Sophos Rewolucjonizuje Bezpieczeństwo: Przejście na Klucze Dostępu w Uwierzytelnianiu

Sandra Jurkowska

Zważając na szczególną rolę firmy Sophos jako dostawcy najbardziej stabilnych i niezawodnych rozwiązań z zakresu cyberbezpieczeństwa (lider wielu rankingów Gartnera) – firma ta podjęła decyzję o odejściu od wieloskładnikowego uwierzytelniania opartego na wykorzystaniu wiadomości SMS bądź maili. Zamiast tego Sophos zamierza wraz z początkiem listopada zacząć opierać proces uwierzytelniania jedynie o wykorzystanie kluczy dostępu (z ang. Passkeys).

Czym są klucze dostępu? Jak działają i dlaczego są bezpieczne?

Klucze dostępu (Passkeys): klucz dostępu to metoda uwierzytelniania, która eliminuje konieczność pamiętania hasła. Klucze dostępu wykorzystują kryptografię klucza publicznego, oferując wysoki poziom bezpieczeństwa przy jednoczesnym uproszczeniu procesu logowania. Użytkownicy nie muszą już pamiętać skomplikowanych haseł ani polegać na kodach SMS czy wiadomościach email, które są podatne na phishing i inne zagrożenia. Zamiast tego klucze dostępu są powiązane z urządzeniem użytkownika i wymagają uwierzytelnienia biometrycznego (takiego jak odcisk palca, rozpoznawanie twarzy) lub PIN-u, który jest bezpiecznie przechowywany w pamięci sprzętowej.

Kryptografia klucza publicznego: To metoda, która wykorzystuje dwa klucze: publiczny i prywatny. Klucz publiczny można udostępnić innym osobom, natomiast klucz prywatny jest bezpiecznie przechowywany na urządzeniu. Przy uwierzytelnianiu, system sprawdza, czy oba klucze pasują do siebie, co pozwala zweryfikować tożsamość użytkownika. W ten sposób możliwe jest uniknięcie zagrożeń, takich jak kradzież hasła, bo prywatny klucz nigdy nie jest ujawniany.

Dla klientów i partnerów Sophos przyjęcie kluczy dostępu oznacza:

  • Większe bezpieczeństwo: Klucze dostępu eliminują ryzyko kradzieży haseł i ataków phishingowych, zapewniając lepszą ochronę kont użytkowników.
  • Uproszczone doświadczenie: Użytkownicy mogą szybciej i wygodniej uzyskiwać dostęp do swoich kont bez konieczności zarządzania hasłami lub kodami MFA.

Stopniowe wycofywanie metod uwierzytelniania wieloskładnikowego SMS i Email+PIN

Wraz z wprowadzeniem uwierzytelniania z kluczami dostępu Sophos rozpocznie proces stopniowo wycofywania starszych i mniej bezpiecznych metod uwierzytelniania wieloskładnikowego, czyli SMS i Email+PIN. Choć były one skuteczne w przeszłości, obecnie nie spełniają już wymagających standardów bezpieczeństwa.

Harmonogram wycofywania i kluczowe kamienie milowe

Od teraz Sophos wprowadza 90-dniowy okres wycofywania wycofania metod MFA SMS i Email+PIN na kontach Sophos Central klientów. Kluczowe informacje:

  • Od dziś: Nowi użytkownicy nie będą mogli ustawiać SMS lub Email+PIN jako metody uwierzytelniania wieloskładnikowego. Zamiast tego, muszą korzystać z aplikacji TOTP, takiej jak Google Authenticator, Microsoft Authenticator lub Authy. Metody SMS i Email, które zostały już skonfigurowane przez istniejących użytkowników, będą nadal funkcjonować.
  • Luty 2025: W lutym wraz z firmą Sophos rozpoczniemy aktywne zachęcanie naszych klientów korzystających z SMS lub Email+PIN MFA do przejścia na bardziej bezpieczne metody, takie jak klucze dostępu lub aplikacje TOTP.

Zachęcamy klientów do przejścia na nowe rozwiązania już teraz, aby cieszyć się większym bezpieczeństwem oferowanym przez klucze dostępu.

Dlaczego Sophos wprowadza te zmiany?

Krajobraz zagrożeń cybernetycznych stale się rozwija, w związku z tym zachodzi potrzeba do nieustannej adaptacji i antycypacji potencjalnych zagrożeń.Decyzja o wprowadzeniu kluczy dostępu i wycofaniu SMS i Email+PIN jako MFA odzwierciedla ciągłe zobowiązanie do skutecznego zabezpieczenia kont Sophos Central oraz realizacji inicjatyw CISA Secure by Design.