Securitate — August 23, 2024 at 11:17 am

O chestiune legată de cheile de acces

by

Cheile de acces devin din ce în ce mai comune datorită serviciilor pentru consumatori precum Google, Apple, Facebook, Meta și altele. Utilizarea cheilor de acces crește semnificativ securitatea în comparație cu autentificarea tradițională bazată pe parole. Este normal ca unele soluții pentru consumatori să se răspândească în utilizarea profesională – gândiți-vă că puteți trimite reacții emoji la e-mailuri.

fido_passkeys

 

 

 

 

 

 

 

 

 

Dar doar pentru că Instagram îmi permite să mă conectez folosind o cheie de acces, înseamnă asta că companiile ar trebui? Pe scurt: sunt cheile de acces FIDO gata pentru utilizare în întreprindere?

Ce sunt cheile de acces?

Alianța FIDO a fost fondată în 2013 de diverse companii pentru a dezvolta un standard de autentificare care să servească drept al doilea factor; astăzi, FIDO poate servi ca o metodă puternică de autentificare fără parolă. Din 2013, FIDO a devenit una dintre cele mai populare metode de conectare fără parolă, în mare parte, deoarece oferă acronimul care alcătuiește numele său: oferă o identitate rapidă online.

Alianța FIDO pune un accent puternic pe mediul consumatorilor. Nu e de mirare, deoarece cei mai mari membri ai săi sunt activi în acest domeniu: Apple, Google, PayPal și Microsoft. (RSA este membru al Alianței FIDO și coprezidează Grupul de lucru pentru implementarea întreprinderii)

Acreditările FIDO folosesc perechi de chei asimetrice pentru a se autentifica într-un serviciu. Când o autentificare FIDO este înregistrată la un serviciu, o nouă pereche de chei este generată pe autentificatorul FIDO, iar serviciul are încredere în acea pereche de chei și numai în acea pereche de chei.

Perechea de chei este conectată la numele de domeniu exact al serviciului. Acea împerechere strictă între un serviciu și o acreditări FIDO este ceea ce creează un grad ridicat de rezistență la phishing: dacă un utilizator ar încerca să se conecteze la un site de phishing fals cu cheia de acces creată pentru site-ul real, ar eșua deoarece domeniul numit nu s-ar potrivi cu perechea de chei.

În 2022, Apple, Google și Microsoft au lansat suport pentru un nou tip de acreditări FIDO, pe care l-au numit cheie de acces. În 2023, Alianța FIDO a adoptat termenul „cheie de acces” pentru orice tip de acreditări FIDO, ceea ce duce la o potențială confuzie cu privire la exact ceea ce înseamnă o organizație atunci când menționează „chei de acces”.

Această posibilă ambiguitate a fost abordată de alianța FIDO (vezi mai jos), dar ar putea exista în continuare în organizare. Este important să abordăm această ambiguitate, deoarece nu toate cheile de acces sunt create egale sau adecvate pentru utilizarea întreprinderii.

Există acum două tipuri de chei de acces, așa cum sunt definite de alianța FIDO: legate de dispozitiv și sincronizate. Cheile de acces legate de dispozitiv sunt, în general, găzduite pe anumite dispozitive „cheie de securitate”.

Pe o cheie de acces legată de dispozitiv, perechile de chei sunt generate și stocate pe un singur dispozitiv; în plus, materialul cheie în sine nu părăsește niciodată acel dispozitiv. Cu cheile de acces sincronizate, materialul cheii este salvat printr-un așa-numit material de sincronizare la distanță, iar materialul cheii poate fi apoi restaurat pe orice alte dispozitive deținute de același utilizator. Principalele materiale de sincronizare actuale sunt Microsoft, Google și Apple. Aceasta înseamnă că, dacă ar fi să vă înregistrați telefonul Android ca o cheie de acces, atunci materialul de cheie corespunzător ar fi disponibil pe toate celelalte dispozitive Android la scurt timp după.

Cheile de acces sincronizate sunt – pe lângă suportul serviciilor utilizate pe scară largă precum WhatsApp sau Facebook – un motiv principal pentru creșterea bruscă a utilizării generale a cheilor de acces. Este ușor de înțeles de ce: un utilizator cu o mulțime de conturi și o mulțime de dispozitive poate folosi aceeași cheie de acces sincronizată între toate.

Beneficiile cheilor de acces

Cheile de acces sunt o metodă excelentă MFA: sigură, rapidă, convenabilă, iar utilizatorii sunt deja familiarizați cu ele. Dar avantajul cheii de acces care începe să atragă multă atenție este că sunt rezistente la phishing.

Cheile de acces pot ajuta organizațiile să oprească phishingul tradițional: dacă nu este folosită nicio parolă, atunci nu există nicio parolă de furat. Și deși acest lucru este valabil pentru alte metode MFA fără parolă, cheile de acces au un nivel suplimentar de securitate oferit de acea potrivire cheie/domeniu de serviciu sincronizat. În SUA, rezistența la phishing este un factor major pentru agențiile guvernamentale. Ordinul executiv 14028 necesită autentificare fără parolă, rezistentă la phishing, pentru a securiza infrastructura critică.

În timp ce cheile de acces oferă avantaje semnificative, ele vin cu câteva provocări și probleme semnificative. Pentru o soluție care a crescut în mediul consumatorilor, îndrumarea utilizatorului și experiența utilizatorului pot fi uneori o provocare. Dialogurile care solicită utilizatorului să introducă cheia de acces în portul USB sau să introducă codul PIN, de exemplu, arată diferit în funcție de sistemul de operare și browser. Aceste solicitări probabil vor face mai dificilă instruirea utilizatorilor și vor minimiza apelurile de asistență. De ce nu schimbați pur și simplu solicitările pe care le cereți? Deoarece furnizorii de servicii terți, cum ar fi RSA, nu pot: acele solicitări sunt setate de browser sau furnizorul sistemului de operare în propriul furnizor (de exemplu, Apple își setează solicitarea pentru iOS, Google pentru Chrome etc.). Există un motiv întemeiat pentru aceasta: dacă vânzătorii ar putea schimba solicitarea, atunci ar putea și atacatorii, folosind un formular actualizat pentru a spiona utilizatorii.

Păstrarea acelor solicitări de conectare blocate este o măsură de securitate importantă, dar poate fi o abordare universală. Nivelul ridicat de rezistență la phishing este un avantaj clar, dar poate fi și o distragere a atenției. Oricine crede că utilizarea cheilor de acces îi face brusc imuni la atacurile de inginerie socială se înșală foarte mult. Cheile de acces ajută împotriva unui tip de atac de inginerie socială: phishing. Din păcate, există și alte variante. Atacurile asupra MGM Resorts sau Caesars Palace din Las Vegas au avut o componentă de inginerie socială: exploatarea biroului de asistență pentru a permite atacatorului să înregistreze el însuși un autentificator MFA. Atacatorii se adaptează normal.

Proliferarea MFA a făcut ca phishingul să fie mult mai puțin atractiv, așa că este firesc ca vulnerabilitățile din jurul sistemului MFA să fie exploatate. Cum ar fi modul în care utilizatorii se înregistrează. Oricine crede că cheile de acces rezolvă aceste probleme este foarte greșit. Sync Fabrics și vulnerabilități de securitate cibernetică Se spune că atunci când ai un ciocan, totul poate arăta ca un cui. Transformarea unei soluții – chiar și a unei soluții grozave – care a fost inițial destinată utilizării consumatorilor într-o aplicație de întreprindere poate introduce riscuri semnificative. În timp ce citiți acest articol, este posibil să fi avut o senzație de greață la mențiunea „material de sincronizare”. Instinctul tău avea dreptate. Faptul că cheile de acces apar ca prin magie pe toate dispozitivele pe care utilizatorul este conectat prin Apple sau Google este un semnal roșu major în mediul corporativ și ar trebui să ridice câteva întrebări semnificative:

Ar trebui să li se permită utilizatorilor să folosească mai multe dispozitive (posibil și folosite în mod privat) pentru autentificare? Dacă da… Câte? Cheile de acces sincronizate fac posibilă restaurarea unei chei de acces „pierdute” cu procesele de recuperare a contului de ex. Google sau Apple. Este grozav… dar sunt aceste procese suficient de sigure pentru tine? Caracteristica Apple care permite utilizatorilor să partajeze cheia de acces cu prietenii sau familia este destul de drăguță… dar se aplică acest lucru și cheilor de acces care sunt folosite pentru a se conecta la aplicațiile de întreprindere? Când utilizați chei de acces sincronizate, securitatea companiei dvs. depinde brusc în mare măsură de securitatea tehnică și organizațională a Apple și Google. Sigur, există oricum o anumită dependență din cauza utilizării iOS și Android, dar cheile de acces sincronizate cresc această dependență considerabil. Nici aceasta nu este o vulnerabilitate teoretică. Anul trecut, Retool a discutat despre modul în care actorii amenințărilor l-au folosit pentru a obține acces la sistemele sale: Retool a scris că funcționalitatea înseamnă că „dacă contul tău Google este compromis, acum sunt codurile tale MFA”.

Sunt cheile de acces gata pentru utilizare în întreprindere sau nu? Dacă cheile de acces ar trebui utilizate în companie nu se poate răspunde într-un mod general. Fiecare organizație este diferită și trebuie să echilibreze prioritățile sale unice de securitate și operaționale. Mai mult, dacă să folosiți cheile de acces nu ar trebui să fie o întrebare da/nu. Introducerea cheilor de acces sau a autentificarii fără parolă în general ar trebui să fie utilizată pentru a revizui în mod fundamental întregul proces MFA al unei organizații. Ceea ce a fost bun pentru jetoanele OTP hardware timp de 15 ani probabil nu mai este în întregime adevărat pentru cheile de acces sau alte metode MFA astăzi. RSA consideră că cheile de acces pot fi implementate pentru uzul întreprinderilor dacă se aliniază cu strategia organizațională și dacă organizațiile analizează răspunsurile la următoarele întrebări. Am văzut organizații folosind cheile de acces cu succes folosind RSA® ID Plus, platforma cuprinzătoare de gestionare a identității și accesului (IAM) care oferă o gamă de opțiuni fără parolă.

Doar cheile de acces legate de dispozitiv sunt disponibile în mod implicit în mediile RSA pentru a oferi un nivel maxim de securitate imediat și fără nicio muncă suplimentară necesară de către administratori. Atunci când evaluează dacă să introducă cheile de acces, organizațiile ar trebui să întrebe: Cum sunt înregistrați autentificatorii noștri? Există procese care gestionează în siguranță scenariul „Mi-am pierdut autentificatorul”? Cum rămâne cu clasificarea utilizatorilor, aplicațiilor și datelor? Cheile de acces sunt o metodă MFA printre multe. Da, rezistența lor la phishing este fantastică, dar pot utilizatorii să se conecteze cu ea pe desktopurile lor de la distanță? Din aceste motive și multe altele, este important ca sistemul dvs. MFA să nu fie doar la zi din punct de vedere tehnic, ci să accepte și o mare varietate de metode MFA, cum ar fi coduri QR, biometrie, OTP, mesaje push și chei de acces FIDO. De asemenea, este important ca procesele din jurul AMF să fie adaptate la noile amenințări.

Acest lucru depășește cu mult sistemul actual MFA: biroul dvs. de asistență este, de asemenea, ferit de atacurile de inginerie socială?

Soluțiile de securitate IT, risc si conformitate  RSA, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.