MIRŐL LESZ SZÓ A BLOGBAN?
- TÖBBLÉPCSŐS HITELESÍTÉS
- DUO FIDO2 HITELESÍTÉS
- DUO MOBILE HITELESÍTÉS
Többlépcsős hitelesítés, Cisco DUO MFA, FIDO2
Az informatikai szektorban, bár rohamos fejlődések mennek végbe egyes területeken, még mindig számtalan mennyiségű felhasználó van, akik megbíznak a böngészőalapú jelszókezelőben, legrosszabb esetben pedig gyenge vagy minden platformon megegyező jelszót állítanak be. Ezek közé a felhasználók közé a vállalatok ugyanúgy besorolhatók. Ez pedig azt eredményezi, hogy a kiberbűnözők, hackerek sokkal könnyebben hozzáférnek az adataikhoz.
A szervezet hálózatát védő biztonsági megoldások, például vírusirtó rendszerek és fejlett tűzfalak, valamint a folyamatos frissítések és sebezhetőségi tesztek a biztonsági stratégia szükséges elemei. Az több lépcsős hitelesítés, azaz MFA végrehajtása viszont elengedhetetlen egy cég biztonsági helyzetének megerősítéséhez.
Az MFA képes bizonyítottan megvédeni a vállalati adatokat, az adathalászattal próbálkozó kiberbűnözők sokkal nehezebben férhetnek hozzá a bizalmas információkhoz.
Ennek ellenére a statisztikák szerint az egyesült államokbeli cégek csupán 26%-a használja a többtényezős hitelesítést. Holott a biztonsági incidensek 81%-a az ellopott, gyenge jelszavakra vezethetők vissza. Pedig az MFA már mindennapjaink szerves részét képezi. Gondoljunk csak bele, hol vannak jelen az életünk különböző területein; fogyasztóközpontú online szolgáltatások, például a banki szolgáltatások, de a Google is kínál ilyen lehetőséget a fiókok eléréséhez.
HITELESÍTÉSI TÉNYEZŐK MFA MEGOLDÁSOKHOZ
Többlépcsős hitelesítést 3 tényezővel lehet kikényszeríteni.
1.
TUDÁS
A leggyakoribb tudástényező a jelszó. További tudástényező lehet a PIN-kód, illetve a biztonsági kérdések (pl.: Mi volt a középisoklád neve?). Ezek egyre kevésbé biztonságosak, mivel a felhasználók könnyen adathalász támadások áldozataivá válhatnak.
2.
BIRTOKLÁS
Birtoklási tényezők közé sorolhatók a hard tokenek, a soft tokenek, és az intelligens kártyák. A felhasználó személyazonosságának ellenőrzése érdekében előfordulhat, hogy egy okostelefonra küldött egyszeri jelszót kap, egy fizikai token által generált egyedi kódot, vagy egy intelligens kártyát kell behelyezni az eszközbe. Értelemszerűen a bejelentkezéshez használt, egyedi azonosítóval rendelkező bejelentkezési eszközök is alkalmasak a több tényező egyikének.
3.
ÖRÖKLŐDÉS
Más néven biometrikus adatok, mindannyiunk egyedi fizikai tulajdonságai. Ehhez a hitelesítési tényezőhöz sorolható az ujjlenyomat-leolvasás, hang- vagy arcfelismerés, retinaszkennelés és egyéb módszerek. Például a szívverés segítségével is történhet speciális hitelesítés, akárcsak az emberi vénák szkennelésével.
ÉS EGY MEGDÖBBENTŐ ADAT A JELSZAVAKRÓL
Egy átlagos irodai alkalmazottnak 27 jelszót kellene megjegyezni.
Ha úgy számoljuk, hogy egy erős jelszó minimum 10 karakterből áll, amit a leginkább véletlenszerű sorrendeben érdemes használni, akkor 27 különböző jelszóhoz már igen jó memória kell. Vagy egy jelszókezelő alkalmazás, ami újabb biztonsági kérdéseket vet fel. De kérdés az is, hogy valóban szükség van-e 27 jelszóra.
Véleményünk szerint nem feltétlenül szükséges, mert nem 27 egyedi, erős jelszóra van szükség a biztonsághoz, hanem 27 biztonságos belépésre. Már az önmagában egy biztonsági kockázat, hogy valaki 27 jelszót megjegyezzen, eltároljon, és a belépésekhez – akárhonnan is próbálkozik – képes legyen minden esetben megadni azokat. Napjainkban pedig már számos megoldás létezik, hogy ne kelljen jelszavakat használni a belépésekhez.
CISCO DUO - A BIZALOM ZÁLOGA
A jelszó nélküli hitelesítés mára valósággá vált. Mint minden új technológia esetében, a teljesen jelszó nélküli állapot elérése sok szervezet számára egy hosszú utazás lesz. A Cisco Duo haladó megoldása a biztonságos belépésekhez viszont jó társ lehet. Segít eligazodni, mutatja a helyes irányt. A Cisco Duo azon cégek számára tud segítő kezet nyújtani, amelyek adathalászat-ellenálló hitelesítést szeretnének megvalósítani, illetve Zero Trust biztonsági stratégiát alkalmaznának.
MILYEN JELSZÓ NÉLKÜLI MEGOLDÁSOKAT KÍNÁL A DUO
A Duo jelszó nélküli architektúrája lehetővé teszi, hogy olyan rugalmas választékot kínáljon, ami megfelel a vállalkozások, szervezetek egyedi igényeinek:
1.
FIDO2-kompatibilis, adathalászat-ellenálló hitelesítés
- Platform hitelesítők – TouchID, FaceID, Windows Hello, Android biometrikus adatok
- Roaming hitelesítők – biztonsági kulcsok (pl. Yubico, Feitian)
2.
Erős hitelesítés Duo Mobile hitelesítő alkalmazással
- Regisztrált eszköz ellenőrzése
- Duo Push a jelszómentes hitelesítéshez
- Megbízható böngésző beállítás
A FIDO2 hitelesítés
A FIDO2 hitelesítés adathalászat-ellenálló hitelesítésnek minősül, mivel:
- Eltávolítja a jelszavakat vagy a megosztott titkokat a bejelentkezési munkafolyamatból. A támadók nem „hallgathatják le” a jelszavakat, és nem használhatják fel a sötét weben elérhető ellopott hitelesítő adatokat.
- Erős kapcsolatot hoz létre a böngésző munkamenete és a használt eszköz között. A bejelentkezést csak az alkalmazáshoz hitelesített eszközről engedélyez.
- Biztosítja, hogy a hitelesítő adatok (nyilvános/privát kulcs) cseréje csak az eszköz és a regisztrált szolgáltató között történhessen. Ez megakadályozza a bejelentkezést hamis vagy adathalász webhelyekre.
A Duo és a FIDO2 hitelesítő használata lehetővé teszi a szervezetek számára, hogy kikényszerítsék az adathalászat-ellenálló MFA-t a környezetükben. Mindazonáltal tisztában vagyunk azzal, hogy a FIDO2 támogatásához szükséges informatikai infrastruktúra előkészítése költséges lehet, és általában hosszú távú projekt a szervezetek számára. Ezenkívül a harmadik féltől származó biztonsági kulcsok telepítése és kezelése olyan informatikai többletköltséget jelent, amelyet egyes szervezetek nem tudnak azonnal vállalni.
Alternatív megoldásként a Duo Push használata a jelszó nélküli hitelesítéshez egyszerű és költséghatékony megoldást kínál számos szervezet számára a jelszó nélküli utazás megkezdéséhez, anélkül, hogy a biztonságot veszélyeztetné.
Erős hitelesítés Duo Mobile hitelesítő alkalmazással
A jelszó nélküli hitelesítéshez a Duo Mobile eredendően maga a többtényezős hitelesítés. A Duo Push értesítés érkezése esetén a kérés jóváhagyásához a mobileszköz képernyőzárának feloldása szükséges. Ebben a folyamatban a felhasználó bizonyítani tudja identitását biometrikus azonosítással és a regisztrált eszköz használatával.
Ezenkívül további biztonságot építettek be a bejelentkezési munkafolyamatba a böngésző munkamenet és az alkalmazás eléréséhez használt eszköz összekapcsolása érdekében. Ez mérsékli az adathalász támadásokat, amelyek olyan taktikákat alkalmaznak, mint például az MFA azonnali bombázása. A Duo ezt a következő módokon éri el:
Ismert eszköz ellenőrzése:
A jelszó nélküli hitelesítési házirend engedélyezése után a felhasználó először sikeres többtényezős hitelesítést hajt végre egy hozzáférési eszközről, egyszeri bejelentkezési folyamatként. Ez felhatalmazza az adott hozzáférési eszközt, hogy push értesítést küldjön a későbbi bejelentkezésekhez, biztosítva, hogy csak az ismert eszközök küldhessenek jelszó nélküli értesítést.
Duo Push for Passwordless:
A következő bejelentkezéskor a felhasználó automatikusan egy jelszó nélküli bejelentkezési munkafolyamatba kerül, és megjelenik egy Duo Verified Push üzenet, amely szintén biometrikus hitelesítést igényel a mobileszközön. Ez megerősíti az eszköz összerendelését a felhasználói hitelesítéssel.
Megbízható böngésző:
Amikor a hitelesítés befejeződött, a felhasználónak megjelenik a „Bízol ebben a böngészőben?” választási lehetőség. Ha a felhasználó úgy dönt, hogy nem bízik meg a böngészőben, a későbbi hitelesítéseknél továbbra is Duo Verified Push üzenetet kap. Ha a felhasználó úgy dönt, hogy megbízik a böngészőben, erősebb összerendelés jön létre a hozzáférési eszközzel, a felhasználó ezután egy szokásos Duo Push üzenetet kap a képernyő feloldásával együtt. Ez csökkenti a felhasználók súrlódásait, mivel kellőképpen megalapoztuk a bizalmat a bejelentkezési folyamatban.
Duo Push
- Jóváhagyás alapú
- Alacsony felhasználói súrlódás
- Gyenge eszközkötés
- Érzékeny az MFA azonnali bombázásra vagy az MFA kifárasztásos támadásaira
Duo Verified Push
- Számegyeztetésalapú
- Növeli a felhasználói súrlódást
- Biztonságosabb, eszköz összerendelést hoz létre
- Csökkenti az MFA azonnali bombázást vagy az MFA kifárasztásos támadásokat
Duo Push for Passwordless
- Alapvetően azonos a Duo Verified Push-sal, de biometrikus hitelesítéssel.
- Biometrikus hitelesítésű Duo Push-ra változik, ha a felhasználók megbíznak a böngészőben
- Biztonságosabb, eszköz összerendelést hoz létre
- Csökkenti az MFA azonnali bombázást vagy az MFA kifárasztásos támadásokat
ÖSSZEFOGLALÁS
Az informatikai vezetőknek manapság már sok mindent meg kell fontolniuk a technológiai stratégia megvalósítása során. A Cisco Duo viszont segíthet minimalizálni a mindennapi munkára gyakorolt hatásokat, az egyszerű biztonsági lépések által. Egy olyan informatikai környezetet biztosít, ami a Zero Trust modellen alapszik, de mégsem okoz frusztrációt a felhasználókban. A sokszor kihívást jelentő jelszókezelési folyamatokat leegyszerűsíti, és kész integrációt kínál az egyre népszerűbb jelszó nélküli bejelentkezési megoldásokkal.
Sok vállalat már megkezdte jelszó nélküli útját. Ha Te is szeretnéd elindítani vállalatodat ezen az úton, akkor kérj szakmai konzultációt szakértőinktől!
