Passwordless, czyli po prostu logowanie bez hasła, to zbiór technologii i metod uwierzytelniania, które pozwalają użytkownikowi zrezygnować z używania tradycyjnego klucza dostępowego. Zamiast niego wykorzystuje się metody alternatywne, m.in.:

• Generatory kodów jednorazowych (np. Google Authenticator) – po początkowym zweryfikowaniu tożsamości użytkownika i połączeniu aplikacji z daną usługą, logowanie następuje za pomocą jednorazowych kodów generowanych w czasie rzeczywistym i ważnych przez kilkadziesiąt sekund.


• OTP – czyli jednorazowe hasła przesyłane na zweryfikowany adres e-mail lub na numer telefonu w wiadomości SMS. Tego typu rozwiązania stosowane są w wielu usługach (od wielu lat m.in. do potwierdzania operacji w bankowości elektronicznej). Z uwagi na niewielką skuteczność jako samodzielne metody logowania (możliwość fizycznej kradzieży urządzenia, włamania do poczty elektronicznej lub przechwycenia wiadomości) są zazwyczaj jednym z elementów uwierzytelniania dwuskładnikowego.


• Uwierzytelnianie za pomocą autoryzowanej aplikacji – metoda polega na wykorzystaniu aplikacji zainstalowanej na zaufanym urządzeniu do potwierdzenia swojej tożsamości. Sposób ten jest powszechnie wykorzystywany przez banki, gdzie do zalogowania się do bankowości w aplikacji webowej możemy wykorzystać odpowiednią funkcję aplikacji mobilnej.


• Fizyczne generatory klucza publicznego (np. FIDO2) – to urządzenia podłączane do komputera lub smartfonu na czas logowania, które generują jednorazowe klucze dostępowe, zgodne z wdrożonym standardem. Takie rozwiązanie praktycznie eliminuje ryzyko kradzieży hasła, bowiem pary kluczy nie są przechowywane na żadnych serwerach, a generowane w czasie rzeczywistym.


• Wykorzystanie czytników biometrii ( np. scanerów palca do odczytu linii papilarnych, czy czytników geometrii twarzy wykorzystującego kamerę i specjalne oprogramowanie do tworzenia wzorów matematycznych).

 

W kontekście uwierzytelniania biometria wykorzystuje występujące naturalnie pomiędzy ludźmi różnice w budowie ciała i bazuje na ich niepowtarzalności. O ile wiedza na temat indywidualności odcisków palców była powszechna już dziesiątki lat temu, tak wykorzystanie skanowania twarzy lub rozpoznawania głosu jest rozwiązaniem stosunkowo nowym. Okazuje się bowiem, że zestaw odległości pomiędzy poszczególnymi punktami na twarzy (nos, oczy, uszy) i inne parametry tworzą unikalny dla każdego człowieka wzór . Pojawienie się wysokiej jakości kamer w smartfonach pozwoliło wykorzystać ten fakt do usprawnienia korzystania z urządzeń mobilnych. Algorytmy uczenia maszynowego oraz AI mogą też analizować unikalne cechy głosu, takie jak częstotliwość, artykulacja, tempo mowy czy sposób wymawiania poszczególnych dźwięków i sylab.

Ponadto powszechnie używa się dziś czytników linii papilarnych do potwierdzania płatności czy uwierzytelniania w aplikacjach.

Zaawansowane biometryczne metody uwierzytelniania mogą być wykorzystywane w firmach i organizacjach do zabezpieczenia dostępu do krytycznych zasobów i pomieszczeń, takich jak magazyny, serwerownie czy laboratoria. Dzięki połączeniu kilku metod (np. skanowania linii papilarnych, tęczówki oka i analizy próbki głosowej) firma zyskuje wysoki poziom zabezpieczenia. Znika jednocześnie koszt związany z przywracaniem i zmianą zagubionych haseł czy okresową zmianą kluczy dostępowych. Biometria pozwala też na sprawne i proste rejestrowanie czasu pracy poprzez umieszczenie czujników przy wejściach i wyjściach z firmy.

Bezhasłowe metody logowania są uznawane za bezpieczniejsze od tradycyjnych form z uwagi na ograniczone ryzyko wystąpienia wycieków w wyniku phishingu lub innych metod socjotechnicznych. Jednorazowo generowane unikalne hasła lub biometria sprawiają też, że systemy i aplikacje nie są podatne na słownikowe metody ataków. Nie oznacza to jednak, że nie istnieją żadne skuteczne metody ataków i przechwytywania haseł.

Chcąc obejść zabezpieczenia biometryczne, oszuści mogą uciekać się do „metod tradycyjnych”, takich jak nakładki imitujące odciski palców czy drukowane w 3D maski imitujące twarz. Są to jednak sposoby trudne w realizacji, a więc wykorzystywane przez najbardziej zdeterminowanych przestępców.

Wdrożenie AI może mieć kluczowy wpływ na tworzenie bardziej skomplikowanych, przez co także bezpieczniejszych, algorytmów rozpoznawania wzorów biometrycznych. AI może uwzględniać naturalne zmiany organizmów (starzenie się, pojawianie zmarszczek) i tym samym lepiej „rozpoznawać” użytkowników pomimo upływu lat.

Algorytmy AI mogą analizować subtelne różnice, takie jak zmiany w głosie lub nienaturalna mimika twarzy do udaremnienia próby uzyskania dostępu przez przestępców. Sztuczna inteligencja daje również możliwość monitorowania zachowań użytkowników i porównywania ich ze stworzonymi wzorcami – dzięki temu wykryje, że z aplikacji lub systemów korzysta w rzeczywistości osoba nieuprawniona.

AI może jednak służyć także do przeprowadzania ataków. Już teraz generatory obrazów i nagrań tworzą syntetyczne materiały trudne do odróżnienia od oryginałów, a technologia Deep Fake pozwala stworzyć dowolną scenę z udziałem wizerunku dowolnej osoby. Wykorzystanie tych metod do generowania konkretnych wizerunków będzie z pewnością wyzwaniem dla biometrycznych metod uwierzytelniania.

Wykorzystywanie trudnych i unikalnych haseł oraz dbanie o ich poufność jest jedną z podstawowych zasad cyberbezpieczeństwa. Wykorzystanie metod logowania passwordless wydaje się rozwiązywać wiele problemów z zarządzaniem uwierzytelnianiem, z którymi mierzą się dzisiejsze organizacje. Szczególnie efektywnym rozwiązaniem okazują się metody uwierzytelniania oparte na biometrii, które nie wymagają zapamiętywania ani zmiany haseł, a także wykorzystywania dodatkowych aplikacji czy posiadania fizycznych kluczy/urządzeń. Biometria to jednak wciąż nowe rozwiązanie. Specjaliści ds. cyberbezpieczeństwa rekomendują więc pomocnicze wykorzystanie wchodzących w jej skład technologii, jako jednego z elementów uwierzytelniania dwuskładnikowego/wieloskładnikowego – nigdy jako samodzielnej metody.

Nie można zapomnieć jednak, że nie istnieje skuteczna w stu procentach metoda uwierzytelniania, a dla zapewnienia najwyższego poziomu bezpieczeństwa najlepiej jest stosować uwierzytelnianie wieloskładnikowe. Kluczowa jest także bezpieczna i niedostępna dla osób postronnych infrastruktura. Jeśli zależy Ci na najwyższym poziomie bezpieczeństwa, zapoznaj się z rozwiązaniami bezpieczeństwa Netii, które świadczymy samodzielnie – przy pomocy własnych rozwiązań, sieci, chmury, obiektów data center. W ten sposób minimalizujemy ryzyko wynikające ze współpracy z zewnętrznymi podmiotami. Jesteśmy ekspertami w branży – zaufały nam już setki firm i organizacji różnych wielkości i branż!