użytkowników w zakresie niebezpieczeństw związanych z phishingiem.
Jednym z najskuteczniejszych działań podnoszących poziom bezpieczeństwa IT w przedsiębiorstwie jest wdrożenie MFA (multi factor authentication). Włączenie uwierzytelniania wieloskładnikowego zapewnia dodatkową warstwę ochrony, która jest bardzo trudna do pokonania dla cyberprzestępców dążących do przejęcia konta użytkownika. Przyjmuje się, że MFA potrafi zatrzymać ponad 99,9% ataków nakierowanych na przejęcie konta użytkownika w organizacji.
Dodatkowa warstwa ochrony
Wdrożenie uwierzytelniania wieloskładnikowego oznacza, że pracownicy uzyskują dostęp do konta lub aplikacji tylko po realizacji dwóch lub więcej czynności będących sposobem na potwierdzenie identyfikacji.
Warstwy ochrony mogą uwzględniać dane znane użytkownikowi (np. hasło), dane biometryczne (np. odcisk palca na telefonie) lub dane przekazywane podczas logowania (np. kod przesyłany na zarejestrowany numer telefonu).
Dodatkowa warstwa ochrony zapewniana przez MFA chroni pracowników firmy w sytuacji, gdy hasło do konta lub usługi zostało złamane lub przechwycone oraz wzmacnia ogólne bezpieczeństwo procesu logowania się na konta lub do aplikacji wykorzystywanych w organizacji. Rekomenduje się wdrożenie uwierzytelniania wieloskładnikowego w zakresie całego zespołu organizacji.
Co ważne, Microsoft 365 posiada wbudowaną funkcjonalność MFA, która jest automatycznie włączona dla nowych użytkowników usług chmurowych.
Łatwe i szybkie wdrożenie MFA w firmie
Najczęstsze obawy związane z włączeniem MFA
Ogromna wartość rozwiązania MFA dla bezpieczeństwa informatycznego firmy bierze się stąd, że wejście w posiadanie hasła użytkownika lub złamanie hasła przez hackera nie będzie wystarczające, by zdobyć dostęp do konta.
Obserwacje pokazują, że funkcjonują dwa główne powody, dla których część organizacji nie zdecydowała się jeszcze na wdrożenie MFA.
- Błędne przekonanie, że wdrożenie MFA wymaga dodatkowych rozwiązań hardware.
- Troska związana z możliwością spowodowania zakłócenia komfortu i płynności pracy użytkowników w firmie w trakcie lub ze względu na wdrożenie, jak również obawa o możliwość pojawienia się kolejnego obszaru w zakresie rozwiązań IT, w którym coś może się z czasem popsuć.
Wdrożenie MFA dostosowane do indywidualnych potrzeb
Warto pamiętać, że wdrożenie MFA można dostosować do indywidualnych potrzeb firmy. Jeżeli pojawiają się obawy dotyczące procesu wdrożenia oraz adaptacji do nowych warunków przez użytkowników, można rozważyć na początek implementację uwierzytelniania wieloskładnikowego tylko w grupie wybranych współpracowników (kryterium oparte na roli użytkownika w organizacji) lub w zakresie wybranych aplikacji.
Wraz z upływem czasu, w kolejnych krokach można rozszerzać grupę użytkowników lub aplikacji objętych dodatkową ochroną.
Microsoft Authenticator
Aplikacja Microsoft Authenticator jest potrzebna użytkownikowi podczas logowania na konto usług chmurowych Microsoft 365 przy korzystaniu z uwierzytelniania dwuskładnikowego (2FA). Aplikację instalujemy w formie apki na urządzeniu mobilnym (urządzenie przypisane do użytkownika, np. służbowy smartfon).
Zapewniona jest dodatkowa ochrona dla konta, utrudniająca zalogowanie na konto osobom niepowołanym w przypadku złamania lub kradzieży hasła. Warto zwrócić uwagę, że użytkownik w organizacji może korzystać z aplikacji Microsoft Authenticator na kilka sposobów.
- Możliwe jest potwierdzenie monitu w postaci powiadomienia push na urządzeniu mobilnym podczas logowania z wykorzystaniem nazwy użytkownika i hasła.
- Możliwe jest zalogowanie bez wprowadzania hasła, korzystając z nazwy użytkownika i aplikacji authenticator oraz wprowadzając dane biometryczne (odcisk palca, rozpoznanie twarzy) lub PIN.
- Możliwe jest wykorzystanie aplikacji Microsoft Authenticator jako źródła kodów dla kont użytkownika związanych z innymi usługami, które wspierają aplikacje uwierzytelniania.
Działanie weryfikacji 2FA z wykorzystaniem apki Microsoft
Uwierzytelnianie dwuskładnikowe dostępne w Azure AD może wykorzystywać Microsoft Authenticator app na kilka sposobów. Administrator IT w firmie decyduje jaka dokładnie będzie procedura weryfikacji tożsamości użytkowników kont.
- Powiadomienie. Po wpisaniu nazwy użytkownika oraz hasła za pomocą urządzenia wykorzystywanego do pracy z usługami Microsoft 365 (np. laptop służbowy), przesłane zostaje powiadomienie push na urządzenie mobilne z pytaniem o potwierdzenie logowania. Po potwierdzeniu użytkownik zostanie zalogowany. W przypadku wyboru opcji “odrzuć”, jest możliwość, by zaznaczyć próbę logowania jako nielegalną.
- Kod weryfikacyjny. Po wprowadzeniu nazwy oraz hasła dla danego konta za pomocą urządzenia wykorzystywanego przez użytkownika do pracy z usługą Microsoft 365 (np. służbowy komputer), należy skopiować kod weryfikacyjny powiązany z danym kontem w apce Authenticator w oknie Accounts. Kod weryfikacyjny jest również określany mianem autoryzacji OTP (one-time passcode).
- Logowanie bez użycia hasła (passwordless sign-in). Po wpisaniu nazwy użytkownika pracując na urządzeniu wykorzystywanym do pracy z usługami Microsoft 365, użytkownik korzysta z urządzenia mobilnego (np. smarfon służbowy) do potwierdzenia tożsamości za pomocą odcisku palca, rozpoznawania twarzy lub znanemu sobie PIN. Ta metoda nie wymaga stosowania hasła.
Korzystanie ze skanera danych biometrycznych urządzenia mobilnego
W przypadku logowania bez użycia hasła z wykorzystaniem własnego kodu PIN, jest możliwość, by skonfigurować Microsoft Authenticator app w taki sposób, by użyte zostały dane biometryczne, takie jak odcisk palca lub rozpoznawanie twarzy użytkownika.
Można to ustawić przy pierwszym użyciu apki Authenticator do weryfikacji tożsamości, wybierając opcję korzystania z możliwości odczytu danych biometrycznych użytkownika urządzenia w celu weryfikacji tożsamości zamiast kodu PIN.
Hasła staną się przeszłością
Protokoły WebAuthn oraz CTAP2, ratyfikowane w 2018 roku, umożliwiły usunięcie haseł z procesu logowania. Standardy, znane jako FIDO2, dbają o zabezpieczenie poświadczeń użytkownika w procesie logowania bez użycia hasła i poprawiają całościowo łańcuch zależności poszczególnych elementów procesu w kontekście bezpieczeństwa.
Wykorzystanie danych biometrycznych staje się dostępne i popularne, między innymi dzięki popularyzacji rozwiązania w laptopach oraz smartfonach. Większość użytkowników zetknęła się z taką technologią lub już ją używa, najczęściej preferując rozwiązanie ponad stosowanie tradycyjnych haseł.
Uwierzytelnianie bez użycia haseł to nie tylko większa ergonomia i komfort dla użytkowników, ale przede wszystkim ogromne utrudnienie i wzrost kosztów działania dla cyberprzestępców w zakresie realizacji ataków i dążenia do przejęcia tożsamości użytkownika.