Najnovija dostignuća za jaku autentifikaciju bez lozinke

Korporativni i lični podaci sve više se pohranjuju na distribuiranim klaud platformama zbog ubrzane digitalne transformacije koja je zahvatila sve industrije i sektore, kao i zbog povećanog usvajanja tehnologija zasnovanih na klaudu i hibridnih radnih normi. Tako brojne aplikacije, organizacije, ljudi, uređaji itd. imaju pristup ovim podacima.

Tradicionalne bezbednosne mere više nisu dovoljne da zaštitimo naše podatke jer su se granice tradicionalnih kompanija značajno suzile. Ono što treba posebno da čuvamo, sada je identitet, i nova bezbednosna pitanja povezana su upravo sa zaštitom identiteta. Da bi se suprotstavila ovoj tendenciji, preduzeća ulažu u poboljšanje svojih kontrola pristupa, kao i u prelazak na pristup sajber bezbednosti bez verifikacije i maksimiziranje efikasnosti višefaktorske autentifikacije (MFA).

Šta je MFA?


Čvrsta politika upravljanja pristupom mora uključiti MFA kao kritičnu komponentu. MFA je od suštinskog značaja za ograničavanje mogućnosti napadača da ukradu naše digitalne identitete i pristupe našim sistemima. MFA zahteva jedan ili više dodatnih elemenata za verifikaciju pored korisničkog imena i lozinke, što smanjuje mogućnost uspešnog sajber-napada.

Šta je MFA zamor?


Postoje ključni elementi koji mogu da utiču na bezbednost i upotrebljivost MFA implementacije, i bitno je zapamtiti da sva MFA rešenja ne nude jednaku zaštitu od napada na autentifikaciju. Zbog nedostataka u implementaciji MSP-a, videli smo brojne napade u prethodne dve godine kada su lopovi uspešno zaobišli MFA zaštitu.

U takvim napadima, takođe poznatim kao push bombardovanje ili zamor MFA, sajber kriminalci bombarduju mete mobilnim push upozorenjima tražeći od njih da prihvate pokušaje pristupa njihovim korporativnim nalozima koristeći ukradene akreditive. Žrtve često popuštaju pred zlonamernim zahtevima MFA koji se više puta šalju, bilo nenamerno ili u pokušaju da zaustave naizgled beskonačna upozorenja, omogućavajući tako napadačima da se prijave na njihove naloge.

Koja su najnovija dostignuća u kontroli pristupa?


Da bi ublažili MFA napade, tehnološki giganti Google i Microsoft nedavno su najavili dve inicijative koje vode ka sigurnijoj budućnosti, pa čak i bez lozinke. 

Google: korak ka budućnosti bez lozinke 

Tehnološki gigant je nedavno lansirao pristupne ključeve – vrstu digitalnih akreditiva, kao opciju za generisanje i korišćenje umesto lozinki, kao sigurniju, praktičniju alternativu.

Šta su pristupni ključevi?

Lozinka se kreira pomoću kriptografije sa javnim ključem, tj. pomoću asimetrične enkripcije, koja koristi skup privatnih i javnih ključeva. Privatni ključ, ključni deo lozinke, čuva se na uređaju, dok se javni ključ drži sa strane aplikacije ili veb lokacije. Sam sadržaj lozinke nije dostupan veb lokacijama. Google utvrđuje da li javni ključ veb lokacije odgovara lozinki koja se koristi za prijavu na nalog.

Za razliku od lozinke, ovaj pristup autentifikaciji drastično povećava otpornost naloga jer ključ ne može biti ukraden sa veb lokacije na kojoj je pohranjen, a ne može da bude ni lažiran ili presretnut tokom prenosa. Pored toga, nalog ne može biti napadnut zbog slabe lozinke ili ponovne upotrebe lozinke, jer lozinke i nema.

Slika 1: Google pristupni ključevi (izvor: Google)

Kako Google navodi u svom saopštenju: „Korišćenje lozinki stavlja veliku odgovornost na korisnike. Odabir jakih lozinki i njihovo pamćenje na različitim nalozima može biti teško. Osim toga, čak i najpametniji korisnici često dolaze u situaciju da ih otkriju tokom pokušaja fišinga. 2SV (2FA/MFA) pomaže , ali opet opterećuje korisnika dodatnim, nepoželjnim zahtevima,  dok i dalje ne pruža potpunu zaštitu od fišing napada i ciljanih napada poput ‘zamena SIM-a’ za SMS verifikaciju. Pristupni ključevi pomažu u rešavanju svih ovih problema.“

Pristupni ključevi koriste tri oblika informacija koje se često koriste u MFA: nešto što imate (kao što je pametni telefon), nešto što jeste (kao što je vaša biometrija) ili nešto što znate (kao što je PIN ili obrazac). Iako se pristupni ključevi kvalifikuju kao vrsta MFA, FIDO Alijansa tvrdi da nekoliko regulatornih organizacija to još uvek nije potvrdilo, mada aktivno nastoje da do toga dođe.

Bilo bi najbolje da ne kreirate pristupni ključ na deljenom računaru na vašem radnom mestu, jer bi pristupni ključevi trebalo da se postavljaju samo na uređajima koje kontrolišete pojedinačno. Google je naveo da će menadžeri Workspace naloga „uskoro“ omogućiti pristupne ključeve za prijavljivanje zaposlenih. Pošto svako ko koristi uređaj može da pristupi vašem Google nalogu, ne bi trebalo da ga otvarate ni na deljenim uređajima kao što je porodični računar. Kada se pristupni ključ generiše na tom uređaju, svako ko može da ga otključa može ponovo da se prijavi na vaš nalog pomoću lozinke, čak i ako ste se odjavili.

Microsoft pojačava MFA podudaranjem brojeva 

Microsoft je najavio da će početi da primenjuje podudaranje brojeva za MFA upozorenja Microsoft Authenticator-a kako bi blokirali pokušaje napada zamorom MFA.

„Počevši od 8. maja 2023.godine, podudaranje brojeva je omogućeno za sva push obaveštenja Authenticator-a. Kako se relevantni servisi implementiraju, korisnici širom sveta kojima su omogućena push obaveštenja Authenticator-a će početi da vide podudaranje brojeva u svojim zahtevima za odobrenje“, navodi se u saopštenju kompanije.

Šta je podudaranje brojeva?

Podešavanje koje od korisnika traži da u svoju aplikaciju za autentifikaciju unese brojeve prikazane na platformi na kojoj želi da se autentifikuje da bi zahtev bio odobren, objašnjava Američka agencija za sajber bezbednost i infrastrukturnu bezbednost (CISA).

Slika 2: Podudaranje brojeva (izvor: Microsoft)

Zahtev za podudaranjem brojeva smanjuje zamor MFA tako što mu je potreban pristup ekranu za prijavu da bi se odobrili zahtevi. Kada korisnici koriste Microsoft Authenticator da odgovore na MFA push poruku, videće broj. Da bi dovršili odobrenje, moraju da unesu taj broj u aplikaciju. Korisnici ne mogu da odobravaju zahteve bez unošenja brojeva na ekranu za prijavu.

„Podudaranje brojeva je ključna bezbednosna nadogradnja tradicionalnih dvofaktorskih obaveštenja u Microsoft Authenticator-u. Uklonićemo kontrole administratora i primeniti iskustvo podudaranja brojeva za sve korisnike push obaveštenja Microsoft Authenticator-a počevši od 8. maja 2023.“, kaže Microsoft.

Ako želite da saznate više o višefaktorskoj autentifikaciji i o tome kako vaša organizacija može uspešno i efikasno da primeni MFA, preuzmite naš najnoviji rad, „Odabir rešenja za višefaktorsku autentifikaciju: Kako rešiti probleme ljudi i tehnologije“.



Anastasios Arampacis je entuzijasta za sajber bezbednost i zaštitu podataka. Član je kolektiva Homo Digitalis i autor tekstova na sajtu Bora.

Čitaj još: