Έλεγχος ταυτότητας δίχως την χρήση κωδικού πρόσβασης, με χρήση πιστοποιημένης εφαρμογής, η οποία μπορεί να αναπτυχθεί σε οποιαδήποτε σύγχρονη υποδομή… «Σενάριο επιστημονικής φαντασίας», ενδεχομένως να αναφωνήσετε. «Πραγματικότητα, εδώ και λίγο καιρό», είναι η απάντηση!

Είναι δυνατός ο έλεγχος ταυτότητας δίχως την χρήση κωδικού πρόσβασης, αξιοποιώντας μια υψηλής πιστοποίησης εφαρμογή, η οποία μπορεί να αναπτυχθεί σε οποιαδήποτε σύγχρονη υποδομή και να υποστηρίζει in-house εφαρμογές και υπηρεσίες cloud, καθώς επίσης και ξεπερασμένα συστήματα που απαιτούν κωδικούς πρόσβασης; Κι αυτό παρέχοντας εξαιρετική προστασία και επιτρέποντας τη συμμόρφωση με τις απαιτήσεις και τους κανονισμούς για την ασφάλεια στον κυβερνοχώρο;
Πραγματοποιώντας μια «βουτιά» στο παρελθόν ως άλλη ιστορική αναδρομή στον τομέα των μυστικών κωδικών ασφαλείας, η πρώτη οργανωμένη χρήση τους συναντάται την εποχή της Ρωμαϊκής Αυτοκρατορίας, όταν είχαν χρησιμοποιηθεί προκειμένου να επιβεβαιώσει την ταυτότητα των ατόμων, από τότε που οι Ρωμαίοι στρατιώτες αντάλλασσαν λέξεις-κλειδιά έτσι ώστε να ξεχωρίσουν τους φίλους τους από τους εχθρούς… Έκτοτε, οι οργανισμοί κάθε τύπου και μεγέθους δείχνουν να εξαρτώνται σε μεγάλο βαθμό από την ιδέα ενός τμήματος πληροφορίας προς απομνημόνευση, παρέχοντας άμεση πρόσβαση στον κάτοχό της.

Με την χρονική παρέλευση μερικών χιλιετιών, η πληροφορική και η τεχνολογία εν γένει επέφερε καινούριες προκλήσεις στην ευρύτερη διαδικασία της επαλήθευσης ταυτότητας. Οι αμέτρητες ποσότητες «ευαίσθητων» δεδομένων που παράγονται και αποθηκεύονται σήμερα και η ταχύτητα με την οποία τα δεδομένα μπορούν να κλαπούν ή να καταστραφούν, «βασανίζει» διαρκώς τόσο τις μικρομεσαίες, όσο και τις μεγαλύτερου μεγέθους επιχειρήσεις. Μάλιστα, η αντιμετώπιση αυτής της αυξανόμενης πρόκλησης απαιτεί συνεχή υιοθέτηση νέων μεθόδων και εργαλείων, τόσο τεχνολογικής όσο και συμπεριφορικής φύσης, τα οποία από κοινού μπορούν να εγγυηθούν υψηλότερο επίπεδο προστασίας δεδομένων για οποιαδήποτε επιχείρηση. Και ενώ η προσθήκη νέων επιπέδων μπορεί να αποδειχτεί μέχρι και επωφελής, ακόμη και κρίσιμη μερικές φορές, υπάρχει ένα θεμελιώδες γεγονός που πρέπει να αντιμετωπίσουν οι ενδιαφερόμενοι σε συνάρτηση με τον κόσμο της ΙΤ ασφάλειας και κυβερνοασφάλειας εν γένει: Πρέπει να βασίζονται σε αποθηκευμένους κωδικούς πρόσβασης.

Τα password αναδεικνύονται σε «μαύρη τρύπα» της ασφάλειας
Για χρόνια, η «τυπική» προσέγγιση σε ότι αφορά την αντιμετώπιση των εγγενών αδυναμιών ασφαλείας της χρήσης κωδικών πρόσβασης περιορίστηκε σε τρεις κατηγορίες: επιβολή ολοένα και πιο αυστηρών πολιτικών κωδικού πρόσβασης, ανάπτυξη μιας δεύτερης (και μερικές φορές τρίτης) μεθόδου ελέγχου ταυτότητας πέρα και πάνω από ένα password και την εκπαίδευση των χρηστών σχετικά με τους κινδύνους που προκύπτουν από τις απόπειρες social engineering και της κατάχρησης των κωδικών πρόσβασης.
Ωστόσο, σειρά επιμέρους μελετών καταδεικνύουν πως αυτές οι μέθοδοι δεν είναι μόνο ανεπαρκείς, αλλά συνήθως ανάγονται σε… παιχνιδάκι στις ορέξεις των εισβολέων. Παραδόξως, ξέρετε ποιος είναι ο πλέον κοινός κωδικός πρόσβασης που χρησιμοποιήθηκε το 2019 και εν πολλοίς εξακολουθεί να συνεχίζει και το 2020, με τις περισσότερες πιθανότητα να είναι πως κάτι τέτοιο θα συνεχίσει εσαεί; Το… 12345. Μάλιστα, στις αμέσως επόμενες θέσεις με τα πλέον συχνά συναντώμενα password βρίσκονται αντίστοιχης λογικής συνεχόμενοι αριθμοί (λ.χ. 56789 κ.ο.κ.)!

Στον επιχειρηματικό τομέα, όπου οι πολιτικές ασφάλειας εμποδίζουν τη χρήση τέτοιων… καινοτόμων όσο και πρωτοποριακών κωδικών, το πρόβλημα είναι σαφώς και ελαφρώς πιο φοβερό. Πρόσφατη έρευνα που διεξήχθη μεταξύ του προσωπικού ασφαλείας πληροφορικής έδειξε ότι το 49% των ερωτηθέντων παραδέχθηκαν πως μοιράστηκαν κωδικούς πρόσβασης με συναδέλφους για πρόσβαση σε επαγγελματικούς λογαριασμούς, ενώ το 59% ανέφερε ότι ο οργανισμός τους βασίζεται μόνο στη μνήμη για τη διαχείριση κωδικών πρόσβασης και το 42% δηλώνει ότι χρησιμοποιούνται αυτοκόλλητες σημειώσεις για τον εν λόγω σκοπό.
Ο κίνδυνος που συναρτάται σε σχέση με την χρήση των κωδικών πρόσβασης καταδεικνύεται σαφώς από την Έκθεση για την παραβίαση δεδομένων της Verizon για το 2020, η οποία συσχετίζει το 32% των παραβιάσεων που ερευνήθηκαν με επιθέσεις phishing, ενώ το 29% αφορούσε τη χρήση κλεμμένων στοιχείων ψηφιακής ταυτότητας.
Με μέσο κόστος της τάξεως των 3,9 εκατομμυρίων δολαρίων ανά παραβίαση εταιρικών δεδομένων, όπως προκύπτει με βάση τα στοιχεία πρόσφατης μελέτης της IBM, η αποφυγή πιθανών καταστροφικών περιστατικών περί της ΙΤ ασφαλείας είναι περισσότερο κρίσιμη παρά ποτέ.

Καθώς τα τμήματα πληροφορικής και οι ομάδες υποστήριξης βρίσκονται αντιμέτωπα με αυτήν την πραγματικότητα, προσπαθούν να περιηγηθούν στην ισορροπία μεταξύ της εφαρμογής επαρκών πολιτικών κωδικών πρόσβασης και αντιμετώπισης των σοβαρών συνεπειών της ίδιας προσπάθειας. Ωστόσο, τα αποτελέσματα τείνουν να είναι δαπανηρά και αναποτελεσματικά στην παροχή καλύτερης προστασίας. Οι απαιτήσεις περί πολυπλοκότητας κωδικού πρόσβασης, που κάποτε θεωρούνταν κρίσιμες για την πρόληψη των hacks, έχουν κριθεί ως μη-χρηστικές και δεν παρέχουν καμία άμυνα ενάντια σε πολλές κοινές επιθέσεις.
Αυτή η προσέγγιση θεωρείται τώρα εμπόδιο τόσο στο επίπεδο της παραγωγικότητας, όσο και σε αυτήν της ασφάλειας. Επιπλέον, είναι εντυπωσιακό το γεγονός ότι έως και το 50% του συνόλου των ενδοεταιρικών κλήσεων που λαμβάνουν χώρα στο help desk μεγάλων επιχειρήσεων και πολυεθνικών οργανισμών, σχετίζονται με την επαναφορά κωδικού πρόσβασης όπως κατέδειξε πρόσφατη μελέτη της Gartner. Σε αυτό το πλαίσιο, η Forrester Research εκτιμά πως έχοντας κατά νου ότι το μέσο κόστος ανά επαναφορά κωδικού πρόσβασης διαμορφώνεται στα 70 δολάρια, οι αυστηρές πολιτικές κωδικού πρόσβασης αυξάνουν δραστικά το λειτουργικό κόστος.

Multi-Factor Authentication: Περιορισμένη βελτίωση με μεγάλο κόστος;
Σε μια προσπάθεια ενίσχυσης της ασφάλειας του κωδικού πρόσβασης και ως αποτέλεσμα επιμέρους κανονιστικών απαιτήσεων, πλείστες επιχειρήσεις διεθνώς έχουν εγκαταστήσει λύσεις Multi-Factor Authentication (MFA) που έχουν αναπτυχθεί τόσο για τους υπαλλήλους, όσο και για τους πελάτες τους. Η λειτουργία τέτοιων λύσεων βασίζεται στην υπόθεση ότι ένας συνδυασμός δύο ή περισσότερων διακριτών αποδεικτικών στοιχείων ταυτότητας είναι αρκετός προκειμένου να εμπιστευτεί πλήρως τον έλεγχο ταυτότητας υπό οποιεσδήποτε συνθήκες. Ωστόσο, με την μετεξέλιξη που καταγράφεται και στον εν λόγω τομέα, σε συνάρτηση με την αυξανόμενη υιοθέτηση του MFA, αναδύεται μια νέα λεπτομέρεια, η οποία αναμένεται να μεταβάλλει εκ νέου τα δεδομένα. Κι αυτό, καθώς -πλέον- ο έλεγχος της ταυτότητας πολλαπλών παραγόντων δεν παρέχει επαρκή ασφάλεια από μόνος του. Μετά από αρκετές επιτυχείς επιθέσεις σε φαινομενικά ασφαλείς παράγοντες ελέγχου ταυτότητας, οι ρυθμιστικές αρχές άρχισαν να προσθέτουν περιορισμούς στις μεθόδους ελέγχου ταυτότητας Multi-Factor.

Παράλληλα, με το πέρασμα του χρόνου και την ενίσχυση της εμπειρίας, της τριβής και της εν γένει γνώσης περί των λύσεων MFA, αποδεικνύεται πως αυτές είναι δαπανηρές σε επίπεδο ανάπτυξης και διαχείρισης, ενώ ταυτόχρονα έχουν καταστροφικές επιπτώσεις στην συνολικότερη εμπειρία και την παραγωγικότητα των χρηστών. Ως αποτέλεσμα, η χρήση τους σε εταιρικά περιβάλλοντα και εσωτερικά εταιρικά δίκτυα να φθίνει, περιοριζόμενη σε εταιρικά VPN και απομακρυσμένες υπηρεσίες, σύμφωνα με την πλέον πρόσφατη μελέτη της Mary Meeker, Internet Trends.
Συνοπτικά, όλες οι λύσεις ελέγχου ταυτότητας πολλαπλών παραγόντων δεν μπορούν να θεωρούνται ως ισάξιες, καθώς μερικές προσφέρουν υψηλότερο βαθμό προστασίας έναντι άλλων. Ωστόσο, το σύνολο των μεθόδων MFA εξαρτώνται εγγενώς από έναν «ευάλωτο» κωδικό πρόσβασης και όλες προσθέτουν σημαντική πολυπλοκότητα και κόστος τόσο στους χρήστες, όσο και στους ίδιους τους διαχειριστές.

Πόσο βαθιά έχουμε προχωρήσει σε έναν κόσμο δίχως password;
Δίχως αμφιβολία, σήμερα, με τον πολλαπλασιασμό των scanners δακτυλικών αποτυπωμάτων και των τεχνολογιών αναγνώρισης εικόνων, έχει βελτιωθεί δραστικά το εύρος κάλυψης ασφάλειας. Παρομοίως, νέα πρότυπα, όπως λ.χ. το Fast Identity Online (FIDO) και το Web Authentication (WebAuthn) γίνονται διαδίδονται ολοένα και περισσότερο, παρέχοντας σε επιχειρήσεις και άτομα τα οφέλη της ευκολότερης, ταχύτερης και ασφαλέστερης πιστοποίησης. Ωστόσο, όταν πρόκειται για εταιρικά περιβάλλοντα, όπου οι απαιτήσεις είναι πιο περίπλοκες και τα λάθη κοστίζουν ακριβά, ο βαθμός υιοθέτησης καθυστερεί και δυσκολεύει.

Οι ομάδες ασφαλείας εξακολουθούν να αγωνίζονται για τη διαχείριση και την επαναφορά κωδικών πρόσβασης, οι εργαζόμενοι συνεχίζουν να μπαίνουν στον πειρασμό να γράψουν και να μοιραστούν password, ενώ οι οργανισμοί εξακολουθούν να βασίζονται σε εξαιρετικά ευάλωτες συνήθειες χρήσης κωδικών πρόσβασης.
Πρόσφατα έχουν κάνει την εμφάνισή τους στο διεθνές στερέωμα ορισμένες καινοτόμες τεχνολογικές λύσεις που επιτρέπουν τον έλεγχο ταυτότητας δίχως την χρήση κωδικού πρόσβασης. Πλέον, οι εταιρικοί διαχειριστές IT μπορούν να εξαλείψουν τις απειλές ασφάλειας που σχετίζονται με το password και να μειώσουν το κόστος τους, με το πρόσθετο πλεονέκτημα να έχουν μια απλούστερη και ταχύτερη λύση για τους υπαλλήλους τους. Μάλιστα, αυτές οι λύσεις έχουν σχεδιαστεί με τέτοιο τρόπο ώστε να καλύψουν τις διαφορετικές ανάγκες ελέγχου ταυτότητας μιας λειτουργικής επιχείρησης. Παρέχουν δε, μια καθολική εμπειρία χρήστη για την πρόσβαση σε όλους τους εταιρικούς πόρους, είτε εντός επιχείρησης ή στο cloud, online και offline!

Αξιοποιούν δε, αλγόριθμους κοινής χρήσης πολλαπλών διαδρομών, που με την σειρά τους εγγυώνται την ασφάλεια, ακόμη και στην περίπτωση κατά την οποία κάποιος εξ’ αυτών υποκλαπεί ή καταγραφεί κατά την διάρκεια της συνολικής διαδρομής που ακολουθεί. Επιπροσθέτως, μπορούν και υλοποιούνται σε κάθε εταιρική υπηρεσία και αντίστοιχα συστήματα, on-premise ή στο cloud, συμπεριλαμβανομένων όλων των εφαρμογών που μπορεί να θεωρούνται (και να είναι) παλαιού τύπου ή ακόμη και ξεπερασμένες. Αρκεί να σημειωθεί πως διασφαλίζουν έλεγχο ταυτότητας χωρίς password σε περιβάλλον λειτουργικού Win και Mac, ακόμη και όταν ένας ηλεκτρονικός υπολογιστής και ο έλεγχος ταυτότητας βρίσκονται εκτός σύνδεσης internet. Είναι διαμορφωμένα με τέτοιο τρόπο ώστε να λειτουργούν σε οποιοδήποτε σενάριο – στο διαδίκτυο και εκτός σύνδεσης, με ή χωρίς smartphone και με την ευρύτερη γκάμα συμβατών ελεγκτών. Οι συγκεκριμένες λύσεις αντικαθιστούν μια και καλή τους παλαιούς κωδικούς πρόσβασης που ελέγχονται από τον χρήστη με έναν υψηλής ασφάλειας, εύκολο στη χρήση και καθολικό μηχανισμό ελέγχου ταυτότητας χωρίς password. Μάλιστα, μόλις οι χρήστες εγγραφούν, δεν χρειάζεται ποτέ ξανά να ανακαλέσουν ή να αλλάξουν εκ νέου τον κωδικό πρόσβασης. Αντ ‘αυτού, αποστέλλεται μια ειδοποίηση ασφαλούς ώθησης στο εγγεγραμμένο smartphone του χρήστη και ζητείται κωδικός PIN ή βιομετρική υπογραφή.

Αυτή η ενσωματωμένη επαλήθευση πολλαπλών παραγόντων, βασιζόμενη σε κάτι που έχουν και σε κάτι που γνωρίζουν οι ίδιοι οι χρήστες, διασφαλίζει ακόμη ισχυρότερη επαλήθευση ταυτότητας από οποιονδήποτε αποθηκευμένο κωδικό πρόσβασης και τυπικές λύσεις Multi-Factor Authentication (MFA).
Κατά την διάρκεια του τελευταίου έτους, με την έλευση της πανδημίας του κορωνοϊού και τον εντυπωσιακό βαθμό διείσδυσης της εξ’ αποστάσεως ή τηλε-εργασίας στο σύγχρονο επιχειρηματικό τοπίο, έχει θέσει στο επίκεντρο του ενδιαφέροντος την πτυχή της ασφάλειας. Πόσο, μάλλον, όταν με την επιλογή της ισχυρής αυθεντικοποίησης και την υιοθέτηση πολιτικών πρόσβασης έναντι των ξεπερασμένων passwords, βελτιώνεται και πολλαπλασιάζεται ο βαθμός ασφαλείας των οργανισμών, δίχως να επηρεάζεται η παραγωγικότητα. Το μέλλον δείχνει (και είναι) passwordless,

αρκεί να βρεθούν περισσότερο διαισθητικοί, όσο και φιλικές προς τον χρήστη διαδικασίες, όπως ισχυρίζονται στελέχη που δραστηριοποιούνται στον εν γένει τομέα της εταιρικής ασφάλειας.
Το MFA μπορεί να βρίσκεται στην αγορά εδώ και αρκετά χρόνια, ωστόσο ο βαθμός αποδοχής και χρήσης του παραμένει σε χαμηλά επίπεδα, κυρίως εξαιτίας του γεγονότος ότι στην πράξη αποδεικνύεται εξαιρετικά δύσχρηστο για τον μέσο χρήστη. Κι αυτό, καθώς προϋποθέτει την γνώση του username, του κωδικού ασφαλείας, καθώς επίσης και ενός ακόμη παράγοντα από μέρους του. Σε αντίθεση με την επιλογή του passwordless «χαρτιού», που υπόσχεται περισσότερο απλοποιημένη διαχείριση περιορίζοντας αισθητά το κόστος και κάνοντας την διαδικασία υιοθέτησης ακόμη πιο ασφαλή, παρέχοντας σαφώς καλύτερη εμπειρία στον χρήστη εν συγκρίσει με την διαδικασία του Multi-Factor Authentication.
«Μονόδρομος» (;) η διαδικασία της passwordless αυθεντικοποίησης;

Σύμφωνα με πρόσφατες προβλέψεις σειράς εταιρειών, μα και οργανισμών που δραστηριοποιούνται με την ΙΤ ασφάλεια, το κυβερνοέγκλημα αναμένεται να στοιχίσει στην παγκόσμια οικονομία περί τα $2,9 εκατομμύρια κάθε λεπτό που περνά κατά τη διάρκεια του τρέχοντος έτους, ενώ περίπου το 80% τέτοιας μορφής επιθέσεων σχετίζονται με τους κωδικούς ασφαλείας. Την ίδια στιγμή εκτιμάται πως η διαδικασία αυθεντικοποίησης που στηρίζεται στην γνώση -λέγε με PIN, password, passphrase, κ.ο.κ.- δεν ανάγεται απλά σε μια… σπαζοκεφαλιά επικών διαστάσεων για τους χρήστες, αλλά αποδεικνύεται και ιδιαίτερα κοστοβόρο σε επίπεδο συντήρησης. Μάλιστα, για τις μεγαλύτερου μεγέθους επιχειρήσεις και οργανισμούς έχει υπολογιστεί πως περίπου το 50% του κόστους που σχετίζεται με το IT help desk αφορούν σε επαναφορά κωδικών ασφαλείας. Την ίδια στιγμή, κατά μέσο όρο υπολογίζεται πως η ετήσια εταιρική δαπάνη ξεπερνά το $1 εκ. απλά και μόνο για την στελέχωσή τους.

Ολοένα και περισσότεροι φορείς στο διεθνές τοπίο της ΙΤ ασφάλειας συντείνουν στην άποψη πως ο δρόμος προς το μέλλον «περνά» από την διαδικασία της passwordless αυθεντικοποίησης. Πόσο, μάλλον, από τη στιγμή κατά την οποία τα στελέχη που είναι επιφορτισμένα με την ΙΤ ασφάλεια και διακρίνονται από μια πιο προωθημένη σκέψη, αναρωτιούνται -πλέον- ανοικτά, εάν όσοι κωδικοί ασφαλείας που έχουν ήδη διαρραγεί καταφέρνουν να επικρατούν του ίδιου του σκοπού του ελέγχου της ταυτότητας, προστατεύοντας «ευαίσθητα» δεδομένα, τότε γιατί να μην εξαλειφθούν; Ήδη, το -άτυπο- «κίνημα» για την κατάργηση των passwords ισχυροποιείται μέρα με την ημέρα, «πυκώνοντας» σε εντυπωσιακό βαθμό τις τάξεις του. Οι ίδιοι υποστηρίζουν πως η passwordless διαδικασία αποτελεί ιδανική λύση τη δεδομένη χρονική στιγμή.

Κατά το παρελθόν, η έμφαση στην πολυπλοκότητα των passwords ενθάρρυναν την επαναχρησιμοποίηση διαπιστευτηρίων και αύξησε το συνολικό κόστος ιδιοκτησίας (TCO) που σχετίζεται με την επαναφορά κωδικών πρόσβασης και τις κλήσεις Helpdesk δίχως να βελτιώνεται η συνολική ασφάλεια. Σε γενικές γραμμές, οποιοσδήποτε δυαδικός έλεγχος ταυτότητας, όπως λ.χ. οι κωδικοί πρόσβασης, ο έλεγχος της ταυτότητας δύο παραγόντων (2FA), αλλά και ο έλεγχος ταυτότητας πολλών παραγόντων (MFA), συμπεριλαμβανομένων των βιομετρικών στοιχείων, είναι ευάλωτοι απέναντι στην απάτη, εξαιτίας της δυαδικής τους φύσης. Για αυτό και σταδιακά οι επιχειρήσεις και οι oργανισμοί πρέπει να αφήσουν στο παρελθόν τους κωδικούς πρόσβασης, υιοθετώντας λύσεις δίχως password, οι οποίες και δεν απειλούν τον έλεγχο ταυτότητας ως ένα μοναδικό συμβάν με ένα απλό «ναι» ή «όχι» στο σημείο εισόδου, αλλά ως συνέχεια όπου η καλή συμπεριφορά των χρηστών επαληθεύεται διαρκώς.