Autentificarea fără parolă devine o alternativă tot mai adoptată în mediul digital, pe fondul creșterii riscurilor cibernetice și al nevoii de conformitate cu standardele ISO/IEC 27001. Organizațiile trebuie să integreze această tehnologie în sistemele lor de management al securității informației, ținând cont de noile cerințe și provocări.
Funcționarea autentificării passwordless și standardele FIDO2, NIST
Autentificarea fără parolă se bazează pe chei criptografice, date biometrice sau dispozitive deținute de utilizator, eliminând necesitatea unor parole memorate. Sistemul cel mai avansat pentru acest model sunt passkeys, dezvoltate conform standardelor FIDO2 și WebAuthn. La crearea acestora, dispozitivul generează o pereche de chei, păstrând cheia privată local, iar cea publică fiind înregistrată pe serverul serviciului. În procesul de autentificare, serverul trimite o provocare, semnată cu cheia privată, care nu părăsește dispozitivul, reducând riscul interceptării.
Conform ghidului NIST SP 800-63B, metodele de autentificare sunt clasificate pe niveluri de asigurare (AAL), passkeys putând îndeplini cerințele AAL2 sau chiar AAL3, fiind peste autentificarea tradițională cu parolă. Varianta hardware, legată de dispozitiv, și cea sincronizabilă prin servicii cloud criptate sunt cele mai răspândite. Actualizările NIST acceptă oficial aceste metode, subliniind necesitatea gestionării riscurilor în cazul pierderii dispozitivelor. Mii de conturi online acceptă deja passkeys, iar mari companii tehnologice le-au implementat pentru sute de milioane de utilizatori, indicând o schimbare majoră în modul de autentificare.
Conformitatea cu ISO/IEC 27001 în contextul autentificării fără parolă
Standardul ISO/IEC 27001 stabilește cadrul pentru managementul securității informației. În revizuirea din 2022, controalele din Anexa A au fost reorganizate în patru categorii majore: organizaționale, umane, fizice și tehnologice. Autentificarea figurează în controale precum A 5.15, care stabilește reguli pentru controlul accesului și politicile de autentificare; A 5.17, ce solicită proceduri documentate pentru gestionarea credențialelor; și A 8.5, ce impune autentificarea multifactor pentru conturile privilegiate.
Implementarea passkeys necesită integrarea în procesul de analiza de risc, documentația sistemului de management și planificarea injecției în procesele de tratament al riscurilor. Organizațiile trebuie să demonstreze conformitatea cu obiectivele de control și să abordeze riscurile noilor tehnologii, precum pierderea dispozitivului, atacurile de tip downgrade sau complexitatea recuperării conturilor. Pentru conturile privilegiate, passkeys legate de dispozitiv, considerate AAL3, sunt preferate, iar pentru utilizatorii standard, varianta sincronizabilă, acceptată ca AAL2, devine o opțiune viabilă. Procedurile de fallback și reînrolare trebuie clar documentate pentru audit.
Beneficii și provocări în implementarea passkeys
Adoptarea passkeys reduce riscurile de securitate, eliminând vulnerabilitățile legate de phishing, credential stuffing și atacuri brute force. În plus, această tehnologie scurtează timpul de autentificare și scade costurile legate de resetarea parolelor, care pot ajunge la zeci de dolari per incident, impactând semnificativ bugetele organizațiilor mari. Organizațiile globale au raportat creșteri ale ratei de succes la logare și o experiență mai rapidă pentru utilizatori.
De asemenea, passkeys contribuie la conformitatea cu standarde precum PCI DSS 4.0, cerințele NIST privind autentificarea rezistentă la phishing și reglementările de protecție a datelor, precum GDPR. În ciuda acestor avantaje, tranziția nu este instantanee. Multe companii operează într-un mediu mixt, unde coexistă parole și passkeys, ceea ce poate genera incoerențe în politicile de securitate și dificultăți de audit. Recuperea conturilor în cazul pierderii dispozitivului reprezintă o provocare majoră, fiind nevoie de soluții precum coduri de rezervă, autentificatori multipli sau verificare manuală. Fiecare metodă trebuie analizată în contextul cerințelor ISO 27001 pentru a asigura un nivel adecvat de securitate.