Czy przyszłość cyberbezpieczeństwa to scenariusz, w którym nie posługujemy się hasłami? Zdaniem ekspertów Cisco jest to możliwe, dzięki stosowaniu uwierzytelniania wieloskładnikowego i technologii bezhasłowych.
Warszawa, 4 maja 2023 – Przypadający w tym roku na 4-go maja Światowy Dzień Hasła to święto, które powinno przypominać użytkownikom, jak ważne są silne hasła i dlaczego powinni oni dbać o cyfrową higienę na tym polu. Nawet jeden przypadek przechwycenia danych logowania może narazić na niebezpieczeństwo nie tylko ich dobre imię i finanse, ale często także cyfrową tożsamość osoby a nawet bezpieczeństwo organizacji, w której pracuje. Dlatego też eksperci Cisco radzą przy tej okazji zastąpienie tradycyjnych haseł nowymi mechanizmami bezpieczeństwa.
Najważniejsze wyzwania związane z hasłami:
- Najpopularniejsze hasła są nadal łatwe do odgadnięcia: zgodnie z danymi firmy zajmującej się analizą rozwiązań ds. cyberbezpieczeństwa CompariTech, trudność w zapamiętywaniu wielu skomplikowanych haseł prowadzi użytkowników do ustawiania prostych i łatwych do zapamiętania słów. Zdaniem witryny, najpopularniejszymi hasłami w 2022 roku nadal były: password, 123456, 123456789 czy guest. Podobnego zdania byli analitycy Google, których dane wskazywały na to, że 24% Amerykanów jako hasło ustawiało różne wariacje słów abc123, Password, 123456, Iloveyou.
- Ogromna grupa użytkowników (59%) komputerów jako hasła używa swojego imienia lub daty urodzin… imion ulubionych zwierzaków, partnerów czy dzieci[1].
- Tylko 45% użytkowników zmienia swoje hasło po cyberataku na ich dane.
- Specjaliści IT używają ponownie haseł częściej niż przeciętni użytkownicy – wg danych Ponemon Institute 50% przebadanych specjalistów IT przyznało, że wykorzystują ponownie te same hasła.
- W 2022 cyberprzestępcy doprowadzili do wycieku ponad 721 milionów haseł[2].
Dane te, nawet jeżeli w wycinku, pokazują dokładnie, że konsekwencje stosowania tradycyjnych haseł – zwłaszcza w kontekście rosnącej liczby ataków – mogą przynosić opłakane skutki. Atakującym, którzy z powodzeniem stosują mechanizmy socjotechniczne oraz wspierają się sztuczną inteligencją – coraz łatwiej łamać hasła. Dodatkowo wnioski o resetowanie dostępu cały czas stanowią większą część zgłoszeń do działów IT, powodując odciąganie specjalistów od poważniejszych zadań i generując niepotrzebne koszty. Na to wszystko trzeba nałożyć fakt rosnącej liczby ataków na organizacje, zwłaszcza te działające w świecie hybrydowym. W opublikowanym niedawno przez Cisco badaniu aż 59% respondentów z Polski przyznało, że w ciągu ostatnich 12 miesięcy doświadczyło incydentu związanego z bezpieczeństwem cyfrowym.
Zdaniem ekspertów Cisco, przyszłość bezpieczeństwa cyfrowego stanowią skuteczne, a zarazem proste, rozwiązania do uwierzytelniania wieloskładnikowego (MFA) i bezhasłowego. Prym na tym polu wiodą oczywiście użytkownicy korporacyjni. W grupie tej biometria jest już obecna na ponad 81% urządzeń mobilnych (dane za 2022 rok). Dodatkowo badanie Cisco Duo Trusted Access Report 2022 wskazuje na 50% wzrost liczby kont umożliwiających uwierzytelnianie bezhasłowe od kwietnia 2019 roku. Na potrzeby badania przeanalizowano dane z ponad 13 miliardów uwierzytelnień wykonanych na prawie 50 milionach urządzeń. Na wynik składały się także logowania do niemal 500 tysięcy różnych aplikacji i ok. 1,1 miliarda uwierzytelnień miesięcznie na całym świecie (przy wykorzystaniu rozwiązania Cisco Duo).
„Nie możemy myśleć o przeszłości opierając najważniejszy element naszej codzienności, czyli bezpieczeństwo, na narzędziach z przeszłości. Dlatego też nieustannie dążymy do opracowania jak najbardziej skutecznego uwierzytelniania bezhasłowego i wieloskładnikowego, które spełniałoby zróżnicowane i stale zmieniające się potrzeby użytkowników i odpowiadało na rozwijające się mechanizmy działań cyberprzestępców” – mówi Przemysław Kania, Dyrektor Generalny Cisco w Polsce.
„Istotnym argumentem jest także wygoda: jeżeli coś będzie intuicyjne i łatwe w użytkowaniu, np. bezpieczny dostęp do firmowych aplikacji, który nie będzie wymagał każdorazowego uwierzytelniania hasłem, szybciej spotka się z aprobatą użytkowników” – dodaje Przemysław Kania.
Hasła a sprawa polska
Jak pokazuje zeszłoroczne badanie Cisco przeprowadzone wśród pracowników polskich firm umożliwiających pracę zdalną, doświadczenia użytkowników są kluczowe dla skutecznego wdrożenia polityki bezpieczeństwa. Pracownicy nie lubią czasochłonnych procedur i skomplikowanych systemów. Dlatego robią co mogą, żeby ułatwić sobie życie. Aż 10% respondentów zawsze korzysta z tych samych haseł, co oznacza, że w przypadku wykradzenia danych do logowania skompromitowanych zostaje wiele systemów. Rozwiązania do zarządzania hasłami (tzw. password manager) mogłyby stanowić tu duże ułatwienie, gdyż kolejne 10% badanych resetuje swoje hasła za każdym razem, gdy korzysta z aplikacji niewykorzystywanych codziennie, a kolejne 28% zapisuje je na kartce. Nadal stosunkowo niewielu polskich pracowników (ok. 13%) korzysta z bezhasłowych sposobów uwierzytelniania.
„Nie wolno nam zapominać, że u podstaw elastyczności pracy leży utrzymanie bezpieczeństwa danych i systemów. Pracownicy zdalni muszą być świadomi swojej odpowiedzialności za przestrzeganie dobrych praktyk cyberbezpieczeństwa niezależnie od tego, gdzie się znajdują” – mówi Przemysła Kania, dyrektor generalny Cisco w Polsce. „Dzisiejsze rozwiązania bezpieczeństwa powinny być skonstruowane w taki sposób, aby umożliwiały odpieranie ataków hakerów i dawały użytkownikom możliwość swobodnej pracy. Rezygnacja z haseł na rzecz innych form uwierzytelniania znacznie podnosi poziom bezpieczeństwa. Tradycyjne dane do logowania stosunkowo często są przechwytywane przez cyberprzestępców i dawno przestały być skuteczną formą obrony, a stały się wręcz jedną z głównych przyczyn ataków”.
[1] Źródło: Mozilla: Your child’s name makes a horrible password.
[2] Źródło: Report: Hackers leaked over 721 million passwords in 2022.
