Kibernetinis saugumas

Passkeys (prieigos raktai): kodėl slaptažodžių era baigiasi?

Passkeys: kodėl slaptažodžiai tampa viena didžiausių saugumo problemų? Verslo aplinkoje vis dar matome tą pačią problemą – darbuotojai naudoja silpnus arba pasikartojančius slaptažodžius. Net ir šiandien tarp dažniausiai naudojamų slaptažodžių vis dar dominuoja „123456“, „password“, „admin“ ar įmonės pavadinimas su keliais skaičiais gale. Dirbdami IT priežiūros ir kibernetinio saugumo srityje nuolat susiduriame su situacijomis, kai […]

Passkeys: kodėl slaptažodžiai tampa viena didžiausių saugumo problemų?

Verslo aplinkoje vis dar matome tą pačią problemą – darbuotojai naudoja silpnus arba pasikartojančius slaptažodžius. Net ir šiandien tarp dažniausiai naudojamų slaptažodžių vis dar dominuoja „123456“, „password“, „admin“ ar įmonės pavadinimas su keliais skaičiais gale.

Dirbdami IT priežiūros ir kibernetinio saugumo srityje nuolat susiduriame su situacijomis, kai tas pats slaptažodis naudojamas kelioms sistemoms: el. paštui, ERP sistemai, VPN, debesų platformoms ar net administracinėms paskyroms. Tai reiškia, kad vienas nutekėjęs slaptažodis gali tapti vartais į visą įmonės infrastruktūrą.

Būtent dėl šios priežasties technologijų industrija juda link naujo standarto – „Passkeys“ (prieigos raktų).

Kas yra Passkeys?

„Passkeys“ – tai modernus prisijungimo metodas, kuris leidžia atsisakyti tradicinių slaptažodžių. Vietoje jų naudojami kriptografiniai raktai ir jūsų fizinis įrenginys.

Šį autentifikacijos metodą palaiko didžiosios technologijų kompanijos, tokios kaip Google, Apple ir Microsoft.

Ši technologija paremta FIDO2 ir WebAuthn standartais, kurie sukurti tam, kad apsaugotų vartotojus nuo dažniausių atakų: slaptažodžių vagysčių, phishing laiškų ir nutekintų duomenų bazių.

Kaip veikia Passkeys?

Kai sukuriate „Passkey“, jūsų įrenginys sugeneruoja du susijusius raktus:

  • viešąjį raktą;
  • privatųjį raktą.

Viešasis raktas

Jis perduodamas sistemai arba svetainei, prie kurios jungiatės. Šis raktas vienas pats nėra naudingas įsilaužėliams.

Privatusis raktas

Jis lieka tik jūsų įrenginyje – telefone, kompiuteryje arba saugioje slaptažodžių tvarkyklėje. Šis raktas niekada neišsiunčiamas į serverį.

Kai jungiatės prie sistemos:

  1. sistema pateikia autentifikacijos užklausą;
  2. jūsų įrenginys ją patvirtina naudodamas privatųjį raktą;
  3. jūs patvirtinate veiksmą biometrika arba PIN kodu.

Dažniausiai naudojama:

  • piršto atspaudas;
  • veido atpažinimas;
  • įrenginio PIN kodas;
  • fizinis saugumo raktas (pvz. FIDO2 raktas).

Kodėl tai daug saugiau už slaptažodžius?

1. Apsauga nuo phishing atakų

Didelė dalis įsilaužimų prasideda nuo netikro prisijungimo puslapio. Vartotojas pats įveda slaptažodį į suklastotą svetainę.

Su „Passkeys“ šios problemos praktiškai nebelieka, nes nėra slaptažodžio, kurį būtų galima „išvilioti“.

2. Nutekėję duomenys tampa beveik beverčiai

Jeigu platforma patiria duomenų nutekėjimą, užpuolikai dažniausiai gauna tik viešuosius raktus.

Be jūsų fizinio įrenginio ir autentifikacijos patvirtinimo jie negali prisijungti prie paskyros.

3. Greitesnis prisijungimas

Vartotojams nebereikia:

  • prisiminti sudėtingų slaptažodžių;
  • naudoti SMS kodų;
  • nuolat atlikti slaptažodžių atstatymo procedūrų.

Prisijungimas tampa greitesnis ir patogesnis.

Ar Passkeys visiškai panaikina rizikas?

Ne. Net ir naudojant „Passkeys“ išlieka svarbūs baziniai saugumo principai:

  • įrenginių apsauga;
  • atnaujinimai;
  • ekrano užraktai;
  • paskyrų atkūrimo mechanizmai;
  • darbuotojų kibernetinio saugumo mokymai.

Jeigu užpuolikas gauna fizinę prieigą prie neapsaugoto įrenginio, rizika vis tiek išlieka.

Todėl verslui svarbu žiūrėti į saugumą kompleksiškai, o ne tik pakeisti prisijungimo metodą.

Mūsų rekomendacija verslui

Kaip IT priežiūros ir saugumo partneriai, rekomenduojame verslams palaipsniui pereiti prie modernesnių autentifikacijos metodų:

  • aktyvuoti „Passkeys“, kur tai palaikoma;
  • atsisakyti silpnų slaptažodžių politikų;
  • naudoti MFA;
  • centralizuotai valdyti vartotojų prisijungimus;
  • reguliariai vykdyti phishing prevenciją ir darbuotojų mokymus.

Daugelis modernių platformų jau palaiko „Passkeys“, todėl dabar yra tinkamas metas pradėti šį perėjimą.

Išvada

Slaptažodžiai ilgą laiką buvo standartas, tačiau šiandien jie tampa viena silpniausių saugumo grandžių.

„Passkeys“ ženkliai sumažina riziką, susijusią su phishing atakomis, nutekėjusiais slaptažodžiais ir silpnais vartotojų įpročiais.

Verslui tai reiškia ne tik didesnį saugumą, bet ir paprastesnį prisijungimo procesą darbuotojams.

Jeigu jūsų naudojamos sistemos palaiko „Passkeys“ – rekomenduojame pradėti jų naudojimą jau dabar.