Înțelegerea metodelor MFA: Chei de securitate, token-uri și nu numai

Având în vedere că acreditările furate sau compromise reprezintă 80% din încălcările de date în 2024, oprirea atacurilor bazate pe acreditări este esențială pentru protejarea accesului la datele, aplicațiile și alte resurse ale unei organizații. Cheia pentru respingerea acestor tipuri de atacuri este autentificarea multi-factor (MFA), care necesită mai mulți factori de verificare pentru a obține acces la resurse securizate.

După cum sugerează și numele, metodele de autentificare MFA necesită autentificarea folosind doi sau mai mulți factori din categorii diferite: ceva ce cunoașteți (cum ar fi o parolă, un cod PIN sau un răspuns la o întrebare de securitate), ceva ce aveți (cum ar fi un autentificator fizic sau virtual) și/sau ceva ce sunteți (o caracteristică biometrică unică pentru dvs.). Autentificarea cu doi factori (2FA) este un subset al MFA care necesită exact doi factori din categorii diferite. Dacă se adaugă factori suplimentari dincolo de doi, rămâne MFA.

Deși 2FA este mai sigur decât un singur factor de autentificare, metodele MFA fac mediul de autentificare și mai sigur – în special când vine vorba de oprirea campaniilor de phishing din ce în ce mai sofisticate și a altor tipuri de atacuri.

Cele trei tipuri de factori MFA

Parole, PIN-uri, întrebări de securitate: acești factori bazați pe cunoștințe există de când resursele securizate au nevoie de protecție. Deși implică informații pe care doar un utilizator legitim ar trebui să le cunoască, se întâmplă adesea ca un actor rău intenționat să fi găsit și o cale către acele informații – fie prin phishing, atacuri brute-force, scurgeri de date sau pur și simplu profitând de igiena precară a parolelor (cum ar fi un utilizator care folosește aceleași credențiale iar și iar pentru orice).

Este greu să învinovățești utilizatorii pentru că notează sau reutilizează credențialele pentru ca atacatorii să le exploateze. Cu atâtea parole legate de resursele de afaceri pe care trebuie să le urmărească – acum o medie de 87, conform unui studiu – este aproape imposibil fără un fel de ajutor. Și asta face ca oamenii să fie veriga slabă când vine vorba de securitatea cibernetică.

Având în vedere slăbiciunile inerente asociate cu utilizarea parolelor, tot mai multe organizații prioritizează autentificarea fără parolă, utilizând adesea chei de acces care se bazează pe biometrie și alte mecanisme non-parolă pentru autentificare. Organizațiile implementează, de asemenea, utilizarea întrebărilor de securitate dinamice legate de contextul în timp real.

În măsura în care parolele continuă să fie utilizate astăzi, acestea sunt aproape întotdeauna – în special în industriile sensibile la securitate – cuplate cu factori de autentificare suplimentari. De exemplu, conectarea la o aplicație bancară astăzi este probabil să necesite ca utilizatorul să se conecteze cu o parolă și, de asemenea, să utilizeze un mecanism biometric precum recunoașterea facială, în special dacă a fost detectată o activitate neobișnuită.

Factorii „ceva ce ai”, cunoscuți oficial sub denumirea de factori de posesie, impun unui utilizator să dețină un obiect fizic sau virtual care poate fi utilizat pentru autentificare. Exemplele includ:

• Autentificatoare hardware care generează parole de unică folosință (OTP), în special în medii cu securitate ridicată în care dispozitivele mobile nu sunt disponibile
• Chei de securitate bazate pe standardul U2F și care acceptă și tehnologia wireless NFC, astfel încât să poată fi utilizate atât în medii USB, cât și wireless
• Carduri inteligente cu credențiale de autentificare stocate pe ele pentru acces securizat la resurse
• Chei de acces FIDO rezistente la phishing care permit utilizatorilor să se conecteze cu datele biometrice ale dispozitivului sau cu un cod PIN în loc să utilizeze o parolă
• Chei de acces legate de dispozitiv asociate cu dispozitive specifice (în scopul maximizării securității, acestea nu pot fi sincronizate pe mai multe dispozitive).

Ori de câte ori deblochezi smartphone-ul folosind recunoașterea facială sau obții acces la o aplicație securizată scanând amprenta, folosești un factor bazat pe inerență, adică „ceva ce ești”. Este greu de imaginat o apărare mai bună, având în vedere că această formă de autentificare se bazează în întregime pe propriile caracteristici biometrice unice, care sunt aproape imposibil – sau cel puțin extrem de dificil – de reprodus. Recunoașterea amprentelor digitale sau facială, scanările retinei sau ale irisului, detectarea tiparelor vocale, chiar și biometria comportamentală, cum ar fi viteza de tastare – toate sunt modalități de a dovedi că ești cu adevărat tu.

Deși factorii bazați pe inerență pot ridica unele preocupări legate de confidențialitate, în special în ceea ce privește modul (și cât de sigur) sunt stocate datele biometrice, este greu de negat puterea și valoarea securității care se bazează pe ceea ce ești în loc de ceea ce știi sau ai (și, prin urmare, poți uita sau pierde). Este, de asemenea, un domeniu care invită la inovație, inclusiv tendințe emergente precum autentificarea continuă bazată pe factori de mediu (un pilon cheie al Zero Trust), precum și biometria comportamentală care se concentrează pe dinamica apăsărilor de taste și pe tiparele de mișcare ale mouse-ului.

Metode și exemple MFA

Apăsați pentru aprobare

• Definiție: Notificare pe dispozitiv care solicită utilizatorului să atingă pentru a aproba o cerere de acces
• Avantaj: Modalitate rapidă și convenabilă de a oferi un factor suplimentar pentru autentificarea în timp real
• Scenariu: Acces la aplicații mobile securizate

Cod de acces unic (OTP)

• Definiție: Cod generat automat care autentifică un utilizator pentru o sesiune de conectare
• Avantaj: Mecanism de autentificare care poate fi utilizat o singură dată, crescând securitatea
• Scenariu: Servicii bancare online sau alte tranzacții sensibile din punct de vedere al securității

Biometrie

• Definiție: Utilizarea unui dispozitiv sau a unei aplicații care recunoaște o amprentă digitală sau alte date biometrice
• Avantaj: Autentificare convenabilă, extrem de dificil de falsificat sau imitat
• Scenariu: Acces securizat la un dispozitiv sau la o aplicație

Cheie de acces legată de dispozitiv

• Definiție: Metodă de autentificare bazată pe un mecanism biometric sau alt mecanism non-parolă
• Avantaj: Risc de securitate mai mic decât cheile de acces sincronizate care sunt utilizate pe mai multe dispozitive
• Scenariu: Aplicații la nivel de întreprindere

Autentificator hardware

• Definiție: Un token sub forma unui autentificator mic, portabil, generator de OTP
• Avantaj: Posesie fizică ca strat suplimentar de securitate
• Scenariu: Medii securizate în care dispozitivele mobile nu sunt o opțiune pentru autentificare

Autentificator software

• Definiție: Un token care există ca aplicație software pe un smartphone sau alt dispozitiv
• Beneficiu: Portabil și ușor de implementat
• Scenariu: Oriunde dispozitivele emise de companie sau personale pot fi utilizate pentru autentificare

Alegerea metodelor MFA potrivite

Există mai mulți factori de luat în considerare atunci când vă gândiți la ce metode MFA vor funcționa cel mai bine pentru organizația dvs., inclusiv nivelul de risc și sensibilitatea datelor; confortul și accesibilitatea utilizatorului; și costul și cerințele de implementare. Următoarele sunt întrebări specifice de luat în considerare ținând cont de acești factori.

Întrebări critice și recomandări de luat în considerare

• Aveți nevoie de mai multe metode MFA pentru a răspunde nevoilor mai multor medii – la fața locului, la distanță sau o combinație a ambelor? Utilizarea mai multor metode MFA alese strategic și furnizate de un singur furnizor va ajuta la controlul costurilor și la eficientizarea implementării.

• Aveți o forță de muncă la distanță care utilizează dispozitive personale negestionate pentru a se autentifica la resurse securizate? Asigurați-vă că una dintre metodele MFA disponibile este concepută special pentru a detecta și gestiona amenințările la adresa dispozitivelor BYOD.

• Operați în principal într-un mediu de înaltă securitate (cum ar fi o cameră curată) unde telefoanele mobile nu sunt permise? Metodele MFA care includ autentificarea cu token-uri hardware folosind token-uri care pot fi gestionate în cloud vor face posibilă satisfacerea nevoii atât de autentificare sigură, cât și de ușurință în gestionare.

• Care sunt planurile dvs. pentru continuitatea afacerii, în special în ceea ce privește menținerea unei autentificări puternice și a accesului, în timpul unei întreruperi? Luați în considerare un mediu hibrid care poate face failover la metode MFA locale atunci când este necesar.

• Vi se cere să respectați reglementări sau directive specifice care prescriu rezistență la phishing sau alte calități specifice în metodele dvs. MFA? Faceți diligența necesară pentru a vă asigura că metodele MFA pe care le alegeți sunt concepute special pentru a îndeplini cerințele de reglementare și de altă natură.

Explorați opțiunile dvs. pentru metodele MFA

Este imposibil să exagerăm importanța metodelor MFA în securitatea cibernetică modernă, mai ales având în vedere diversitatea și complexitatea mediilor de autentificare și a mediilor de amenințare din prezent. Metodele MFA multiple fac posibilă adoptarea unei abordări stratificate a autentificării, în care utilizarea mai multor metode creează mai multe straturi de securitate, îngreunând accesul utilizatorilor neautorizați. Disponibilitatea mai multor metode poate îmbunătăți, de asemenea, experiența utilizatorului, oferind o gamă largă de opțiuni pentru a adapta autentificarea la nevoile și circumstanțele diferiților utilizatori.

Contactați RSA pentru a începe să explorați gama de soluții complete MFA disponibile astăzi.

Soluțiile de securitate IT, risc si conformitate  RSA, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.