W sierpniu br Cloudflare, firma zajmująca się infrastrukturą internetową, była jednym z setek celów masowego phishingu kryminalnego, któremu udało się włamać do wielu firm technologicznych. Podczas gdy niektórzy pracownicy Cloudflare zostali oszukani przez wiadomości phishingowe, napastnicy nie mogli zagłębić się w systemy firmy. To dlatego, że w ramach kontroli bezpieczeństwa Cloudflare każdy pracownik musi używać fizycznego klucza bezpieczeństwa, aby potwierdzić swoją tożsamość podczas logowania do wszystkich aplikacji. Kilka tygodni później firma ogłosiła współpracę z producentem tokenów uwierzytelniających sprzęt Yubikey, aby zaoferować klientom Cloudflare klucze ze zniżką.
Cloudflare nie była jednak jedyną firmą, która zapewnia wysoką ochronę tokenów sprzętowych. Na początku tego miesiąca Apple ogłosił wsparcie kluczy sprzętowych dla identyfikatorów Apple ID, siedem lat po pierwszym wprowadzeniu uwierzytelniania dwuskładnikowego na kontach użytkowników. A w zeszłym tygodniu przeglądarka Vivaldi ogłosiła wsparcie klucza sprzętowego dla Androida.
Ochrona nie jest nowa, a wiele głównych platform i firm od lat wspiera wdrażanie kluczy sprzętowych i wymaga, aby pracownicy używali ich tak, jak zrobił to Cloudflare. Ale ten ostatni wzrost zainteresowania i implementacji jest odpowiedzią na szereg nasilających się zagrożeń cyfrowych.
„Fizyczne klucze uwierzytelniające to obecnie jedne z najskuteczniejszych metod ochrony przed przejęciem konta i phishingiem” — mówi Crane Hassold, dyrektor ds. analizy zagrożeń w firmie Abnormal Security i były analityk zachowań cyfrowych w FBI. „Jeśli myślisz o tym jako o hierarchii, fizyczne tokeny są skuteczniejsze niż aplikacje uwierzytelniające, które są lepsze niż weryfikacja SMS, która jest bardziej skuteczna niż weryfikacja e-mail”.
Uwierzytelnianie sprzętowe jest bardzo bezpieczne, ponieważ musisz fizycznie posiadać klucz i go wyprodukować. Oznacza to, że phisher online nie może po prostu oszukać kogoś, aby przekazał swoje hasło, a nawet hasło plus kod drugiego składnika, aby włamać się na konto cyfrowe. Wiesz to już intuicyjnie, bo to jest całe założenie kluczy do drzwi. Ktoś może potrzebować Twojego klucza, aby otworzyć drzwi frontowe — a jeśli go zgubisz, zwykle nie jest to koniec świata, ponieważ ktoś, kto go znajdzie, nie będzie wiedział, które drzwi otwiera. W przypadku kont cyfrowych istnieją różne typy kluczy sprzętowych, które są oparte na standardach stowarzyszenia branży technologicznej znanego jako FIDO Alliance, w tym karty inteligentne z małym układem scalonym, karty dotykowe lub breloki wykorzystujące komunikację bliskiego zasięgu, lub rzeczy takie jak Yubikeys, które podłącza się do portu w twoim urządzeniu.
Prawdopodobnie masz dziesiątki, a nawet setki kont cyfrowych i nawet gdyby wszystkie obsługiwały tokeny sprzętowe, trudno byłoby zarządzać fizycznymi kluczami dla nich wszystkich. Ale w przypadku Twoich najcenniejszych kont i tych, które stanowią rezerwę dla innych loginów — a mianowicie poczty e-mail — bezpieczeństwo i odporność na phishing kluczy sprzętowych może oznaczać znaczny spokój ducha.
W międzyczasie, po latach pracy, w 2022 roku branża technologiczna w końcu podjęła poważne kroki w kierunku długo obiecanej przyszłości bez haseł. Ten ruch opiera się na technologii zwanej „kluczami dostępu”, która jest również zbudowana na standardach FIDO. Systemy operacyjne firm Apple, Google i Microsoft obsługują teraz tę technologię, a wiele innych platform, przeglądarek i usług przyjęło ją lub jest w trakcie jej wdrażania. Celem jest ułatwienie użytkownikom zarządzania uwierzytelnianiem ich kont cyfrowych, aby nie korzystali z niepewnych obejść, takich jak słabe hasła. Chociaż możesz sobie tego życzyć, hasła nie znikną w najbliższym czasie dzięki ich wszechobecności. A wśród całego szumu wokół kluczy dostępu tokeny sprzętowe są nadal ważną opcją ochrony.
„FIDO umieszcza klucze dostępu gdzieś pomiędzy hasłami a sprzętowymi uwierzytelniaczami FIDO i myślę, że to uczciwa charakterystyka” — mówi Jim Fenton, niezależny konsultant ds. prywatności i bezpieczeństwa tożsamości. „Podczas gdy klucze będą prawdopodobnie właściwą odpowiedzią dla wielu aplikacji konsumenckich, myślę, że sprzętowe uwierzytelniacze będą nadal odgrywać rolę w aplikacjach o wyższym poziomie bezpieczeństwa, na przykład dla pracowników instytucji finansowych. A konsumenci bardziej skoncentrowani na bezpieczeństwie powinni mieć również możliwość korzystania z uwierzytelniaczy sprzętowych, zwłaszcza jeśli ich dane zostały wcześniej naruszone, jeśli mają wysoki majątek netto lub jeśli po prostu martwią się o bezpieczeństwo”.
Chociaż na początku dodanie jeszcze jednej najlepszej praktyki do listy rzeczy do zrobienia w zakresie bezpieczeństwa cyfrowego może wydawać się zniechęcające, tokeny sprzętowe są w rzeczywistości łatwe do skonfigurowania. I zyskasz mnóstwo przebiegów, używając ich tylko przez kilka, ahem, klucz konta.
