Munca hibrida este noua realitate la care multe organizatii trebuie sa se adapteze. Angajatii isi doresc sa continue sa isi desfasoare activitatea si de acasa, nu numai de la biroul fizic. Pentru organizatii acest lucru inseamna, pe langa mentinerea infrastructurii complexe si eterogene creata in timpul pandemiei, acordarea accesului la fisiere si aplicatii pentru dispozitive personale pentru care nu exista o politica de securitate bine definita. Parolele slabe si atacurile de tipul phishing sau “password spraying” reprezinta unii dintre cei mai folositi vectori de atac. Hackerii lanseaza in medie un numar de 50 de milioane de atacuri de parole in fiecare zi, iar volumul de emailuri de phishing este la un maxim istoric.
Din fericire autentificarea fara parola este aici. Dispozitivele care folosesc Windows 11 pot proteja inca din prima zi identitatea utilizatorului prin eliminarea necesitatii de a folosi o parola. Prin Windows Hello si Windows Hello for Business se poate adopta o autentificare multi factor si passwordless, reducand semnificativ gradul de frictiune al utilizatorului si riscul de compromitere a credentialelor.
Parola este un element de securitate digitala de care accesul la conturile noastre depinde de (prea) multi ani. Parola reprezinta o tinta principala pentru atactori care, pe langa atacuri de tip brute-force si “rainbow table”, folosesc si tehnici de inginerie sociala sau unelte OSINT pentru a gasi parola utilizatorului si apoi pentru a accesa conturile acestuia. Si cum gradul de “password reuse” este unul extrem de ridicat, riscurile la care ne supunem sunt imense.
Prin autentificarea passwordless, utilizatorii pot sa renunte la parola contului Microsoft si sa foloseasca Windows Hello, aplicatia Microsoft Authenticator, o cheie fizica de securitate sau un cod trimis pe email sau sms pentru accesarea securitzata a aplicatiilor si a serviciilor cloud. Sysadmin-ii pot configura out-of-the-box dispozitivele Windows 11 cu autentificare passwordless pentru a profita de avantajele tehnologiei Windows Hello in complianta cu standardele Fast Identity Online (FIDO).
Windows Hello si Windows Hello for Business inlocuiesc autentificarile bazate pe parole cu o schema de autentificare mai puternica pentru ca utilizatorul sa logheaza pe dispozitiv folosind un cod PIN sau un parametru de biometrie:
- Windows Hello poate fi folosit pentru contul Microsoft personal pentru acces la email si OneDrive.
- Windows Hello for business poate fi folosit pentru contul Azure Active Directory pentru acces la resursele Corporate.
Autentificarea cu Windows Hello este valabila numai pe dispozitivul pe care a fost inregistrata si nu poate fi folosita pe un alt dispozitiv, eliminand astfel atacurile de phishing pentru parole.
Folosind chei asimetrice stocate in TPM (Trusted Platform Module), Windows Hello protejeaza autentificarea utilizatorului prin asocierea credentialelor de dispozitiv. Autentificarea Windows Hello valideaza identitatea pe baza pinului utilizatorului sau a datelor biometrice ale acestuia si doar in cazul unei potriviri va debloca cheile asimetrice asociate cu acel utilizator in TPM. Datorita faptului ca aceste date nu parasesc dispozitivul niciodata si nici nu sunt colectate de serverele Microsoft, ele nu pot fi folosit de nicio persoana care nu are acces fizic la dispozitiv, iar acesta este protejat in fata atacurilor de phising, spoofing, scurgeri de parole, refolosirea aceleiasi parole pentru mai multe conturi si alte atacuri similare.
Windows Hello for Business permite administratorilor IT sa seteze politici de access specifice organizatiei pentru a spori si mai mult securitatea prin dezactivarea PIN-ului pentru utilizatorii business si activarea autentificarii MFA folosind Microsoft Authenticator in vederea oferirii unei experiente single sign-in si prin crearea listelor de acces conditionale care ofera acces doar la anumite zone din retea sau la anumite resurse.
Dispozitivele Windows care dispun de hardware de biometrie precum un senzor de amprenta sau camere de recunoastere faciala se integreaza direct cu Windows Hello, oferind acces la resurse si la serviciile Microsoft. Login-ul cu Windows Hello este deosebit de sigur intrucat se folosesc componente hardware si software securizate ca VBS si TPM care izoleaza datele si procesul de autentificare, precum si calea de comunicare a acestora. Astfel, autentificarea este rezistenta in fata atacurilor de replay, tampering si biometric sample injection. Scanerele de amprenta trebuie sa suporte protocolul Secure Device Conenction Protocol care foloseste o secventa de negociere de key de criptare si un certificat eliberat de Microsoft pentru a proteja si stoca datele de autentificare ale utilizatorului, iar pentru recunoasterea faciala sunt folosite tabela de Secure Devices (SDEV) si o tehnologie de virtualizare cunoscuta ca IUM (Isolated User Module).
Venerabila parola si-a indeplinit de-a lungul timpului menirea de a ne tine siguri in lumea online, insa nu mai poate face fata tehnologiilor moderne de atac. Ii recunoastem meritele si ii multumim pentru serviciul adus. Este timpul sa ne indreptam spre viitor. Cu Windows 11 avem la dispozitie toate unelte necesare pentru a inlatura dependenta de parole si sa intarim postura de securitate proprie si a organizatiei, cu minim de efort si complexitate. Un specialist Dendrio te poate ajuta sa integrezi in compania ta, cele mai nou tehnologii. Completeaza formularul de mai jos si te vom contacta rapid.
Mihai Dumitrascu, Sr Systems Engineer
