Zasadniczo ideą 2FA jest wymaganie, oprócz hasła, drugiej weryfikacji w celu wzmocnienia bezpieczeństwa kont. Weryfikacja ta może być kodem wygenerowanym przez aplikacje takie jak Google Authenticator, fizyczny klucz bezpieczeństwa, taki jak Yubico, kod wysłany na telefon komórkowy, wiadomość e-mail, a nawet odcisk palca.
Przy tak wielu rosnących zagrożeniach cyfrowych, MasterBase® aktywnie wykorzystuje i promuje stosowanie uwierzytelniania dwuetapowego w celu ochrony zarówno swoich klientów, jak i użytkowników.
Możesz zapoznać się szczegółowo z naszym artykułem "MasterBase® zwiększa bezpieczeństwo dostępu dzięki weryfikacji dwuetapowej", aby dowiedzieć się więcej o naszym 2FA/MFA.
Ale jak to wygląda w rzeczywistości?
Poniżej przedstawiamy konkretne przypadki firm korzystających z tego mechanizmu i korzyści, jakie odniosły z jego wdrożenia, a także przypadki innych organizacji, które niestety musiały zmierzyć się z konsekwencjami niewdrożenia 2FA na czas.
Rzeczywiste przypadki użycia 2FA i jego korzyści
-
Google i ochrona kont pracowników
Google jest pionierem w stosowaniu innowacyjnych środków bezpieczeństwa w celu ochrony swoich systemów i prywatności użytkowników.
Od 2017 roku Google wymaga od wszystkich pracowników używania fizycznych kluczy bezpieczeństwa w celu uzyskania dostępu do swoich wewnętrznych systemów.
Od tego czasu firma poinformowała, że nie odnotowała ani jednego przypadku phishingu lub naruszenia bezpieczeństwa kont.
KorzyściWymagając drugiej weryfikacji sprzętowej, Google był w stanie zredukować do zera incydenty phishingowe wśród swoich pracowników, którzy byli częstym celem ataków. Pokazało to światu biznesu, że tak prosty środek jak 2FA może drastycznie zmniejszyć liczbę naruszeń bezpieczeństwa.
-
Dropbox i wdrożenie 2FA dla jego użytkowników
Dropbox, popularna platforma przechowywania danych w chmurze, wprowadziła 2FA po incydencie związanym z bezpieczeństwem w 2012 roku, kiedy to grupa hakerów zdołała włamać się na miliony kont. Chociaż incydent ten dotknął zarówno pracowników, jak i użytkowników, Dropbox wdrożył 2FA, aby zwiększyć bezpieczeństwo dostępu do kont.
KorzyściDzięki dwustopniowemu uwierzytelnianiu Dropbox poprawił swoją reputację i odzyskał zaufanie użytkowników. Zminimalizowano również ryzyko przyszłych ataków, zwiększając ogólne bezpieczeństwo systemu, który obecnie umożliwia milionom użytkowników bezpieczne przechowywanie dokumentów.
-
Bank of America i ochrona transakcji finansowych
W bankowości Bank of America wdrożył uwierzytelnianie dwuskładnikowe jako standard bezpieczeństwa dla transakcji online i dostępu do wrażliwych kont.
Podczas gdy sektor bankowy zawsze obsługiwał niezwykle wrażliwe dane, wdrożenie 2FA pomogło znacznie zmniejszyć liczbę oszukańczych transakcji.
KorzyściBank of America odnotował znaczny spadek liczby prób oszustw. Klienci czują się również pewniej, wiedząc, że ich pieniądze i dane osobowe są lepiej chronione, co wzmocniło relacje zaufania między bankiem a klientem i poprawiło retencję klientów.
Prawdziwe przypadki firm, które nie wdrożyły 2FA i ich konsekwencje
-
Twitter (2020)
W lipcu 2020 r. Twitter padł ofiarą zmasowanego ataku, w wyniku którego kilka znanych kont (w tym konta Elona Muska, Baracka Obamy i firm takich jak Apple) zostało zhakowanych w celu promowania oszustwa związanego z kryptowalutami.
Ujawniono, że atakujący uzyskali dostęp do kont, wykorzystując wewnętrzne narzędzia i brak weryfikacji wieloskładnikowej w niektórych przypadkach.
KonsekwencjeOprócz strat finansowych i narażenia głośnych kont, atak poważnie zaszkodził reputacji Twittera. Firma została zmuszona do przeglądu swoich zasad bezpieczeństwa i od tego czasu zintensyfikowała środki uwierzytelniania dwuetapowego, aby zapobiec przyszłym incydentom na taką skalę.
-
Colonial Pipeline (2021)
W maju 2021 r. Colonial Pipeline, jedna z największych firm naftowo-gazowych w USA, padła ofiarą cyberataku typu ransomware.
Atakujący uzyskali dostęp do systemu za pomocą podatnego na ataki hasła i bez uwierzytelniania dwuetapowego, co pozwoliło hakerom na uszkodzenie systemów i zakłócenie dostaw paliwa.
KonsekwencjeAtak miał ogromny wpływ nie tylko na firmę, ale także na kraj, ponieważ spowodował tymczasowy niedobór paliwa. Colonial Pipeline musiał zapłacić okup w wysokości $4,4 miliona dolarów, aby odzyskać dostęp, a incydent doprowadził do reformy polityki bezpieczeństwa, która ostatecznie doprowadziła do wdrożenia 2FA.
3. CNA Financial Corporation (2021)
W marcu 2021 r. CNA Financial, jeden z największych ubezpieczycieli w Stanach Zjednoczonych, padł ofiarą zmasowanego ataku ransomware.
Atakującym udało się przeniknąć do systemu za pośrednictwem konta, które nie miało uwierzytelniania dwuetapowego.
Umożliwiło to cyberprzestępcom dostęp do krytycznych sieci wewnętrznych i rozprzestrzenianie oprogramowania ransomware, co doprowadziło do zaszyfrowania kilku systemów i wrażliwych danych.
Konsekwencje: CNA Financial musiała zapłacić okup w wysokości około $40 milionów, aby odzyskać dostęp do swoich systemów. Oprócz bezpośrednich skutków finansowych, reputacja firmy została poważnie nadszarpnięta przez brak podstawowych środków bezpieczeństwa, takich jak 2FA na niektórych kontach, co ułatwiło atakującym uzyskanie dostępu. Po tym incydencie CNA wdrożyła 2FA na wszystkich kontach użytkowników i wzmocniła swoje zasady cyberbezpieczeństwa, aby zapobiec przyszłym atakom.
Znaczenie wdrożenia 2FA już dziś
Uwierzytelnianie dwuetapowe jest obecnie koniecznością, a nie luksusem. Cyberataki stale ewoluują i w coraz większym stopniu koncentrują się na wykorzystywaniu naiwności lub nieuwagi użytkowników.
Firmy takie jak Google, Dropbox i Bank of America już zademonstrowały korzyści płynące z jego wdrożenia, podczas gdy Twitter, Colonial Pipeline i CNA Financial Corporation poniosły konsekwencje braku 2FA w tym czasie.
Wdrożenie 2FA pomaga zminimalizować ryzyko naruszenia bezpieczeństwa kont, ponieważ atakujący będą potrzebować nie tylko hasła, ale także dostępu do drugiego czynnika, który zwykle znajduje się na urządzeniu osobistym.
Ma to kluczowe znaczenie zarówno dla firm, jak i użytkowników, którzy coraz częściej mają do czynienia z zagrożeniami internetowymi.
W MasterBase® dbamy o bezpieczeństwo naszych użytkowników.s. Ponadto promujemy i stosujemy weryfikację dwuetapową w celu ochrony dostępu do naszych platform.
Za każdym razem, gdy użytkownik się loguje, musi potwierdzić swoją tożsamość za pomocą drugiej warstwy uwierzytelniania, co zapewnia dodatkowy poziom ochrony.
