Sophos. Ενισχύοντας τη διαδικασία ελέγχου ταυτότητας με κλειδιά πρόσβασης (passkeys)

Για δεκαετίες, οι κωδικοί πρόσβασης (passwords) αποτελούσαν την τυπική μέθοδο προστασίας της πρόσβασης σε συστήματα και λογαριασμούς. Παρόλα αυτά, οι κωδικοί πρόσβασης μπορούν να παραβιαστούν ή να κλαπούν με διάφορες τακτικές όπως είναι οι επιθέσεις ωμής βίας (brute-force), οι επιθέσεις ηλεκτρονικού ψαρέματος και το κακόβουλο λογισμικό υποκλοπής πληροφοριών (infostealer). Η μετάβαση στον έλεγχο ταυτότητας πολλαπλών παραγόντων (Multi-Factor Authentication, MFA) προσέθεσε ένα επιπλέον επίπεδο ασφάλειας, απαιτώντας πρόσθετη πιστοποίηση για την επαλήθευση της ταυτότητας του χρήστη -έναν συνδυασμό από κάτι που γνωρίζετε, κάτι που κατέχετε ή (στην περίπτωση της βιομετρίας) κάτι που είστε.

Παρόλο που το MFA είναι ισχυρότερο από τους απλούς κωδικούς πρόσβασης, οι κυβερνοεγκληματίες και φορείς απειλών έχουν ανακαλύψει τρόπους παράκαμψής του, συμπεριλαμβανομένων των επιθέσεων ενδιάμεσου αντιπάλου (Adversary-in-the-Middle ή AiTM), της κατάληψης συνεδρίας (session hijacking), της κόπωσης MFA (MFA fatigue) και της κοινωνικής μηχανικής για την επαναφορά ή την απενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων. Τα κλειδιά πρόσβασης (passkeys) εισήχθησαν ως μια λύση πολυπαραγοντικού ελέγχου της ταυτότητας που παρέχει ανθεκτικότητα ενάντια στις μεθόδους ηλεκτρονικού ψαρέματος.

Πως λειτουργούν τα passkeys

Τα passkeys βασίζονται στην κρυπτογραφία δημοσίου κλειδιού FIDO2, δημιουργώντας ένα μοναδικό ζεύγος δημοσίου-ιδιωτικού κλειδιού για κάθε χρήστη και υπηρεσία. Το δημόσιο κλειδί αποστέλλεται στον διακομιστή ενώ το ιδιωτικό κλειδί αποθηκεύεται σε έναν διαχειριστή διαπιστευτηρίων (γνωστό και ως sync fabric) ή σε ένα υλικό κλειδί ασφαλείας (hardware security key). Κατά τη σύνδεση, ο διακομιστής στέλνει μια τυχαία πρόκληση/ερώτηση στη συσκευή του χρήστη. Με την παροχή της καθορισμένης επαλήθευσης από τον χρήστη (π.χ. βιομετρικά δεδομένα, PIN) η συσκευή στη συνέχεια «υπογράφει» την πρόκληση με το ιδιωτικό κλειδί. Ο διακομιστής επαληθεύει την υπογραφή έναντι του αποθηκευμένου δημοσίου κλειδιού. Και καθώς δεν μεταδίδονται διαπιστευτήρια, δεν μπορούν να αποτελέσουν αντικείμενα υποκλοπής από επιτιθέμενους ή κακόβουλο λογισμικό. Επειδή τα passkeys είναι κρυπτογραφικά συνδεδεμένα με την πηγή προέλευσης, οι παραδοσιακές τεχνικές ηλεκτρονικού ψαρέματος (π.χ. την υποκλοπή διαπιστευτηρίων μέσω πλαστών ιστοσελίδων σύνδεσης) είναι αναποτελεσματικές.

Οφέλη

Τα passkeys ωφελούν οργανισμούς και εργαζομένους. Ακολουθούν ορισμένα από τα κύρια πλεονεκτήματα τους:

Ενισχυμένη ασφάλεια – Η αντικατάσταση των κωδικών πρόσβασης με κλειδιά πρόσβασης (passkeys) μειώνει τον κίνδυνο των επιθέσεων που βασίζονται σε διαπιστευτήρια (π.χ. επιθέσεις ωμής βίας, ηλεκτρονικό ψάρεμα, κακόβουλο λογισμικό υποκλοπής πληροφοριών). Τέτοιες επιθέσεις μπορούν να οδηγήσουν σε λειτουργικές διακοπές, σε σημαντικό κόστος αποκατάστασης και σε πλήγμα στη φήμη ενός οργανισμού.
Ευκολία και εξοικονόμηση χρόνου – Οι χρήστες δεν χρειάζεται να ανησυχούν για την επιλογή, τη διατήρηση και την προστασία των κωδικών πρόσβασης των συστημάτων. Επίσης, δεν χρειάζεται να προσδιορίσουν αν πρέπει να εισαγάγουν έναν κωδικό ή να εγκρίνουν μια ειδοποίηση ώθησης (push notification). Η διαδικασία σύνδεσης είναι απλούστερη και ταχύτερη, και η μειωμένη τριβή είναι ιδιαίτερα επωφελής σε επείγοντα και κρίσιμα για την ασφάλεια σενάρια. Η πρόσβαση για εσωτερικούς πόρους μπορεί επίσης να απλοποιηθεί περαιτέρω συνδυάζοντας τα passkeys με την καθολική ή ενιαία σύνδεση (Single Sign-On, SSO). Αν και ορισμένοι πόροι και ιστοσελίδες θα εξακολουθήσουν να απαιτούν κωδικούς πρόσβασης ή άλλους μηχανισμούς ελέγχου της ταυτότητας, η μείωση του αριθμού των συνδέσεων και των αιτημάτων επαναπιστοποίησης διευκολύνει τη ζωή των εργαζομένων.
Λιγότερα αιτήματα προς το κέντρο υποστήριξης – Παρόλο που η υϊοθέτηση των κλειδιών πρόσβασης (passkeys) δεν πρόκειται να εξαλείψει τα προβλήματα με την πρόσβαση, εντούτοις μπορεί να μειώσει σημαντικά τον αριθμό των αιτημάτων υποστήριξης (tickets) που σχετίζονται με σφάλματα κωδικών πρόσβασης, αιτήματα επαναφοράς, χαμένες ή ελαττωματικές συσκευές πιστοποίησης καθώς και καθυστερημένους ή ελλείποντες κωδικούς επαλήθευσης λόγω κακού σήματος κινητής τηλεφωνίας. Οι ομάδες υποστήριξης μπορούν να ανακατευθύνουν τον χρόνο που συνήθως αναλώνεται σε αυτά τα αιτήματα για να επικεντρωθούν σε άλλα ζητήματα.

Επισημάνσεις και παγίδες

Οι περισσότεροι οργανισμοί δεν θα χρειαστεί να δημιουργήσουν μία υποδομή passkey από το μηδέν. Σημαντικοί πάροχοι ταυτότητας όπως οι Microsoft, Google και Okta προσφέρουν υποστήριξη για κλειδιά πρόσβασης ως μέρος των υφιστάμενων πλατφορμών ελέγχου ταυτότητας τους. Η απόφαση για την υλοποίηση επίσης αφορά λιγότερο την επιλογή ενός προϊόντος passkey και περισσότερο τον τρόπο ενεργοποίησης και επιβολής των passkeys εντός της τρέχουσας τεχνολογικής στοίβας ταυτοτήτων σας. Προτού λοιπόν προχωρήσουν στην αξιολόγηση διαφόρων λύσεων, οι οργανισμοί θα πρέπει να έχουν πλήρη κατανόηση του περιβάλλοντός τους και να εξετάσουν τις όποιες επιπτώσεις στις προσωπικές συσκευές των εργαζομένων κατά περίπτωση. Ορισμένες λύσεις ενδέχεται να μην είναι συμβατές με όλα τα λειτουργικά συστήματα ή με παλαιότερες εκδόσεις. Οι οργανισμοί θα πρέπει επίσης να εξετάσουν που θα αποθηκεύονται τα passkeys [π.χ. απευθείας στον φορητό υπολογιστή του χρήστη, σε έναν διαχειριστή κωδικών πρόσβασης που βασίζεται στο cloud, σε ένα φυσικό τεκμήριο ή διακριτικό (token) όπως το YubiKey] και πως θα αποκατασταθεί η πρόσβαση στην περίπτωση που ένα passkey χαθεί, διαγραφεί ή καταστραφεί.

Λάβετε επίσης υπόψη σας ότι παρόλο που τα passkeys παρέχουν μια ισχυρή επιλογή ελέγχου ταυτότητας, δεν είναι απρόσβλητα απο σφάλματα. Η συνολική υγιεινή ασφάλειας είναι σημαντική, συμπεριλαμβανομένης της διασφάλισης της ύπαρξης κατάλληλων μηχανισμών ασφαλείας, τακτικών ελέγχων των προνομίων και της πρόσβασης και της διατήρησης των συστημάτων και του λογισμικού ενημερωμένων με τις τελευταίες επιδιορθώσεις (patches) έναντι γνωστών τρωτών σημείων. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύσουν τους χρήστες σχετικά με την διασφάλιση της πρόσβασης καθώς και πως να αναγνωρίζουν απόπειρες κοινωνικής μηχανικής.

Παράγοντες επιτυχίας για την υλοποίηση passkey

Με βάση όσα έχουμε μάθει για τα passkeys και τις συμβουλές που έχουν δημοσιευτεί από άλλους ειδικούς του κλάδου, η επιτυχημένη υλοποίηση απαιτεί στοιχεία όπως εσωτερική συνεργασία, σωστό σχεδιασμό και σαφή επικοινωνία. Παρακάτω ακολουθούν οι παράγοντες που έχουμε προσδιορίσει ότι διευκολύνουν τη μετάβαση. Αυτοί οι παράγοντες καλύπτονται με περισσότερες λεπτομέρειες στον οδηγό υλοποίησης.

Συμπεριλάβετε στη διαδικασία της κατάλληλες ομάδες
Εστιάστε στην εμπειρία των χρηστών
Επεξηγήστε τα οφέλη
Αναγνωρίστε και διορθώστε λάθη του παρελθόντος
Διαφοροποιήστε τους πρώτους χρήστες που θα υϊοθετήσουν την τεχνολογία
Αντιμετωπίστε τις όποιες αντιστάσεις ή αντιρρήσεις με γεγονότα και διαβεβαιώσεις
Επικοινωνήστε με σαφήνεια και στην κατάλληλη συχνότητα
Προχωρήστε στη συγγραφή σεναρίων υποστήριξης και εκπαιδεύστε τις ομάδες υποστήριξης εγκαίρως
Ακούστε τα σχόλια και τις παρατηρήσεις των χρηστών

Πως μπορούμε να βοηθήσουμε

Κατά την υλοποίηση των passkeys, αντιμετωπίσαμε γνωστές και απροσδόκητες προκλήσεις. Για να βοηθήσουμε άλλους οργανισμούς που εξετάζουν ή είναι έτοιμοι να ξεκινήσουν τη μετάβαση, δημιουργήσαμε ένα εγχειρίδιο στρατηγικής που περιλαμβάνει έναν οδηγό υλοποίησης, διάφορες ερωτήσεις και απαντήσεις (FAQ), ένα πρότυπο σχέδιο υλοποίησης passkey που μπορεί να κατέβει και να χρησιμοποιηθεί από project managers καθώς και διάφορα slides επισκόπησης που είναι διαθέσιμα επίσης για κατέβασμα.

Πηγή: Sophos

27 Απριλίου, 2026

Cyber Security Elements by NSS