Według raportu Barometr cyberbezpieczeństwa przygotowanego przez KPMG w 2024 roku, aż 83% polskich firm doświadczyło przynajmniej jednego incydentu bezpieczeństwa. To wzrost o 16 punktów procentowych w porównaniu do poprzedniego roku. Oznacza to, że przedsiębiorcy muszą zwracać znacznie większą uwagę na cyberbezpieczeństwo niż w przeszłości. Jedną z metod na zwiększenie bezpieczeństwa zasobów IT organizacji jest dodatkowe uwierzytelnianie tokenem.

 

Co to jest token przy logowaniu? To urządzenie lub aplikacja generująca jednorazowe kody uwierzytelniające, które służą do potwierdzania tożsamości użytkownika podczas logowania. Rozwiązanie stosuje się np. przy uwierzytelnianiu wieloskładnikowym.

 

Tokeny można podzielić na dwa rodzaje: sprzętowe i softwareowe:

 

1. Pierwsze z nich to fizyczne urządzenia, które użytkownik ma przy sobie. Ich zadaniem jest generowanie jednorazowych kodów.

 

2. Tokeny softwareowe nie mają fizycznej postaci, tylko są aplikacjami instalowanymi na smartfonach lub komputerach. Generują kody uwierzytelniające na podstawie synchronizacji czasowej lub algorytmów kryptograficznych. Przykładami takich aplikacji są Google Authenticator lub Microsoft Authenticator.

 

Token sprzętowy vs. klucze bezpieczeństwa – czym się różnią?

 

Token sprzętowy to ogólna nazwa do fizycznych urządzeń do uwierzytelniania. Działa niezależnie od urządzenia użytkownika, nie komunikuje się bezpośrednio z komputerem czy telefonem – konieczne jest ręczne przepisanie wygenerowanego kodu do formularza logowania.

 

Klucz bezpieczeństwa to natomiast urządzenie, które komunikuje się bezpośrednio z systemem operacyjnym lub przeglądarką. W przeciwieństwie do klasycznego tokena sprzętowego klucz może być podłączony przez USB, Bluetooth lub NFC. Nie generuje kodów, lecz umożliwia autentykację tożsamości na podstawie prywatnego klucza przechowywanego wewnątrz urządzenia.

 

Klucze bezpieczeństwa są zazwyczaj droższe niż tokeny sprzętowe oraz są bardziej wszechstronne i zaawansowane w kontekście zabezpieczeń (takich jak np. logowanie do różnych systemów i serwisów czy przechowywanie kluczy szyfrujących). Tokeny z kolei są używane głównie do generowania jednorazowych haseł (np. do bankowości elektronicznej).

   

Po wpisaniu loginu i hasła system prosi o dodatkowy kod, który jest generowany lokalnie, niezależnie od serwera. Ten ciąg znaków jest jednorazowy i ważny tylko przez kilkadziesiąt sekund. Hasło potwierdza tożsamość użytkownika, a kod jego fizyczną obecność. Skutecznie blokuje to dostęp do zasobów IT osobom niepożądanym.

 

Systemy oparte na tym modelu są stosunkowo proste we wdrożeniu i bardzo trudne do obejścia. To tańsza alternatywa np. dla wdrożenia weryfikacji czynników biometrycznych. Nawet jeśli kod zostanie przechwycony, jego krótka ważność i jednorazowość uniemożliwiają jego ponowne użycie. Tokeny tego typu dobrze sprawdzają się w systemach bankowych, urzędowych i korporacyjnych, w których wymagana jest silna weryfikacja tożsamości. Ponadto, zapoznanie się z instrukcją, jak działa token, nie zajmuje dużo czasu.

 

Mechanizmy działania tokenów

 

Tokeny uwierzytelniające mogą działać na dwa sposoby – generować jednorazowe hasła lub wykorzystywać mechanizm challenge-response, który polega na tym, że system generuje tzw. wyzwanie, czyli unikalny ciąg danych prezentowany użytkownikowi w momencie logowania. Trzeba wprowadzić go do tokena, który oblicza odpowiedź (jest ona wynikiem przekształcenia matematycznego).

 

Najczęściej wykorzystuje się jednak mechanizmy generowania haseł jednorazowych – zwykle jest to TOTP (Time-Based One-Time Password), czyli algorytm oparty na czasie. Urządzenie użytkownika i serwer znają ten sam tajny klucz i synchronizują się względem czasu systemowego. Na tej podstawie każda strona generuje ten sam kod w danej chwili.

 

Innym mechanizmem jest HOTP (HMAC-Based One-Time Password), który opiera się na liczniku. W takim modelu każda próba logowania zwiększa licznik, na podstawie którego generowany jest kolejny kod. Serwer i token muszą być zsynchronizowane pod względem liczby użyć. W praktyce częściej stosuje się TOTP, ponieważ nie wymaga śledzenia liczby prób i lepiej chroni przed nadużyciami.

   

Firmy powinny stosować tokeny uwierzytelniające, ponieważ znacząco podnoszą one poziom bezpieczeństwa systemów i danych. Tradycyjne uwierzytelnianie oparte wyłącznie na haśle jest dziś niewystarczające. Nawet silne hasła mogą zostać przechwycone, odgadnięte lub wyłudzone. Token uwierzytelniający natomiast wprowadza dodatkowy, niezależny element weryfikacji.

 

Oznacza to realne ograniczenie ryzyka ataków typu phishing czy brute force. Nawet jeśli cyberprzestępca uzyska login i hasło pracownika, bez tokena nie będzie w stanie się zalogować.

 

Firmy zyskują też większą zgodność z wymaganiami prawnymi i branżowymi. Standardy, takie jak ISO 27001, czy regulacje prawne, np. RODO lub NIS2, wymagają wdrażania adekwatnych środków ochrony tożsamości. Tokeny są uznawane za skuteczny mechanizm uwierzytelniania dwuskładnikowego, co pozwala lepiej spełniać te wymagania.

   

W Netii wykorzystuje się tokeny sprzętowe do logowania się do niektórych usług (np. portali zarządzania usługą), które są udostępniane klientom. Specjaliści Netii posiadają dużą wiedzę oraz doświadczenie w tym obszarze i chętnie pomagają w zaprojektowaniu optymalnej architektury bezpieczeństwa.

 

Wśród rozwiązań z zakresu cyberbezpieczeństwa Netii, które wspierają bezpieczne logowanie, jest Ochrona Poczty Elektronicznej i funkcje antyphishingowe, które chronią przed kampaniami mającymi na celu kradzież loginów i haseł. Usługa skanuje wiadomości w poszukiwaniu złośliwego oprogramowania, które mogłoby doprowadzić do ujawnienia danych logowania.

 

Specjaliści z Netii pomogą Twojej firmie wdrożyć rozwiązania wspierające bezpieczne logowanie oparte na technologii FortiAuthenticator, która umożliwia integrację różnych metod uwierzytelniania, takich jak jednokrotne logowanie (SSO), OTP oraz inne mechanizmy uwierzytelniania wieloskładnikowego.