Kibernetski strokovnjaki vse glasneje opozarjajo, da sama večfaktorska avtentikacija (MFA) ni več zadostna varnostna bariera v sodobnih IT okoljih. Čeprav MFA velja za temeljni varnostni ukrep, lahko napadalci še vedno uspešno kompromitirajo uporabniške seje z ukradljivimi avtentikacijskimi žetoni.
Problem tiči v razliki med avtentikacijo in dejanskim zaupanjem. Ko uporabnik uspešno opravi MFA postopek, sistem potrdi njegovo identiteto in izda avtentikacijski žeton. Vendar ta žeton sam po sebi postane dragocena tarča – če ga napadalec prestrezne ali ukrade, lahko dobi neomejen dostop do sistema brez potrebe po ponovni avtentikaciji.
Tehnike kot so session hijacking, token replay napadi in man-in-the-middle (MitM) exploiti omogočajo napadalcem, da zaobidejo vse koristi MFA. V praksi to pomeni, da čeprav je bil uporabnik legitimen v trenutku prijave, lahko napravo kasneje prevzame zlonamerna programska oprema ali napadalec.
Rešitev predstavlja pristop Zero Trust, ki zahteva kontinuirano preverjanje ne le uporabniške identitete, ampak tudi stanja naprave skozi celotno sejo. To vključuje preverjanje varnostnih posodobitev operacijskega sistema, prisotnosti protivirusne zaščite, stanja požarnega zidu in drugih kazalnikov ogroženosti naprave.
Moderna Zero Trust arhitektura mora implementirati več slojev zaščite. Poleg MFA je potrebno redno preverjanje integritete naprave, kontekstualno ocenjevanje tveganja (lokacija, čas dostopa, obnašanje uporabnika) ter mikrosegmentacijo omrežja. Vsaka seja mora biti obravnavana kot potencialno ogrožena, dokler sistem ne potrdi, da tako uporabnik kot naprava izpolnjujeta vse varnostne zahteve.
IT oddelki bi morali pregledati svoje obstoječe varnostne politike in oceniti, ali preverjajo zgolj identiteto ali tudi dejansko stanje naprav. Implementacija platform za upravljanje naprav (UEM), sistemov za preverjanje mrežnega dostopa (NAC) ter rešitev za analizo uporabniškega vedenja (UEBA) postaja nuja, ne več le priporočilo.
Vir: https://www.bleepingcomputer.com/news/security/zero-trust-bridging-the-gap-between-authentication-and-trust/
Originalna objava: 2026-03-24
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.