Cheile de acces devin din ce în ce mai comune datorită serviciilor pentru consumatori precum Google, Apple, Facebook, Meta și multe altele. Utilizarea cheilor de acces crește semnificativ securitatea în comparație cu autentificările tradiționale bazate pe parolă.
Este normal ca unele soluții pentru consumatori să se extindă și în utilizarea profesională – gândiți-vă la posibilitatea de a trimite reacții emoji la e-mailuri. Dar doar pentru că Instagram îmi permite să mă conectez folosind o cheie de acces, înseamnă că și companiile ar trebui?
Pe scurt: sunt cheile de acces pregătite pentru utilizare în cadrul întreprinderilor?
Ce este Alianța FIDO?
Alianța FIDO a fost fondată în 2013 de diverse companii pentru a dezvolta un standard de autentificare care să servească drept al doilea factor; astăzi, FIDO poate servi ca o metodă puternică de autentificare fără parolă.
Din 2013, FIDO a devenit una dintre cele mai populare metode de conectare fără parolă, în mare parte pentru că respectă acronimul care îi alcătuiește numele: oferă o identitate rapidă online. Alianța FIDO se concentrează puternic pe mediul de consum. Nu e de mirare, deoarece cei mai mari membri ai săi sunt activi în acest domeniu: Apple, Google, PayPal și Microsoft. (RSA este membru al Alianței FIDO și co-prezidă Grupul de lucru pentru implementare la nivel de întreprindere.)
Acreditările FIDO utilizează perechi de chei asimetrice pentru a se autentifica într-un serviciu. Când o acreditare FIDO este înregistrată la un serviciu, o nouă pereche de chei este generată pe autentificatorul FIDO, iar serviciul are apoi încredere în acea pereche de chei – și numai în acea pereche de chei. Perechea de chei este conectată la numele exact de domeniu al serviciului.
Această asociere strictă dintre un serviciu și o acreditare FIDO este ceea ce creează un grad ridicat de rezistență la phishing: dacă un utilizator ar încerca să se conecteze la un site de phishing fals cu cheia de acces creată pentru site-ul real, ar eșua deoarece domeniul numit nu s-ar potrivi cu perechea de chei.
Ce sunt cheile de acces?
În 2022, Apple, Google și Microsoft au lansat suport pentru un nou tip de acreditări FIDO, pe care l-au numit cheie de acces. În 2023, Alianța FIDO a adoptat termenul „cheie de acces” pentru orice tip de acreditări FIDO, ceea ce a dus la o potențială confuzie cu privire la ceea ce înțelege exact o organizație atunci când menționează „chei de acces”.
Această posibilă ambiguitate a fost abordată de Alianța FIDO (vezi mai jos), dar ar putea exista încă în cadrul organizațiilor. Este important să se abordeze această ambiguitate, deoarece nu toate cheile de acces sunt create egale sau adecvate pentru utilizarea în cadrul întreprinderilor.
Tipuri de chei de acces
Există acum două tipuri de chei de acces, așa cum sunt definite de Alianța FIDO: legate de dispozitiv și sincronizate.
Chei de acces legate de dispozitiv vs. chei de acces sincronizate
Cheile de acces legate de dispozitiv sunt în general găzduite pe dispozitive specifice cu „cheie de securitate”. Pe o cheie de acces legată de dispozitiv, perechile de chei sunt generate și stocate pe un singur dispozitiv; în plus, materialul cheii în sine nu părăsește niciodată acel dispozitiv. Acest tip de cheie de acces este în general considerat mai sigur, deoarece cheia privată nu părăsește niciodată dispozitivul, ceea ce îl face rezistent la extragere sau compromitere la distanță. Cu toate acestea, aceasta înseamnă și că, dacă dispozitivul este pierdut sau deteriorat, utilizatorul va trebui să își reînregistreze cheia de acces pe dispozitiv odată ce aceasta este recuperată sau să o adauge pe un dispozitiv nou, dacă este necesar. Cheile de acces legate de dispozitiv sunt deosebit de preferate în mediile cu siguranță ridicată și în cazurile de utilizare în întreprinderi, adesea utilizând hardware precum chei de securitate sau module Trusted Platform Modules (TPM).
Chei de acces sincronizate
Cu cheile de acces sincronizate, materialul cheii este salvat printr-o așa-numită structură de sincronizare la distanță, iar materialul cheii poate fi apoi restaurat pe orice alte dispozitive deținute de același utilizator. Principalele structuri de sincronizare actuale sunt Microsoft, Google și Apple. Aceasta înseamnă că, dacă ați înregistra telefonul Android ca cheie de acces, atunci materialul cheii corespunzător ar fi disponibil pe toate celelalte dispozitive Android la scurt timp după aceea.
Cheile de acces sincronizate sunt – pe lângă faptul că au suport pentru servicii utilizate pe scară largă, cum ar fi WhatsApp sau Facebook – un motiv principal pentru creșterea bruscă a utilizării generale a cheilor de acces. Este ușor de înțeles de ce: un utilizator cu multe conturi și multe dispozitive poate folosi aceeași cheie de acces sincronizată între toți.
Cum funcționează cheile de acces?
Cheile de acces înlocuiesc parolele tradiționale cu perechi de chei criptografice, oferind o autentificare puternică, rezistentă la phishing. Când un utilizator se înregistrează pentru un serviciu, dispozitivul său generează o pereche unică de chei private-publice. Cheia privată rămâne stocată în siguranță pe dispozitivul utilizatorului în timp ce cheia publică este partajată cu serviciul. În timpul autentificării, dispozitivul dovedește posesia cheii private prin semnarea unei provocări din partea serviciului, iar semnătura este verificată folosind cheia publică stocată. Nu se transmit secrete partajate și nu se creează sau se stochează parole, reducând dramatic riscul de furt de credențiale sau de atacuri de reluare.
Chei de acces vs. parole tradiționale
Parolele tradiționale se bazează pe secrete partajate care pot fi ghicite, furate sau phishingate, ceea ce le face un punct de intrare comun pentru atacatori. Sunt adesea… reutilizate în mai multe conturi, stocate nesigur și vulnerabile la atacuri de tip „brute force” sau „credential stuffing”.
Cheile de acces elimină aceste riscuri prin înlocuirea parolelor cu criptografie cu cheie public-privată. Cheia privată nu părăsește niciodată dispozitivul utilizatorului, iar autentificarea se realizează prin demonstrarea posesiei acelei chei – fără a o transmite. Această abordare face ca majoritatea vectorilor de atac comuni să fie învechiți, inclusiv phishing-ul, furtul de credențiale și reutilizarea parolelor. Pentru organizații, cheile de acces oferă un salt înainte în autentificarea securizată, reducând în același timp povara resetărilor parolelor și a tichetelor de asistență.
Beneficiile cheilor de acces
• Rezistență la phishing: Cheile de acces sunt concepute pentru a preveni atacurile tradiționale de phishing. Deoarece nu există nicio parolă implicată, nu există nimic de furat sau reutilizat.
• Rapid și convenabil: Autentificarea cu o cheie de acces este adesea la fel de simplă ca utilizarea biometricelor (cum ar fi Face ID sau o amprentă digitală), ceea ce face experiența mai ușoară pentru utilizatori.
• Experiență familiară a utilizatorului: Autentificările cu cheie de acces seamănă cu modelele comune de autentificare mobilă, astfel încât curba de învățare este mică sau deloc.
• Securitate prin potrivirea domeniilor: Cheile de acces oferă un nivel suplimentar de protecție, asigurându-se că materialul cheie funcționează doar cu domeniul serviciului original – un beneficiu pe care nu îl oferă toate metodele MFA.
• Aprobat de guvern: În SUA, rezistența la phishing este un factor cheie în spatele mandatelor federale. Ordinul executiv 14028 impune autentificare fără parolă, rezistentă la phishing, pentru a proteja infrastructura critică.
Provocările legate de cheile de acces
Deși cheile de acces oferă avantaje semnificative, ele vin și cu câteva provocări și probleme semnificative.
• Experiența utilizatorului: Solicitările cheii de acces, cum ar fi solicitările de a introduce cheia de securitate în portul USB sau de a introduce codul PIN, de exemplu, arată diferit în funcție de sistemul de operare și browser. Aceste solicitări vor face probabil mai dificilă instruirea utilizatorilor și vor crește numărul de apeluri de asistență.
• Distragerea atenției de la alte atacuri: Oricine crede că utilizarea cheilor de acces îl face brusc imun la ocolirea MFA, cum ar fi atacurile de inginerie socială, se înșeală amarnic. Cheile de acces ajută împotriva unui tip de atac de inginerie socială: phishing-ul. Din păcate, există și alte variante. Atacurile asupra MGM Resorts sau Caesars Palace din Las Vegas au avut o componentă de inginerie socială: exploatarea serviciului de asistență pentru a permite atacatorului să înregistreze el însuși un autentificator MFA.
• Probleme legate de pierderea sau actualizarea dispozitivului: Dacă utilizatorii pierd accesul la un dispozitiv (și nu au activat sincronizarea sau backup-ul), aceștia pot întâmpina probleme în recuperarea cheilor de acces – în special pentru cheile legate de dispozitiv.
• Asistență limitată pentru toate serviciile: Deși adoptarea este în creștere, nu toate site-urile web sau sistemele întreprinderilor acceptă încă chei de acces, ceea ce poate limita utilizabilitatea lor zilnică.
• Confuzie sau lipsă de conștientizare a utilizatorilor: Conceptul de chei de acces este încă nou pentru mulți utilizatori, ceea ce poate duce la confuzie cu privire la configurare, sincronizare sau ceea ce se întâmplă de fapt în interior. Variațiile de terminologie (chei de acces, chei de securitate, chei FIDO) și standardele în evoluție din întreaga industrie pot crește această confuzie și pot face dificilă pentru utilizatori și organizații înțelegerea clară a celor mai bune practici și implementarea și adoptarea consecventă a cheilor de acces. Acest lucru poate duce, de asemenea, la greșeli în timpul configurării și utilizării, la creșterea numărului de apeluri de asistență și la potențiale lacune în securitate.
• Pregătirea infrastructurii: Implementarea cheilor de acces poate necesita ca organizațiile să facă actualizări ale platformelor de identitate, politicilor de gestionare a dispozitivelor și eforturilor de instruire – în special atunci când se renunță la autentificarea moștenită. Organizațiile pot constata că resursele moștenite sau locale pot să nu fie compatibile cu cheile de acces din cauza autentificării exclusiv web. În aceste cazuri, organizațiile ar trebui să își modernizeze MFA-ul cu capabilități fără parolă care pot acoperi medii și pot menține infrastructura moștenită.
Asigurarea compatibilității multiplatformă și a securității mobile
Având în vedere provocările pe care le prezintă cheile de acces de astăzi atunci când vine vorba de furnizarea unor fluxuri de lucru uniforme pe diverse browsere, dispozitive și sisteme de operare, ce poate face industria pentru a asigura o experiență cu adevărat fluidă, multiplatformă? Cum putem determina cea mai bună cale de a rezolva inconsecvențele care pot deruta utilizatorii și pot bloca adoptarea pe scară largă?
La RSA, conducerea noastră UX este implicată activ în grupurile de lucru ale FIDO Alliance pentru a pleda pentru experiențe consecvente ale utilizatorilor. Prin contribuția noastră cu perspectivele, ne propunem să contribuim la modelarea standardelor care au ca rezultat mai puține distrageri, mai puține frecări și mai multă uniformitate pentru utilizatorii finali.
Mobilitatea este un alt aspect al creării unei experiențe fluide cu chei de acces în toate mediile. Utilizatorii forței de muncă se așteaptă din ce în ce mai mult la confortul fluxurilor de lucru bazate pe dispozitive mobile. Dacă accesarea resurselor corporative de pe un smartphone se simte la fel de intuitivă ca deblocarea aceluiași dispozitiv, adoptarea de noi metode de autentificare – cum ar fi cheile de acces – devine semnificativ mai ușoară. O experiență mobilă fără probleme ajută la eliminarea rezistenței utilizatorilor, minimizând curba de învățare și făcând tranziția de la parole mult mai ușoară.
Soluțiile de securitate IT, risc si conformitate RSA sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.
