Wybór rozwiązania do uwierzytelniania wieloskładnikowego to decyzja na najbliższą dekadę, ukryta pod pozorem zwykłej pozycji w formularzu zakupowym. Ten przewodnik zbiera pytania, które oddzielają rozwiązania dyskretnie chroniące organizację od tych, które równie dyskretnie zamieniają się w kolejny projekt migracyjny.
Zaufanie
Zaufaj modelowi bezpieczeństwa. Rozwiązania oparte na kryptografii klucza publicznego dają mocniejsze gwarancje niż schematy ze współdzielonym sekretem: nie istnieje centralny sejf z sekretami, do którego można się włamać, ani nic, co znałyby obie strony. Zachowaj ostrożność wobec zamkniętej, autorskiej kryptografii. Wybieraj otwarte, poddane audytowi podstawy.
Poznaj fundament technologiczny. Gdzie generowane są klucze? Gdzie są przechowywane? Klucza utworzonego i przechowywanego w sprzętowym module bezpieczeństwa telefonu nie da się wyeksportować ani sklonować; materiał inicjujący (seed) przekazywany kodem QR podczas rejestracji jest bezpieczny tylko na tyle, na ile bezpieczny jest sam sposób jego przekazania.
Zastanów się, kto sprawuje kontrolę
On-premise czy SaaS. Gdzie działa rozwiązanie i co stanie się z Twoim uwierzytelnianiem, gdy dostawca zaliczy awarię albo naruszenie bezpieczeństwa? Jeśli regulator zapyta, gdzie przechowywane są dane uwierzytelniające, czy masz odpowiedź, nad którą sam panujesz?
Możliwa do skontrolowania komunikacja. Czy widzisz i możesz zweryfikować, co rozwiązanie przesyła przez sieć? Liczy się tu weryfikacja transakcji: użytkownik powinien widzieć, co właściwie zatwierdza, a samo zatwierdzenie powinno być kryptograficznie powiązane dokładnie z tą treścią.
Nie zapominaj o regulacjach
Gdzie będą przechowywane dane i czy w ogóle musisz przekazywać dostawcy dane osobowe? Dla organizacji z UE konkretnej odpowiedzi na to pytanie wymaga RODO. W branży fintech to wymogi PSD2 dotyczące silnego uwierzytelniania klienta i dynamicznego łączenia (dynamic linking) przesądzają, które rozwiązania w ogóle wchodzą w grę. Zastosowanie mogą mieć również wymogi dotyczące odporności i dostępności: czy rozwiązanie może działać nadmiarowo (redundantnie) i pod Twoją kontrolą?
Całkowity koszt posiadania
Opłaty licencyjne to część widoczna gołym okiem. Policz również:
- Zależności produktowe: czy rozwiązanie wymaga innych produktów, usług katalogowych lub sprzętu, którego jeszcze nie masz?
- Opłaty za utrzymanie oraz aktualizacje wersji.
- Koszty osobowe: bieżąca administracja, wsparcie użytkowników i szkolenia.
- Czas do uruchomienia: każdy tydzień konfiguracji to wypłacone wynagrodzenia, zanim jeszcze pojawi się jakakolwiek ochrona.
- Koszty utraconych możliwości: czy rozwiązanie nadal się sprawdzi, gdy dojdzie podpisywanie dokumentów, nowe aplikacje albo rzesza nowych użytkowników po fuzji?
Uważaj na SMS-y
Kody SMS można przechwycić, przejąć metodą SIM swap i wyłudzić przez phishing, a przy tym nie zostawiają one żadnego śladu tego, co użytkownik faktycznie widział w chwili zatwierdzania. Regulatorzy już to zauważyli. Jeśli SMS jest dziś Twoim drugim składnikiem, traktuj go jako etap przejściowy, a nie stan docelowy.
O wszystkim decyduje komfort użytkowania
Zabezpieczenie, które irytuje użytkowników, zostaje obchodzone, a obchodzone zabezpieczenie jest gorsze niż jego brak, bo w raporcie zgodności i tak świeci się na zielono. Porównaj doświadczenie sprzętowe (co użytkownik musi nosić przy sobie?), programowe (ile dotknięć ekranu? ile możliwych scenariuszy błędu?) oraz to po stronie administratora (ile naprawdę trwa zarejestrowanie jednego użytkownika?). Częścią tego doświadczenia jest też prywatność: rozwiązanie, które gromadzi nadmiar danych o użytkownikach, samo staje się źródłem ryzyka.
Co dalej?
Jakiekolwiek zabezpieczenie jest lepsze niż żadne, ale koszty migracji są realne, więc wybierz coś, z czego szybko nie wyrośniesz. Oceń rozwiązanie we własnym środowisku, uruchamiając pilotaż: prawdziwe VPN, prawdziwą aplikację, garstkę prawdziwych użytkowników. To powie Ci w tydzień więcej niż matryca funkcji przez cały kwartał.