Zneužití hesla je jedním z nejčastějších vektorů kybernetických útoků. Cesta k passwordless ověření konečně jednou pro vždy vyčistí monitory zaměstnanců od nalepených papírků s jejich přístupovými údaji.

Kdo z nás by nevyužil pohodlnosti technologií jako je Apple Touch ID, Face ID a Windows Hello, které nám více než stokrát denně odemknou naše chytrá zařízení? Ani ve firmách není tento způsob práce nedosažitelný – čtečky otisků prstů a karet a mobilní ověřovací aplikace mohou poskytovat přístupy bez zadání hesla.

Pro VMware je passwordless přístup jedním ze základním stavebních kamenů konceptu Zero Trust. Tento krok může být komplikovaný a pro některé firmy i příliš velkým soustem na to, aby ho byly schopné udělat najednou. Jak tedy postupovat?

Začít můžeme jednoduše implementací řešení pro správu identity a přístupu. Tento systém umožní integrovat všechny aplikace, které firma používá, do jednoho unifikovaného portálu a nabídne do všech jednotný přístup (SSO). Z pohledu bezpečnosti je potom ideálním krokem k passwordless přístupu implementace vícefaktorového přihlašování.

Otázkou může být, jak se dostat do bodu nasazení ověřování bez hesla. Standardy zabezpečení, jako je FIDO2.0/WebAuthn a mobilní ověřovací aplikace, které podporují biometrické ověřování, jsou tou správnou volbou k nasazení ověřování bez hesla v celé firmě.

Integrovaná řešení jednotného přihlašování (SSO) a adaptivního vícefaktorového ověřování umožní zohlednit při přihlášení i případná rizika odvozená z kontextu (jak se zaměstnanec chová, v jakém stavu má zařízení nebo odkud se zrovna snaží připojit) do rozhodnutí o udělení přístupu k aplikacím.

Je tak možné například rozhodnout se povolit přihlášení bez hesla pouze pro přihlášení s nízkým rizikem. A pro vysoce rizikové přihlášení je možné vyžadovat jeden nebo více silných faktorů ověřování. Jak správně postupovat?

1. Integrované vícefaktorové přihlašování

Mobilní aplikace VMware Workspace ONE Intelligent Hub je centrem produktivity a bezpečnosti na libovolném zařízení. Dává smysl mít v ní integrovaný vícefaktorový softwarový token – Workspace ONE Verify. Tento integrovaný přístup má mnoho výhod:

• Je nasazována a spravuje se jen jedna aplikace
• Více faktorový token má snadný onboarding pro zaměstnance – pokud mám zařízení zaregistrované ve Workspace ONE, mám automaticky MFA token na zařízení
• Je možné jednoduše vynutit biometrické potvrzení použití tokenu
• K registraci zařízení pro MFA není potřeba žádné telefonní číslo
• Rychlejší umožnění bezpečné práce na dálku

Více faktorové ověřování je typicky kombinací znalosti a vlastnictví – příkladem může být přihlášení heslem a jednorázovým SMS kódem.

Existuje však ještě další faktor – implicitní. Jedná se o faktory, které nemusí být nutně prezentovány koncovým uživatelům, ale jsou zváženy před rozhodnutím o přístupu. Pokud například přihlášení přichází z nového zařízení i z nového umístění, budete pravděpodobně chtít mít silnější typ faktoru pro ověřování. Pokud však přihlášení přichází ze známého zařízení a známé sítě, může být přijatelný jediný, nízký nebo střední faktor síly.

2. Analýza rizik

Pomocí VMware Workspace ONE Intelligence je možné vyhodnotit implicitní (pro zaměstnance skryté) faktory přihlášení a posoudit riziko ať už daného zařízení nebo zaměstnance přes všechny jeho přiřazená zařízení.

Pokud je přihlášení vyhodnoceno jako rizikové, může být vyžadována druhá forma zvýšené autentizace nebo může být přístup odepřen.

Do analýzy rizik mohou vstupovat i bezpečnostní řešení typu next-gen anti-malware nebo EDR. Tato řešení obohatí „statické“ infor­ma­ce, které ze zařízení sbírá software pro správu koncových zařízení (Workspace ONE UEM), o „dynamické“ informace v reálném čase o stavu zařízení jako je například možná kompromitace zařízení kyber­ne­tic­kým útokem. Součástí integrované platformy VMware je řešení Carbon Black, ale díky otevřenosti a flexibilitě je možné do analýzy rizik zapojit i existující NGAV/EDR řešení, které firma využívá.

3. Aplikace passwordless přístupu: FIDO2.0 / WebAuthn

Podpora FIDO2 (WebAuthn/CTAP2) umožňuje použití authenticatorů, jako jsou YubiKey, Apple Touch ID / Face ID nebo Windows Hello, k bezpečné a pohodlné autentizaci.

Existují tři klíčové výhody při používání FIDO2 jako metody ověřování:

• Zabezpečení: Ověřovatelé FIDO2 ukládají samostatné šifrované přihlašovací údaje pro každý účet, ke kterému je klíč přidružený. To výrazně snižuje riziko úspěchu phishingu, krádeže hesla a opětovného přehrání.
• Snadné použití: Uživatelé jsou vyzváni k ověření jedním klik­nu­tím, které je stejné, ať už používají ověřovatele platformy (Touch ID, Windows Hello) nebo externí authenticator (YubiKey atd.). Nastavení a konfigurace pro správce je také jednoduchá a snadná, protože existují jen tři kroky, jak zprovoznit Workspace ONE tak, aby podporoval FIDO2.
• Flexibilita: FIDO2 je nejen bezpečný a snadno použitelný, ale je také neuvěřitelně flexibilní. Zaměstnancům lze umožnit ověřování pomocí jednoduchých vestavěných metod, jako je Apple Touch ID, Face ID nebo Windows Hello, nebo snadno použitelných bezpečnostních klíčů FIDO2, jako je např. YubiKey.

Co je možné s VMware?

VMware dnes nabízí celé řešení jako jednu ucelenou platformu VMware Anywhere Workspace. Více technických detailů o celé platformě je k dispozici na portále VMware TechZone.

Díky tomu, že VMware Workspace ONE je cloudové řešení, tak je možné si všechny funkce i velice rychle, jednoduše a bez velkých finančních nebo časových investic zdarma vyzkoušet.