W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Uwierzytelnianie wieloskładnikowe (MFA) i rezygnacja z haseł - dla firm myślących poważnie o ochronie swoich zasobów - nie mogą być już opcjonalne. To kluczowe wymagania w zapewnieniu bezpieczeństwa użytkownikom aplikacji. Krakowski Secfense opracował nowe rozwiązanie, dzięki któremu każdy smartfon może być dziś wygodną i bezpieczną metodą uwierzytelniania na dowolnej aplikacji w firmie. Secfense Authenticator ułatwia proces logowania i co istotne, nie wymaga od pracowników wpisywania uciążliwego i niebezpiecznego - bo łatwego do przechwycenia przez cyberprzestępców - hasła.
Badania Cybersecurity Insiders: The State of Passwordless Security 2021 wykazało, że aż dla 91% respondentów MFA jest istotne ze względu na to, że pomaga eliminować ryzyko kradzieży tożsamości i phishingu. Aby jednak mieć pewność, że użyta metoda MFA nie zostanie przez cyberprzestępców złamana, konieczne jest zastosowanie uwierzytelniania opartego o standard FIDO2. Najczęściej stosowane dziś kody i sms-y generowane przez smartfony są obecnie dla intruzów łatwe do obejścia.
"Najskuteczniejszym dziś standardem uwierzytelniania w sieci jest standard FIDO2, który według założenia twórców, pozwala prosto uwierzytelnić się używanym na co dzień smartfonem. FIDO2 jednak to nie tylko wygoda, ale również to, na czym zależy wszystkim dziś najbardziej - bezpieczeństwo, które chroni dostępu do aplikacji z wykorzystaniem kryptografii" - mówi Tomasz Kowalski, CEO i współzałożyciel Secfense.
Niewykorzystane i darmowe bezpieczeństwo
Dlaczego więc, jeśli istnieje FIDO2 - otwarty i skuteczny standard, to firmy nadal mają problem z zabezpieczeniem kont swoich pracowników wieloskładnikowym uwierzytelnianiem? Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli firma posiada w swojej organizacji setki aplikacji, masowa implementacja na wszystkich programach, jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 - choć zaprojektowany w kwietniu 2018 - po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.
"W Secfense zauważyliśmy ten problem i opracowaliśmy rozwiązanie o nazwie User Access Security Broker (UASB), dzięki któremu w zautomatyzowany sposób, bez ingerencji w kod, firmy mogą zabezpieczać dowolne aplikacje w organizacji, wykorzystując uwierzytelnianie wieloskładnikowe" - mówi Tomasz Kowalski.
Z UASB skorzystał już między innymi bank BNP Paribas Polska, który zabezpiecza w ten sposób swoich pracowników przy wykorzystaniu MFA.
Secfense Authenticator
Secfense opracował właśnie kolejne ułatwienie - Secfense Authenticator, który pozwala bankom i organizacjom używającym UASB korzystać z uwierzytelniania FIDO2 na dowolnej aplikacji i bez konieczności zakupu żadnego dodatkowego sprzętu.
"Można powiedzieć, że User Access Security Broker otwiera ścieżkę do masowego wykorzystania MFA w biznesie, a aplikacja Secfense Authenticator dodatkowo umożliwia sięgnięcie po najmocniejszy standard FIDO2" - mówi Tomasz Kowalski. "Dzieje się to bez generowania kosztów związanych z zatrudnieniem programistów, bez kosztu zakupu kluczy sprzętowych i bez żadnego wpływu na płynność operacji.
Zastosowanie telefonu jako urządzenia uwierzytelniającego nie tylko poprawia bezpieczeństwo, ale optymalizuje znacząco koszty.
"Standard FIDO2 umożliwia wykorzystanie posiadanych przez pracowników smartfonów, a Secfense wraz z aplikacją na telefon - Secfense Authenticator zastępuje drogie - ponad 200 zł za jeden - klucze fizyczne U2F i sprawia, że każda aplikacja w firmie może ten standard 'zrozumieć' i pozwolić użytkownikom na korzystanie z niego" - dodaje Kowalski.
Kryptografia dla mas
Secfense pracuje również nad wersją open source aplikacji Secfense Authenticator - dla osób indywidualnych. Na razie aplikacja działa bowiem tam, gdzie wdrożony jest User Access Security Broker.
Wersja open source aplikacji Secfense Authenticator spowoduje, że wszędzie tam gdzie dany program umożliwia korzystanie z uwierzytelniania kryptograficznego (zwykle jest to określone jako "możliwość wykorzystania klucza U2F", czyli przodka standardu FIDO2), będzie opcja zabezpieczenia kryptograficznego bez konieczności kupowania kluczy sprzętowych. Mowa tutaj o wielu platformach mediów społecznościowych, skrzynkach pocztowych czy giełdach kryptowalut.
Niezauważalna rewolucja
Nowy sposób zabezpieczeń użytkowników podczas logowania to swego rodzaju niewidzialna ewolucja, albo raczej niezauważalna rewolucja. Dlaczego? Ponieważ jeszcze rok czy dwa lata temu normą było odblokowywanie telefonów przy pomocy PIN-u. Dziś większość z nas odblokowuje ekran odciskiem palca lub skanując swoją twarz.
Naturalną koleją rzeczy jest więc to, że wkrótce, w taki sam sposób będziemy się logować do aplikacji, które obecnie wymagają od nas niewygodnego i niebezpiecznego - bo łatwego do przechwycenia przez cyberprzestępców - hasła.
Źródło: Secfense
