Viša razina sigurnosti u IT-u obično predstavlja dodatni napor za korisnike sustava. No kada govorimo o identifikaciji i autentifikaciji korisnika bez lozinke (engl. passwordless authentication), slučaj je drugačiji – sustavi su sigurniji, a korisničko iskustvo bolje. Prepoznavanje korisnika bez lozinke omogućeno je pomoću biometrije (otisak prsta ili prepoznavanje lica) pa lozinke nisu više potrebne. Saznajte kako smo implementirali passwordless sign-in u Spanu, s kakvim smo se izazovima suočili, i kakvo je opće iskustvo s prijavom u sustav bez passworda.

Kao pouzdani IT partner na putu do cyber sigurnosti, nužno je da naše IT sustave zaštitimo što je bolje moguće. Pritom koristimo vodeća sigurnosna rješenja, najbolje prakse i industrijske standarde. Provjera identiteta pomoću više uređaja, naš je standard već nekoliko godina. No, željeli smo da naše rješenje za prijavu u sustav bude što sigurnije i jednostavnije za korištenje.

RJEŠENJE ZA POTEŠKOĆE S LOZINKAMA

Kao Microsoftov partner bili smo svjesni da je passwordless sign-in put kojim treba krenuti. Iako su pravila za sigurne passworde postajala sve složenija, lozinke sve duže i s dodatnim znakovima, a treba ih i redovno mijenjati te izmišljati nove, to je i dalje bio jedan od najkritičnijih dijelova sustava i jedan od najvećih rizika za cyber napade. Hakeri ne provaljuju, oni se ulogiraju u sustav. A sve što im za to treba je pravilna kombinacija korisničkog imena i lozinke.

Ako iz te jednadžbe uklonimo passworde i zadržimo provjeru osobnosti u više točaka (multifactor authentication, MFA), sustavi postaju zaštićeniji od cyber napada.

PRIJAVA U SUSTAV BEZ LOZINKE

Kako bismo korisnicima omogućili prijavu bez lozinke u sve poslovne aplikacije, koristili smo nekoliko aplikacija i rješenja iz Microsofta. Prvo, tu je Microsoft Authenticator App za sigurnu provjeru korisnika pomoću potvrde osobnosti na pametnom telefonu. Potom je tu Microsoft Hello for Business za sigurnu prijavu na računala koja pokreće operacijski sustav Microsoft Windows te Microsoft InTune za upravljanje službenim uređajima. Iza svega stoji Azure AD za upravljanje identitetima.

Pod rukama smo imali svu tehnologiju koja nam je potrebna, a činjenica da sve dolazi od jednog dobavljača olakšala je implementaciju cjelokupnog rješenja. Jedina korištena tehnologija unutar cjelovitog rješenja koju smo nabavili od drugog dobavljača ključevi su YubiKeys from Yubico za dijeljena desktop računala. Međutim, i to rješenje provjereno je kompatibilno sa spomenutim rješenjima i podržano od Microsofta.

ZNANJE STRUČNJAKA I NAJBOLJE PRAKSE

Naša prednost, koju smo prepoznali i prije implementacije projekta, jest duboka ekspertiza u gotovo svim dijelovima cjelokupnog rješenja, a tamo gdje je tehnologija nova, naši inženjeri jedva čekaju naučiti kako rješenje radi, testirati ga i na kraju implementirati u produkcijsku okolinu. Također, pomoglo je i što smo na vrijeme prepoznali važnost upravljanja promjenama, pa je znanje iz tog područja, stečeno na projektima kod velikih internacionalnih klijenata s tisućama korisnika, primijenjeno i na ovom projektu. Primijenile su se najbolje prakse. Korisnici su se upoznali s promjenom i prije nego što je nastupila. Opisane su im sve prednosti passwordlessa te su jasno objašnjene sve potrebne predradnje kako bi rješenje ispravno funkcioniralo.

Preporuke za implementaciju prijave korisnika u sustav bez lozinke kažu da je najbolje odmah na početku identificirati grupu korisnika za pilot. U pilot-projekt uključeni su korisnici iz različitih odjela kako bi se uvidjele različite potrebe, specifičnosti i izazovi. Nakon uspješne provedbe pilot-projekta, puni implementacijski projekt podijeljen je u dvije faze, od kojih se svaka sastojala od nekoliko serija korisnika kojima je uključen novi način prijave.

Serije su se podudarale s organizacijskim jedinicama, što nam je omogućilo širenje informacija odozgo prema dolje, što u praksi znači da su voditelji dijelili informacije svojem timu. Korisnicima su prije uvođenja promjena podijeljeni prikladni materijali, kao što su upute i kratka verzija u kojoj je ukratko pojašnjena promjena te što se očekuje od korisnika, kao i odgovori na često postavljana pitanja, prikupljena unutar pilot-projekta. Implementacijski projekt odvio se u posljednjem kvartalu 2021. godine za članice Span grupe u Hrvatskoj. Istodobno, u projekt je uključeno nekoliko zaposlenika iz drugih zemalja, a slijedi implementacija u međunarodnim podružnicama.

PREDNOSTI PASSWORDLESS PRIJAVE

Sada se svi korisnici prijavljuju u naše sustave bez lozinke, koristeći uređaje pod sigurnosnim nadzorom organizacije, kod kojih se provjerava da zadovoljavaju postavljene sigurnosne standarde u kombinaciji s biometrijom i PIN-om. Za pristup s drugih uređaja koji nisu pod nadzorom Spana koristimo Microsoft Authenticator App, koji omogućuje dodatnu provjeru identiteta korisnika. Osjetljivim sustavima može se pristupati samo s uređaja koji su pod nadzorom Spana. Pristup je sada jednostavniji i lakši, uz dodatni cool faktor koji pruža biometrija, odnosno prijava u sustav pomoću prepoznavanja lica ili otiska prsta.

Osim toga, u potpunosti smo uklonili rizik od izlaganja lozinke drugima. Učinkovito smo uklonili i dodatne probleme koje lozinke znaju uzrokovati – od smišljanja nove sigurne lozinke koja odgovara zahtjevima svakih nekoliko mjeseci, do toga da korisnik ne mora tipkati lozinku prilikom svake prijave u sustav. Sigurnosni certifikati pomažu u bržoj autentifikaciji korisnika te je prijava u većinu sustava neprimjetna, što nas na kraju dana dovodi do zadovoljnijih zaposlenika i sigurnijeg sustava.

"Naš cilj bio je osigurati sigurniji pristup korporativnim sustavima, ali bez dodatnih komplikacija i prepreka za naše zaposlenike. Passwordless sign-in omogućio je da ostvarimo oba cilja. Ljudi ne mogu više zaboravljati svoje passworde i uvijek mogu pristupiti svojim računalima i aplikacijama. Biometrija i MFA pokazali su se kao pun pogodak", ističe Marijan Pongrac, član Uprave i CTO Spana.

Iako nismo mjerili vrijeme potrebno za unos lozinke prilikom prijave ili ono koje se utroši na smišljanje nove, sigurno ćemo pratiti za koliko je smanjen broj ticketa prema odjelu podrške korisnicima. Očekujemo da ćemo eliminirati tickete vezane uz izgubljene i zaboravljene lozinke, što će smanjiti pritisak na naš odjel za IT podršku.

Kao što je predstavljeno, prijava bez lozinke donosi mnoge opipljive i neopipljive prednosti, a možda najupečatljivija stvar u passwordless sign-in projektu bila je brzina kojom su korisnici prihvatili tu promjenu.