Mocne i słabe metody logowania do aplikacji służbowych

Dostęp do danych służbowych wymaga uwierzytelnienia użytkownika. Najbardziej znanym sposobem jest hasło. Jest to również najbardziej ryzykowana metoda ochrony tożsamości i dostępu. Jeśli Twoja firma nadal używa wyłącznie hasła w kontroli dostępu do poczty firmowej i innych aplikacji służbowych w chmurze, to prawdopodobieństwo naruszenia zabezpieczeń jest bardzo wysokie.

Od lat Microsoft 365 oferuje bezpłatnie MFA, czyli Multi-Factor Authentication – po polsku uwierzytelnianie wieloskładnikowe. Jest to metoda zabezpieczenia dostępu do konta, która wymaga od użytkownika podania więcej niż jednego rodzaju danych w celu potwierdzenia swojej tożsamości. Po podaniu hasła należy dodatkowo zatwierdzić logowanie np. przez naciśnięcie powiadomienia w aplikacji mobilnej.

To obecnie jedna z najskuteczniejszych metod ochrony tożsamości i dostępu w usługach chmurowych. Atakujący musieliby przechwycić zarówno hasło użytkownika, jak i posiadać jego urządzenie mobilne, co stanowi znacznie większe wyzwanie niż tylko złamanie jednego z tych zabezpieczeń.

Dla firm korzystających z hasła przejście na MFA to wielki krok w dobrym i jedynie słusznym kierunku.

Ryzyko dla metod zatwierdzania

Metody ataków ciągle się zmieniają. Infrastruktura telekomunikacyjna, od której zależy zatwierdzenie powiadomienia nie jest odporna na nadużycia. Stosunkowo łatwo można podszyć się pod numer telefonu lub sfałszować wiadomość SMS. Dlatego nie każda metoda zatwierdzania logowania jest tak samo bezpieczna.

Od niedawna Microsoft 365 oferuje podczas logowania wymuszenie określonego zestawu metod, zamiast wymagać jakiejkolwiek, którą użytkownik zarejestrował. Przy okazji można zapoznać się z rankingiem metod od tych uznanych za odporne na ataki wyłudzające informacje do tych, których nie powinno się już używać. A przynajmniej bez specjalnego uzasadnienia i obwarowania innymi parametrami. Hasło jest na samym dole. Można powiedzieć, że poza kategorią.

W odpowiedzi na zagrożenia dotyczące wyłudzania informacji (MFA phishing), od 8-go maja 2023 Microsoft włącza dla całej platformy Microsoft 365 specjalny sposób zatwierdzania logowania w aplikacji Microsoft Authenticator. Pisaliśmy o tym już ponad rok temu. Jak widać wdrożenie zostało znacznie przesunięte. Zatwierdzenie w aplikacji wymagać będzie przepisania numeru z ekranu logowania. Nie widząc numeru, nie zatwierdzimy logowania. Numer logowania i numer wprowadzony w aplikacji muszą być zgodne. Stąd nazwa metody – Number Matching – zatwierdzanie ze zgodnością numerów.

Jeśli nie włączyliśmy tej metody dotychczas, od 8-go maja 2023 Microsoft włączy ją automatycznie dla całej platformy.

Jednocześnie Klientów czeka jeszcze jedna operacja. Chodzi o migrację z dotychczasowych metod uwierzytelniania wykorzystywanych w MFA i SSPR (samodzielny reset hasła) do nowych zasad zarządzających tymi metodami. Wszyscy Klienci M365 mają na to czas do 30-go września 2024 roku. Pozostało sporo czasu, jednak lepiej nie czekać aż Microsoft zrobi to za nas.

Wniosek jest jeden: bezpieczeństwo wymaga zarządzania i tzw. end-state, czyli stan końcowy nie istnieje.