Uwierzytelnianie wieloskładnikowe (MFA) to system zabezpieczeń, który wymaga więcej niż jednej metody uwierzytelniania z niezależnych kategorii poświadczeń w celu zweryfikowania tożsamości użytkownika przy logowaniu lub innej transakcji. Uwierzytelnianie wieloskładnikowe łączy dwa lub więcej niezależnych poświadczeń: to, co wie użytkownik (hasło), co posiada użytkownik (token bezpieczeństwa) i kim jest użytkownik (weryfikacja biometryczna).
Celem MFA jest stworzenie warstwowej obrony i utrudnienie nieupoważnionej osobie dostępu do celu, takiego jak:
- lokalizacja fizyczna,
- urządzenie komputerowe,
- sieć,
- baza danych.
Jeśli jeden czynnik zostanie naruszony lub złamany, haker nadal ma co najmniej jedną barierę do przełamania, zanim skutecznie włamie się do celu. W przeszłości systemy MFA zazwyczaj opierały się na uwierzytelnianiu dwuskładnikowym. Coraz częściej dostawcy używają etykiety „multifactor” do opisania dowolnego schematu uwierzytelniania, który wymaga więcej niż jednego poświadczenia tożsamości.
Jednym z największych problemów związanych z tradycyjnym logowaniem za pomocą identyfikatora użytkownika i hasła jest konieczność prowadzenia bazy danych haseł. Zaszyfrowana czy nie, przechwycona baza danych zapewnia hakerowi źródło do zweryfikowania jego przypuszczeń przy prędkościach ograniczonych jedynie przez jego zasoby sprzętowe. Jeśli wystarczy czasu, przechwycona baza danych haseł upadnie.
Wraz ze wzrostem szybkości przetwarzania procesorów ataki hakerskie stały się prawdziwym zagrożeniem. Dalsze zmiany, takie jak łamanie haseł GPGPU i tęczowe tablice, przyniosły podobne korzyści dla ataków hakerskich.
Jako przykład można wskazać to, że działanie GPGPU może wygenerować ponad 500 000 000 haseł na sekundę – nawet na słabszym sprzęcie do gier. W zależności od oprogramowania, tęczowe tablice mogą służyć do łamania 14-znakowych alfanumerycznych haseł w około 160 sekund. Teraz specjalnie zaprojektowane karty FPGA, takie jak te używane przez agencje ochrony, oferują dziesięciokrotnie wyższą wydajność przy minimalnym ułamku poboru mocy GPU. Sama baza haseł nie ma szans w obliczu takich metod. Z tego powodu uwierzytelnianie wieloskładnikowe jest świetną metodą, która może ochronić nasze dane osobowe przed atakami hakerskimi przy użyciu nawet najlepszego sprzętu.
Jakie są zalety uwierzytelniania wieloskładnikowego?
Hasła mogą dominować jako najpowszechniejszy sposób uwierzytelniania twojej tożsamości online, jednak w coraz większym stopniu zapewniają bardzo małą ochronę. Po kradzieży hasła hakerzy mogą użyć tych poświadczeń, aby zalogować się do aplikacji i systemów biznesowych, ominąć inne mechanizmy kontroli dostępu i siać poważne spustoszenie. W rzeczywistości, zgodnie z raportem Verizon Data Breach Investigations Report 2020, skradzione dane logowania są najpopularniejszą taktyką stosowaną przez hakerów w celu dokonywania dalszych naruszeń. W chwili obecnej istnieje alarmująca różnorodność wektorów ataków, które hakerzy mogą wykorzystać do kradzieży haseł lub uzyskania dostępu, w tym:
- ataki phishingowe,
- ataki siłowe,
- ataki na aplikacje internetowe,
- włamania do punktów sprzedaży,
- nawet skradziony sprzęt.
Niestety, użytkownicy często ułatwiają hakerom działanie poprzez:
wybór słabych haseł,
używanie tego samego hasła do wielu aplikacji,
przechowywanie haseł w niezabezpieczonych lokalizacjach
przechowywanie tego samego hasła przez długi czas.
Te praktyki mogą pomóc im zapamiętać swoje loginy, ale zapraszają hakerów przez frontowe drzwi.
Uwierzytelnianie wieloskładnikowe zapewnia warstwę ochrony zarówno dla pracowników, jak i klientów, która eliminuje wszystkie te słabości. Łagodzi efekt falowania przejętych danych uwierzytelniających – haker może ukraść twoją nazwę użytkownika i hasło, ale jeśli zostanie poproszony o podanie innego czynnika, zanim będzie mógł uzyskać dostęp do krytycznych danych, dokonania transakcji lub zalogowanie się do twojego laptopa, zostanie zablokowany przez system uwierzytelniania wieloskładnikowego. Obecne badania IT wskazują, że uwierzytelnianie wieloskładnikowe jest najskuteczniejszą formą bezpieczeństwa w zakresie ochrony danych prywatnych, jak i publicznych przetrzymywanych w chmurze.
Należy podkreślić, że wiele rozwiązań MFA dostępnych na rynku jest szybkich i łatwych do wdrożenia, co oznacza, że organizacja może wdrożyć ten wysoce skuteczny środek bezpieczeństwa bez poświęcania dużej ilości czasu i wysiłku.
Uwierzytelnianie wieloskładnikowe to także doskonały sposób na zapewnienie mobilności w przedsiębiorstwie. Produktywność wzrasta, gdy pracownicy mogą korzystać z preferowanych urządzeń, aby łatwo i bezpiecznie uzyskiwać dostęp do wszystkich potrzebnych im zasobów, bez konieczności wiązania się z biurem. Używając MFA do zdalnego logowania się do aplikacji biznesowych lub do sieci za pośrednictwem VPN, uzyskują cenną elastyczność i dostęp do systemu na żądanie, a firmy mogą zapewnić ochronę swojej sieci i danych.
Jak działa uwierzytelnianie wieloskładnikowe?
Poświadczenia użytkownika muszą pochodzić z co najmniej dwóch lub z trzech różnych kategorii lub czynników. Uwierzytelnianie dwuskładnikowe lub 2FA to podzbiór usługi MFA, w której wymagane są tylko dwa poświadczenia, ale usługa MFA może używać dowolnej liczby czynników.
Wiedza – Najczęstszym przykładem tego czynnika jest oczywiście hasło, ale może to również przybrać formę kodu PIN. Niektóre firmy mogą również skonfigurować uwierzytelnianie oparte na wiedzy, takie jak pytania zabezpieczające (np. „Jakie jest nazwisko panieńskie twojej matki?”). Niestety podstawowe dane osobowe często można wykryć lub ukraść w drodze badań, phishingu i inżynierii społecznej, co czyni je słabą metodą uwierzytelniania.
Posiadanie – Jest znacznie mniej prawdopodobne, że haker ukradł twoje hasło i jednocześnie ukradł ci coś fizycznego. Powyższy czynnik potwierdza, że jeżeli jesteś w posiadaniu telefonu komórkowe, fizycznego tokenu, karty chipowej, to włamanie na konto może być utrudnione.
Biometria – czynnik ten jest zwykle weryfikowany przez skan linii papilarnych w telefonie komórkowym, ale obejmuje również wszystko, co byłoby unikalnym identyfikatorem twojej osoby fizycznej – skan siatkówki, rozpoznawanie głosu lub twarzy oraz wszelkie inne rodzaje danych biometrycznych.
W zależności od przedmiotu zabezpieczenia – Istnieje kilka sposobów, w jakie to uwierzytelnianie działa. Niektóre typowe metody obejmują potwierdzenie za pośrednictwem aplikacji mobilnej lub wyskakujących powiadomień z telefonu komórkowego, wpisanie unikalnego kodu wygenerowanego przez fizyczny token lub włożenie karty (np. w bankomacie).
Uwierzytelnianie wieloskładnikowe w praktyce
Niektóre firmy mogą chcieć skonfigurować uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników, pracowników i klientów. Jest to szczególnie skuteczne w połączeniu z rozwiązaniem jednokrotnego logowania (SSO), które usuwa wiele haseł z równania, jeszcze bardziej wzmacniając bezpieczeństwo i poprawiając wrażenia użytkownika. To powiedziawszy, niektóre organizacje mogą nie czuć potrzeby wymagania MFA we wszystkich przypadkach. Aby zoptymalizować wygodę pracowników i klientów, mogą oni zdecydować się na obejście usługi MFA w scenariuszach niskiego ryzyka, jednocześnie wymagając silniejszych zabezpieczeń w sytuacjach wysokiego ryzyka.
Ochrony danych przy wykorzystaniu MFA może żądać np:
Bank – może on zezwolić klientowi na zalogowanie się na swoje konto online przy użyciu tylko nazwy użytkownika i hasła. W momencie jednak wykonywania jakiejkolwiek transakcji może zajść potrzeba wskazania drugiego czynnika uwierzytelniającego, zanim transakcje będą mogły zostać zatwierdzone.
Firma – Organizacja może wymagać wyższego poziomu pewności, wskazującego na to, że pracownik jest tym, za kogo się podaje, gdy uzyskuje dostęp do aplikacji HR z kawiarni lub innej lokalizacji poza domeną.
Sprzedawca indywidualny – może skonfigurować usługę MFA, aby uruchamiała się, gdy loguje on się do swojego portalu z nowego urządzenia, aby upewnić się, że nie jest to haker, który próbuje dostać się do niego ze skradzionym hasłem. Ten rodzaj uwierzytelniania wieloskładnikowego nazywany jest kontekstowym, adaptacyjnym lub opartym na ryzyku uwierzytelnianiem wieloskładnikowym.
Pobieranie aplikacji lub posiadanie tokena, którego można regularnie używać do uwierzytelniania wieloskładnikowego w pracy, jest zwykle prostym procesem dla pracowników. Jeśli chodzi o usługę MFA dla klientów, sprawa staje się nieco trudna, gdyż większość podmiotów ma wysokie wymagania bezpieczeństwa, przy jak najszybszym załatwieniu każdej sprawy. Według badań nad bezpieczeństwem sieci – mając wybór, klienci nie byli zainteresowani włączeniem ochrony MFA na swoich kontach. Nie zmieniła tego nawet możliwość darmowego korzystania z tego rodzaju zabezpieczeń.
Wiele firm zachęca klientów do korzystania z usługi MFA, wyjaśniając, w jaki sposób może ona nie tylko zwiększyć bezpieczeństwo konta bez znaczącego wpływu na ich logowanie, ale także usprawnić inne interakcje (np. Weryfikację tożsamości podczas rozmowy telefonicznej z obsługą klienta). Niektóre firmy udostępniają nawet usługę MFA za pośrednictwem własnych aplikacji mobilnych przeznaczonych dla klientów, zamiast zmuszać klientów do pobrania oddzielnej aplikacji lub korzystania z mniej bezpiecznych czynników. Bez wątpienia jest to przyszłość w zakresie weryfikacji podmiotów w wielu dziedzinach życia.
FIDO2, bez hasła i przyszłość MFA
FIDO Alliance to konsorcjum branżowe zaprojektowane w celu udostępnienia usługi MFA bez hasła wszystkim użytkownikom i usługom online, z którymi współpracują. Biorąc pod uwagę wielkość kosztów związanych z typowym naruszeniem prawa własności – nie wspominając o utraconych przychodach i pozostałych szkodach dla reputacji firmy – poleganie na hasłach i innych czynnikach wiedzy, takich jak KBA i jednorazowe hasła, które okazały się podatne na ataki, jest ryzykowne. Standard FIDO2 definiuje typowy sposób implementacji MFA w przeglądarkach i usługach online. Zapewnia użytkownikom opcję bez hasła, takie jak:
- klucze bezpieczeństwa,
- dane biometryczne
- inne rozwiązania,
- eliminując przy tym czynniki wiedzy w celu poprawy bezpieczeństwa użytkowników i usług online.
Jakie są technologie uwierzytelniania wieloskładnikowego?
Pamiętajmy, że samo wdrożenie technologii uwierzytelniania wieloskładnikowego doprowadza do tego, że należy wdrożyć określone usługi/wymaga sprzętowe, celem prawidłowej implementacji tego rodzaju zabezpieczenia.
Technologie uwierzytelniania wieloskładnikowego są następujące:
- Przeciągnięcie karty i wprowadzenie kodu PIN.
- Logowanie się do witryny internetowej i żądanie wprowadzenia dodatkowego hasła jednorazowego (OTP), które serwer uwierzytelniania witryny wysyła na telefon lub adres e-mail osoby żądającej.
- Pobranie klienta VPN z ważnym certyfikatem cyfrowym i zalogowanie się do VPN przed uzyskaniem dostępu do sieci.
- Przeciągnięcie karty, skanując odcisk palca i odpowiadanie na pytanie bezpieczeństwa.
- Podłączenie tokena sprzętowego USB do komputera stacjonarnego, który generuje jednorazowy kod dostępu i używanie go do logowania się do klienta VPN.
Technologie wymagane do obsługi tych scenariuszy obejmują:
- Tokeny zabezpieczające: małe urządzenia sprzętowe, które właściciel nosi w celu autoryzacji dostępu do usługi sieciowej. Urządzenie może mieć postać karty inteligentnej lub może być osadzone w łatwym do przenoszenia przedmiocie, takim jak brelok do kluczy lub pamięć USB. Tokeny sprzętowe zapewniają czynnik posiadania w przypadku uwierzytelniania wieloskładnikowego. Tokeny programowe stają się coraz bardziej powszechne niż urządzenia sprzętowe.
- Tokeny miękkie: oparte na oprogramowaniu aplikacje tokenów zabezpieczających, które generują jednorazowy kod PIN logowania. Tokeny miękkie są często używane do wieloczynnikowego uwierzytelniania mobilnego, w którym samo urządzenie – takie jak smartfon – zapewnia czynnik posiadania.
- Uwierzytelnianie mobilne: Odmiany obejmują: wiadomości SMS i połączenia telefoniczne wysyłane do użytkownika metodą pozapasmową, aplikacje OTP na smartfony, karty SIM i karty inteligentne z przechowywanymi danymi uwierzytelniającymi.
- Biometria: Komponenty urządzeń biometrycznych obejmują czytnik, bazę danych i oprogramowanie do konwersji zeskanowanych danych biometrycznych do znormalizowanego formatu cyfrowego i do porównywania punktów dopasowania obserwowanych danych z przechowywanymi danymi.
- GPS: aplikacje na smartfony z GPS mogą udostępniać lokalizację jako czynnik uwierzytelniający.
Uwierzytelnianie wieloskładnikowe to odpowiedź na liczne przypadki kradzieży tożsamości i przełamywanie haseł do rachunków bankowych oraz firm. Dzięki tej metodzie każdy uniezależnia się od informatycznych systemów bezpieczeństwa na rzecz fizycznych elementów, które stanowią dodatkową barierę ochronną wielu aspektów życia. Miejmy nadzieję, że hakerzy i oszuści przez długi czas nie będą w stanie móc ingerować w tego typu rozwiązanie.
