Passwordless – realna szansa czy pieśń przyszłości ?

Home / Aktualności / Passwordless – realna szansa czy pieśń przyszłości ?

Hasła to metoda zabezpieczenia dostępu do informacji używana od dziesięcioleci w IT, a od zarania dziejów w ogóle. Dzieje się tak, ponieważ dostęp do systemów musi być ograniczony tylko do upoważnionych użytkowników, a poleganie na czymś, co użytkownik wie, jest skutecznym sposobem na powstrzymanie intruzów. Jednak z wielu powodów same hasła nie są już zbyt skuteczne i stwarzają wiele problemów dla użytkowników i organizacji. Często łatwo je odgadnąć. Można je ukraść. Są trudne do zapamiętania przez użytkowników, zwłaszcza gdy mają oni wiele haseł do różnych systemów.


Pod wieloma względami nie jest to problem technologiczny – to ludzki problem. Wiele wyzwań związanych z hasłami można przypisać naturze ludzkiej. Niektóre z tych wyzwań można rozwiązać, wprowadzając proste zmiany w polityce. Są to takie:

  • Brak możliwości ponownego używania haseł. – Zapobiega to umożliwieniu osobie atakującej dostępu do wielu systemów i zasobów firmowych za pomocą jednego skradzionego hasła.
  • Wymagania dotyczące stopnia skomplikowania. – Wymaganie od użytkowników stosowania złożonych haseł, których nie można łatwo odgadnąć, zwiększa trudności oraz wydłuża czas, który atakujący musi poświęcić na jego złamanie przy próbie włamania się do systemu.

Niestety użytkownicy nagminnie używają najprostszych haseł (123456, qwert etc.) i/lub jednego hasła do wielu systemów. Głównym powodem tego jest trudność zapamiętania dziesiątek haseł do wielu witryn. W związku z tym możemy teraz zaobserwować rosnącą tendencję do znajdowania najłatwiejszych kombinacji, które nie będą wymagać od nich zapamiętywania czegokolwiek. (Nie wspominając już o tym, że proste metody uwierzytelniania, które wymagają tylko kombinacji nazwy użytkownika i hasła, są z natury najbardziej podatne na ataki.)


Atakujący mogą odgadnąć lub ukraść dane uwierzytelniające i tym samym uzyskać dostęp do poufnych informacji i systemów informatycznych przy użyciu różnych technik, w tym:

  • Brute-force – używanie programów do generowania losowych kombinacji nazwy użytkownika/hasła lub wykorzystywania typowych słabych haseł, takich jak 123456.
  • Credentials Stuffing – używanie skradzionych lub wyciekłych danych uwierzytelniających z jednego konta w celu uzyskania dostępu do innych kont (ludzie często używają tej samej kombinacji nazwy użytkownika i hasła dla wielu kont).
  • Phishing – używanie fałszywych e-maili lub wiadomości tekstowych w celu nakłonienia ofiary do udzielenia odpowiedzi, podając jej dane uwierzytelniające.
  • Keylogging – instalowanie złośliwego oprogramowania na komputerze w celu przechwytywania naciśnięć klawiszy związanych z nazwą użytkownika/hasłem.
  • Ataki typu man-in-the-middle – przechwytywanie strumieni komunikacyjnych (na przykład przez publiczne Wi-Fi) i odtwarzanie poświadczeń.


Aby temu zaradzić wprowadzono 2-Factor Authentication oraz bardziej zaawansowane Multi-Factor Authentication, które zmusza użytkowników do wprowadzenia lub wyświetlenia prawidłowej wstępnie ustawionej identyfikacji w celu pomyślnego dostępu. Możesz polegać na 2 (2FA) lub 3  (MFA) z poniższych:

  • Coś, co wiesz: hasło lub kod PIN.
  • Coś, co masz: telefon komórkowy lub token bezpieczeństwa.
  • Coś, czym jesteś: odcisk palca lub FaceID.
  • Coś, co robisz: prędkość pisania, informacje o lokalizacji itp.


Niestety pomimo wysokiego poziomu zabezpieczeń typu MFA, znacznie utrudniają one pracę swoim użytkownikom. Niezaprzeczalnie ciągłe ich utrzymywanie skutkuje utratą efektywności operacyjnej w firmach (gdzie ma ona kluczowa znaczenie). Co więcej, 2FA i MFA nadal wymagają od użytkowników zapamiętania haseł. W związku z tym nie rozwiązują problemu, w którym użytkownicy nie chcą już zapamiętywać i zbytnio nimi manipulować.


Tutaj przydaje się uwierzytelnianie bez hasła.


Bezhasłowe uwierzytelnianie zwiększa bezpieczeństwo, eliminując ryzykowne praktyki zarządzania hasłami i ograniczając płaszczyznę ataku. Poprawia również user experience, eliminując konieczność zapamiętywania dziesiątek haseł bądź miejsc ich przechowywania. Dzięki uwierzytelnianiu bez hasła eliminujemy hasła oraz zabezpieczające odpowedzi które również musiały być zapamiętywane. Użytkownicy mogą wygodnie i bezpiecznie uzyskiwać dostęp do aplikacji i usług przy użyciu innych metod uwierzytelniania, takich jak:

  • Identyfikatory zbliżeniowe, fizyczne tokeny lub urządzenia USB (klucze zgodne z FIDO2).
  • Tokeny lub certyfikaty oprogramowania.
  • Skanowanie linii papilarnych, rozpoznawanie głosu lub twarzy albo skanowanie siatkówki.
  • Aplikacja na telefon komórkowy.


Uwierzytelnianie bez hasła jest najczęściej implementowane w połączeniu z oprogramowaniem typu SSO – Single Sign On, więc pracownik może korzystać z tego samego identyfikatora zbliżeniowego, tokenu lub aplikacji mobilnej, aby uzyskać dostęp do wszystkich swoich firmowych aplikacji i usług. Uwierzytelnianie bez hasła jest również często używane jako część rozwiązania Multi-Factor Authentication, w którym użytkownicy są zmuszeni do uwierzytelnienia bezhasłowego, aby uzyskać dostęp do aplikacji i systemów przedsiębiorstwa. Na przykład, aby uzyskać dostęp do aplikacji na telefon komórkowy, zdalny użytkownik może być poproszony o dotknięcie czujnika odcisków palców i wprowadzenie jednorazowego, krótkotrwałego kodu SMS wysłanego na jego telefon.


Korzyści z uwierzytelniania bez hasła


Uwierzytelnianie bez hasła zapewnia szereg korzyści funkcjonalnych i biznesowych. Pomaga organizacjom:

  • Poprawić wrażenia użytkowników – eliminując zmęczenie hasłami i sekretami oraz zapewniając jednolity dostęp do wszystkich aplikacji i usług.
  • Wzmocnić bezpieczeństwo – eliminując ryzykowne techniki zarządzania hasłami i ograniczając kradzież poświadczeń oraz możliwość podszywania się.
  • Uprość operacje IT – eliminując konieczność wydawania, zabezpieczania, obracania, resetowania i zarządzania hasłami.

Jednak nie ma róży bez kolców – bezhasłowe uwierzytalnianie ma swoje wady, które sprawiają że wciąż jest stosunkowo rzadkim rozwiązaniem. Główne minusy rozwiązania to:

  • Rozwiązania bez hasła polegają na hasłach jako rozwiązaniach awaryjnych – mimo, że  stosowanie haseł nie jest „frontem” – nie da się bez nich obejść.
  • Poświadczenia są zwykle nadal wymagane do uwierzytelnienia systemu na pewnym etapie łańcucha bezpieczeństwa – na przykład jako rozwiązanie alternatywne.
  • Ze względu na stopień komplikacji wdrożenia są nieporównywalnie droższe od „starych, dobrych” rozwiązań hasłowych


Biorąc pod uwagę powyższe – nie możemy jeszcze mówić o w pełni bezhasłowej autentykacji i ochronie informacji. Rozwiązania typu MFA zapewniają bogaty wachlarz możliwości autentykacyjnych, jednak hasło jest zawsze obecne na którymś z etapów. Taka sytuacja sprawia, że wiele organizacji pozostaje przy sprawdzonych metodach hasłowych – skupiając się na odpowiedniej polityce haseł i edukacji użytkowników (co zawsze jest dobrym pomysłem).


Naszym zdaniem autentykacja bezhasłowa to jeszcze pieśń przyszłości, tak jak w pełni inteligentne AI. Niemniej już teraz rekomendujemy wdrożenie rozwiązania 2FA lub MFA – w dobie cyfrowych klejnotów koronnych każda warstwa walidacji dostępu jest na wagę złota!


Polecamy również lekturę artykułu Poznaj 5 kroków do efektywnej ochrony danych


Powiązane artykuły

STINET 2021. Jakie będą trendy bezpieczeństwa IT
3 sposoby na to, aby nie zostać ofiarą socjotechniki
Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji