Wieloskładnikowe uwierzytelnienie powinno być standardem w każdej organizacji

Wieloskładnikowe uwierzytelnienie powinno być standardem w każdej organizacji
Michael Wendrowski | Źródło: BANK.pl
O rosnącym zapotrzebowaniu firm na uwierzytelnianie wewnątrz organizacji rozmawialiśmy podczas Forum Technologii Bankowości Spółdzielczej z Michaelem Wendrowskim, prezesem zarządu Rublon.

„W dzisiejszych czasach uwierzytelnianie wewnątrz organizacji, bazujące na podaniu nazwy użytkownika i hasła, nie jest już wystarczające” – mówił Michael Wendrowski.

Głównym powodem są wycieki haseł. Jak tłumaczył, przestępca posiadając hasło może szukać dostępu do poziomu uprawnień administratora systemu.

Dlatego należy stosować tzw. silne uwierzytelnianie, które poza hasłem wymaga dodatkowego składnika, np. zewnętrznego klucza sprzętowego, najlepiej niepodatnego na ataki phishingowe, bazującego na standardzie FIDO2.

Ataki socjotechniczne też do obrony

Bariery sprzętowe utrudniają dostęp do systemu także tym hakerom, którzy posługują się AI. Jeśli jednak przestępca skutecznie użyje socjotechniki i przekona użytkownika, żeby klucz wpiął do systemu w określonym momencie, to taki atak może się udać.

Michael Wendrowski dodał jednak, że przy określonym podejściu – i tego zagrożenia można uniknąć.

Przestępcy mogą też próbować dostać się do sesji utworzonej przez użytkownika, która powstanie po poprawnym uwierzytelnieniu się. W takim przypadku muszą być określone mechanizmy zastosowane w systemach, które zabezpieczają uwierzytelnianie, i które będą chronić przed wykradnięciem takiej sesji.

Czytaj także: Zagrożenia nie znikną, dlatego musimy robić swoje

Biometria w bezhasłowym uwierzytelnianiu

Michael Wendrowski wskazywał, że biometria odgrywa coraz większą rolę, zwłaszcza w  bezhasłowym uwierzytelnianiu.

„Zamiast hasła stosuję coś, co posiadam – na przykład klucz sprzętowy, który dodatkowo jeszcze właśnie odczytuje odcisk palca albo smartfona, który skanuje twarz” – mówił.

Jak podkreślił, wieloskładnikowe uwierzytelnianie rośnie szczególnie w firmach, które podlegają regulacji DORA. Stwierdził, że artykuł 9 tej regulacji wymusza stosowanie silnego uwierzytelniania.

Dodał także, że obecna dyrektywa NIS2 powoduje, że wiele kolejnych branż musi tego typu rozwiązania stosować.

Jak zauważył Michael Wendrowski – wyraźnie rośnie zainteresowanie uwierzytelnianiem wieloskładnikowym w sektorze samorządowym, w spółkach należących do JST, także w placówkach służby zdrowia.

Mówiąc o bankach spółdzielczych stwierdził, że powinny one mieć już wdrożone tego typu uwierzytelnianie w bankowości internetowej.

Natomiast jeszcze nie wszystkie banki spółdzielcze stosują uwierzytelnianie wieloskładnikowe wewnątrz banku, dla jego pracowników.

„Z mojego punktu widzenia powinno to być standardem w każdej organizacji” – stwierdził Michael Wendrowski.

Źródło: BANK.pl