MFA a phishing. Dlaczego YubiKey jest lepsze niż klasyczne MFA

W dobie stale rosnącej liczby ataków phishingowych, coraz bardziej wyrafinowanych metod kradzieży tożsamości oraz nowych regulacji takich jak NIS2, pytanie nie brzmi już czy warto inwestować w MFA, ale raczej czy moja organizacja może sobie pozwolić, żeby wciąż opierać się na przestarzałych metodach uwierzytelniania? 

W tej rozmowie z Marcinem Majchrzakiem, Dyrektorem Sprzedaży Yubico w Polsce i Europie Wschodniej, rozkładamy temat na czynniki pierwsze. Rozmawiamy o mitach MFA, o tym, dlaczego nie wszystkie metody uwierzytelniania wieloskładnikowego są sobie równe i jak wdrożenie YubiKey może pomóc nie tylko spełnić wymogi regulacyjne, ale przede wszystkim zbudować realną cyberodporność w firmie. 

Od jak dawna zajmujesz się ochroną tożsamości? 

Nie jestem w tej branży od wczoraj. Od ponad dekady pracuję w obszarze cyberbezpieczeństwa, a moja specjalizacja to ochrona tożsamości. Zaczynałem w Wielkiej Brytanii, w firmie rekrutacyjnej, ale szybko trafiłem do startupu zajmującego się zarządzaniem dostępem uprzywilejowanym. Tak naprawdę od początku byłem blisko tematu ochrony kont krytycznych, a to naturalnie doprowadziło mnie do Yubico i rozwiązań, które dzisiaj rozwijam w Polsce i w Europie Środkowo-Wschodniej. 

Od trzech lat pracuję w Yubico. Odpowiadam za działania sprzedażowe, ale równie ważna – jeśli nie ważniejsza – jest dla mnie edukacja. Uświadamianie firmom, że tożsamość użytkownika to dziś najsłabsze ogniwo, a jednocześnie pierwszy punkt wejścia dla każdego ataku. Jeśli chcemy mówić o prawdziwym bezpieczeństwie, musimy zacząć od tego, jak użytkownik się loguje. 

Zacznijmy zatem od kontrowersji. Co jest nie tak z klasycznym MFA? 

Przeciętny menedżer IT może odetchnąć z ulgą, jeśli jego firma ma wdrożone MFA, czyli uwierzytelnianie wieloskładnikowe. Ale to często złudne poczucie bezpieczeństwa. Większość popularnych metod uwierzytelniania wieloskładnikowego to rozwiązania kompromisowe, które przestępcy bez większego problemu obchodzą. 

Hakerzy już się nie włamują – oni się po prostu logują. Korzystają z socjotechniki, podszywają się pod systemy logowania, tworzą kopie stron nie do odróżnienia i po prostu proszą użytkownika, żeby sam poda swoje dane. I najczęściej dostają je bez oporu. 

Największym problemem w klasycznych metodach MFA – takich jak hasło + SMS, hasło + aplikacja mobilna czy nawet push – jest czynnik ludzki. Użytkownik musi odróżnić prawdziwą stronę logowania od fałszywej. Musi rozpoznać, że coś jest nie tak. A cyberprzestępcy wykorzystują każdą nieuwagę – i każdy mechanizm, który da się oszukać. 

Na GitHubie są darmowe narzędzia, które pozwalają zbudować atak phishingowy w kilka minut. Można kupić subskrypcję gotowego zestawu, który podstawia fałszywą stronę logowania i przechwytuje jednorazowe kody – wszystko działa niemal automatycznie. To nie jest już domena elitarnego hakera. To usługa, z której korzystają nawet mało zaawansowani przestępcy. 

Dlatego nawet jeśli firma korzysta z MFA, może być kompletnie bezbronna wobec celowanego ataku. 

MFA a phishing. Jak się w takim razie chronić?

Właśnie dlatego rozwijamy technologie oparte na FIDO2 i kartach inteligentnych. Chodzi o to, żeby całkowicie wyeliminować możliwość podszycia się pod stronę logowania. Żeby nie trzeba było ufać, że użytkownik się nie pomyli, nie kliknie w zły link albo nie zauważy subtelnej różnicy w domenie. 

W FIDO2 cały proces opiera się na kryptografii asymetrycznej. Klucz prywatny generowany jest lokalnie – na kluczu YubiKey – i nigdy nie opuszcza urządzenia. Serwer zna tylko klucz publiczny. Jeśli próbujesz się zalogować, przeglądarka i system sprawdzają, czy wszystko się zgadza: adres strony, certyfikat, struktura zapytania. Jeśli tak – proces logowania przechodzi. Jeśli coś się nie zgadza – nic się nie wydarzy. Użytkownik nawet nie będzie mógł podjąć decyzji. 

To ogromna różnica. Użytkownik nie musi już niczego weryfikować. Nie musi się znać, nie musi być czujny. Całą odpowiedzialność przejmuje protokół. I właśnie to sprawia, że mówimy o pełnej odporności na phishing. Bo nawet jeśli ktoś zna Twoje hasło – bez fizycznego klucza nic nie zrobi. 

A jeżeli do tego dodamy scenariusze passwordless, gdzie nie ma już żadnych haseł, tylko klucz sprzętowy i PIN – wtedy nawet nie ma czego wyłudzać. Nawet nie ma hasła do przechwycenia. I to jest kierunek, w którym powinniśmy iść jako organizacje – niezależnie od wielkości czy branży.

Yubico pracuje z firmami z pierwszych stron gazet. Mówi się, że to technologia wykorzystywana przez 19 na 20 big techów. Czy mniejszym organizacjom również możecie pomóc? 

Jak najbardziej. Choć YubiKey używają takie firmy jak Google, Amazon czy agencje rządowe, to nasze rozwiązanie zostało zaprojektowane tak, by było dostępne dla każdego – od prywatnego użytkownika po wielką korporację. I to nie jest tylko teoria. Mamy klientów, którzy zaczynali od pięciu kluczy dla administratorów, a dziś zarządzają dziesiątkami tysięcy urządzeń w całym łańcuchu dostaw. 

W małej firmie YubiKey może pełnić funkcję prostego, ale bardzo skutecznego zabezpieczenia logowania do konta Google, Microsoft czy systemów finansowych. W średniej firmie – możemy wdrożyć centralne zarządzanie i obsługę loginów do wielu aplikacji. W dużych organizacjach często zaczynamy od użytkowników uprzywilejowanych, czyli administratorów, działu finansów, członków zarządu – a potem przechodzimy na kolejne działy, aż obejmujemy całą strukturę. 

To, co warto podkreślić: klucze sprzętowe są rozwiązaniem wyjątkowo skalowalnym. I jeśli tylko organizacja ma partnera, który wie, jak takie wdrożenie zaplanować – możemy bez problemu przejść od testu w jednym dziale do pełnego rolloutu na całą firmę, a nawet na podwykonawców i partnerów zewnętrznych. To właśnie dzieje się dziś w praktyce. 

Sprawdź case study na stronie yubico.com

Skoro o rolloucie mowa… jak wygląda wdrożenie YubiKey w praktyce? 

Z mojego punktu widzenia najważniejsze w projekcie wdrożeniowym jest to, żeby zacząć mądrze – od ludzi, którzy mają największy wpływ na bezpieczeństwo. Administratorzy, osoby odpowiedzialne za dostęp do infrastruktury, zarząd. Ich konta są najczęściej na celowniku, bo pozwalają na dostęp do krytycznych danych i systemów. Wdrożenie MFA odpornego na phishing powinno zacząć się właśnie tam. 

Później możemy iść szerzej – do zespołów finansowych, prawnych, handlowych, do działów operacyjnych. A na końcu objąć cały łańcuch dostaw. Bo pamiętajmy: najczęściej atak zaczyna się nie od nas, tylko od partnera, który jest słabszym ogniwem. YubiKey doskonale sprawdza się w roli klucza współdzielonego z zewnętrznymi partnerami – daje ten sam poziom ochrony, niezależnie od miejsca logowania. 

Całość wdrożenia może być zrealizowana etapowo i elastycznie. W wielu organizacjach zaczynamy od pilota, testujemy rozwiązanie w jednej jednostce, sprawdzamy zgodność z infrastrukturą, analizujemy reakcje użytkowników. Kiedy widzimy, że działa – dopiero wtedy skalujemy. To podejście pozwala zachować kontrolę i unikać niepotrzebnych napięć. 

Oczywiście samo wdrożenie YubiKey to tylko część pracy. Równie ważne – a może ważniejsze – jest to, jak zaplanować ten proces, żeby miał sens strategiczny. Właśnie dlatego tak istotna jest współpraca z partnerem, który zna temat od podszewki.

Grandmetric to firma, która nie tylko rozumie technologię, ale też potrafi spojrzeć na potrzeby organizacji szerzej: przez pryzmat architektury IT, procesów, integracji.  Bo o to w tym wszystkim chodzi. Nie o to, żeby mieć ładne pudełko z logo Yubico. Tylko o to, żeby mieć realną ochronę przed tym, co najgroźniejsze. 

A co z użytkownikami, którzy nie mają smartfonów? Jak możemy ich ochronić w starciu MFA a phishing? 

To pytanie pojawia się bardzo często. Nie każdy pracownik ma służbowy telefon, a nawet jeśli ma – to nie zawsze może korzystać z aplikacji MFA. Dotyczy to np. pracowników produkcji, osób pracujących w przestrzeniach chronionych, personelu medycznego, kierowców, przedstawicieli terenowych. Dla nich rozwiązania mobilne są po prostu niewygodne lub niemożliwe do zastosowania. 

YubiKey rozwiązuje ten problem w elegancki sposób. To fizyczne urządzenie, które można przypiąć do kluczy, nosić w kieszeni, podłączyć do komputera lub telefonu. Nie wymaga ładowania, nie trzeba go aktualizować. Działa zawsze i wszędzie – niezależnie od systemu operacyjnego. Dla użytkownika końcowego to ogromne ułatwienie. Dla działu IT – mniej problemów i mniej zgłoszeń. 

A działy IT będą i tak zajęte wprowadzaniem nowych środków cyberbezpieczestwa, choćby związanych z dyrektywą NIS2… 

Nowe regulacje, takie jak dyrektywa NIS2 czy ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), stawiają konkretne wymagania przed organizacjami. Jednym z nich jest zapewnienie mechanizmów uwierzytelniania silnego – w tym odpornego na phishing. W starciu MFA a phishing to oznacza, że nie wystarczy już hasło z SMS-em. Potrzebujemy rozwiązania, które gwarantuje nienaruszalność procesu logowania. 

YubiKey idealnie wpisuje się w wymagania dyrektywy NIS2. Po pierwsze – korzysta z uznanych międzynarodowych standardów (FIDO2, PIV). Po drugie – nie przechowuje żadnych danych w chmurze, więc nie naruszamy zasad suwerenności danych. Po trzecie – umożliwia wdrożenie zarówno w środowiskach chmurowych, jak i on-prem. 

Mamy coraz więcej przypadków, w których klienci kontaktują się z nami właśnie dlatego, że audyt bezpieczeństwa wykazał potrzebę wzmocnienia MFA. Albo dlatego, że regulator wprost zażądał zgodności z NIS2. To nie jest już temat przyszłości – to dzieje się teraz. I dobrze, że tak się dzieje, bo wymusza zmianę myślenia.