Metody uwierzytelniania MFA & 2FA: Zalety, wady i zastosowania

Ostatnia aktualizacja dnia 2 września 2025

Cyberbezpieczeństwo nie jest kompletne bez uwierzytelniania wieloskładnikowego (MFA). MFA to złoty standard ochrony tożsamości użytkowników. Wzmacnia ono bezpieczeństwo logowania, wymagając dwóch lub więcej rodzajów dowodów: czegoś, co znasz (np. hasło), czegoś, co posiadasz (np. telefon) oraz czegoś, czym jesteś (np. odcisk palca). W tym artykule analizujemy i porównujemy popularne metody uwierzytelniania dwuskładnikowego (2FA), od podstawowych kodów SMS po odporne na phishing klucze dostępu, aby pozwolić Ci wybrać najlepsze rozwiązanie dla Twojej firmy lub do użytku osobistego. Niezależnie od tego, czy jesteś administratorem IT, czy po prostu interesujesz się MFA, ten artykuł pomoże Ci odnaleźć się w dynamicznym świecie technologii uwierzytelniania.

Oto lista najczęściej używanych metod MFA:

Jednorazowe kody dostępu SMS (OTP przez SMS) – Unikalny kod numeryczny wysyłany na telefon użytkownika przez SMS, którego można użyć do tego konkretnego logowania; wprowadzenie kodu podczas logowania weryfikuje tożsamość użytkownika.
Aplikacja uwierzytelniająca (TOTP) – Kod generowany lokalnie w aplikacji mobilnej, synchronizowany czasowo i zmieniający się co 30 sekund; wprowadzenie kodu podczas logowania weryfikuje tożsamość użytkownika.
Sprzętowe tokeny OTP – Fizyczne urządzenia (np. breloki), które wyświetlają lub przesyłają kody OTP do systemu; wprowadzenie kodu podczas logowania weryfikuje tożsamość użytkownika.
Magiczne linki / linki e-mail lub SMS – Jednorazowy link logowania wysyłany na e-mail lub SMS, którego kliknięcie potwierdza tożsamość.
Powiadomienia push – Powiadomienie wysyłane na zaufane urządzenie mobilne użytkownika, umożliwiające zatwierdzenie lub odrzucenie logowania jednym kliknięciem.
Klucze bezpieczeństwa FIDO U2F / FIDO2 – Fizyczne urządzenia, które użytkownik wkłada do portu USB lub przykłada do czytnika NFC, aby przeprowadzić uwierzytelnienie odporne na phishing.
Biometria – Odcisk palca, twarz lub tęczówka oka służy do odblokowania urządzenia z zapisanymi danymi uwierzytelniającymi.
Połączenie telefoniczne – System dzwoni na zarejestrowany numer użytkownika i prosi o wykonanie polecenia, takiego jak naciśnięcie klawisza, co potwierdza logowanie.
Uwierzytelnianie kodem QR – Kod QR jest skanowany zaufanym urządzeniem mobilnym w celu zatwierdzenia logowania.
YubiKey OTP – Fizyczny klucz YubiKey generuje po jego dotknięciu unikalny kod OTP i przesyła go bezpośrednio do systemu, zapewniając szybkie i odporne na manipulacje logowanie.
Klucze dostępu (FIDO2 bez hasła) – Bezhasłowa metoda logowania oparta na danych biometrycznych lub kodzie PIN zapisywanych na urządzeniu.
Kody zapasowe – Lista zapasowych kodów jednorazowych do użycia w przypadku braku dostępu do innych metod uwierzytelniania.
Karty inteligentne / PKI – Karty z certyfikatami i kluczami prywatnymi, używane wraz z czytnikiem i kodem PIN do potwierdzenia tożsamości.

Chcesz zastosować jedną z tych metod? Wypróbuj Rublon MFA →

Co to jest metoda uwierzytelniania?

Metoda uwierzytelniania to forma weryfikacji, która pomaga systemowi bezpieczeństwa ustalić, czy osoba próbująca się zalogować jest tym, za kogo się podaje.

Podczas uwierzytelniania system bezpieczeństwa wykorzystuje jedną lub więcej metod uwierzytelniania, aby potwierdzić tożsamość użytkownika.

Hasło jest również rodzajem metody uwierzytelniania. Jednak hasła nie są zbyt bezpieczne. Zawsze należy używać haseł w połączeniu z co najmniej jedną inną metodą uwierzytelniania. Wiele już powiedzieliśmy o bezpieczeństwie haseł i powodach, dla których warto włączyć uwierzytelnianie wieloskładnikowe (MFA). Skupmy się teraz na bezpieczniejszych metodach uwierzytelniania.

Metody uwierzytelniania MFA & 2FA

Jednorazowe kody dostępu SMS (OTP przez SMS)

Kod SMS to jedna z najstarszych i najczęściej używanych metod MFA. Podczas logowania użytkownik otrzymuje w wiadomości SMS jednorazowy kod numerycznyi wprowadza go, aby zakończyć uwierzytelnianie. Jest to metoda out-of-band (OOB) dostarczana przez publiczną komutowaną sieć telefoniczną (PSTN).

Rekomendacje NIST: Unikaj słabych metod MFA

Nie wszystkie formy uwierzytelniania wieloskładnikowego (MFA) zapewniają taki sam poziom bezpieczeństwa. Dokument NIST SP 800‑63 zaleca rezygnację z używania SMS-ów jako drugiego czynnika uwierzytelniania w kanale poza pasmem (out-of-band), ze względu na dużą liczbę ataków na SMS. Zamiast tego promuje silniejsze metody, takie jak uwierzytelnianie push wzmocnione biometrycznie oraz mechanizmy odporne na phishing.

Telefon odbierający jednorazowy kod SMS — Telefon wyświetla hasło jednorazowe (OTP) otrzymane w wiadomości tekstowej. Użytkownik musi wprowadzić ten kod na swoim laptopie lub innym urządzeniu logowania, aby zakończyć proces uwierzytelniania wieloskładnikowego i bezpiecznie uzyskać dostęp do swojego konta.

Zastosowania:

Usługi skierowane do konsumentów, które wymagają weryfikacji za pomocą telefonów komórkowych użytkowników, szczególnie bankowość internetowa i inne aplikacje finansowe lub detaliczne
Jako metoda zapasowa lub „ostatnia deska ratunku” w organizacji, gdy użytkownicy nie mogą skorzystać z bezpieczniejszych opcji (na przykład gdy użytkownik nie ma smartfona lub dostępu do Internetu).

Zalety:

Brak potrzeby instalowania dodatkowych aplikacji; działa na każdym telefonie komórkowym zdolnym do odbierania wiadomości tekstowych.
Bardzo prosta w użyciu, nawet dla mniej zaawansowanych technicznie użytkowników.

Wady:

Podatna na przechwycenie przez atakujących (przez złośliwe przekierowanie SMS lub wykorzystanie podatności w sieciach telefonicznych, takich jak protokół SS7).
Podatna na ataki typu SIM swap, polegające na tym, że atakujący w sposób nieuprawniony przenosi numer telefonu ofiary na własną kartę SIM, aby przechwytywać kody uwierzytelniające.
Brak odporności na phishing. Atakujący mogą nakłonić użytkowników do ujawnienia kodów SMS na fałszywych stronach internetowych lub za pomocą inżynierii społecznej.

Rekomendacje:

2FA przez SMS powinno być używane tylko wtedy, gdy nie jest dostępna silniejsza metoda. Lepiej sprawdza się jako opcja zapasowa niż podstawowa metoda MFA.
Organizacje powinny zaplanować wycofanie kodów SMS na rzecz bezpieczniejszych, odpornych na phishing metod, gdy tylko jest to możliwe.
Publikacja NIST Special Publication SP 800-63B Digital Identity Guidelines: Authentication and Authenticator Management odradza korzystanie z jednorazowych haseł SMS i mówi o wskaźnikach ryzyka, takich jak zamiana urządzenia, zmiana karty SIM i przenoszenie numeru, które należy wziąć pod uwagę przed skorzystaniem z tego typu uwierzytelniania.

Kody TOTP z aplikacji uwierzytelniającej

Użytkownik posiada aplikację uwierzytelniającą na swoim smartfonie (np. Google Authenticator, Microsoft Authenticator, Rublon Authenticator) lub komputerze stacjonarnym (WinAuth, OTPClient), która generuje jednorazowy kod co 30 sekund. Kody te mają zazwyczaj 6 cyfr i są oparte na standardzie Time-Based One-Time Password (TOTP) zdefiniowanym w dokumencie RFC 6238. Podczas logowania użytkownik otwiera aplikację, odczytuje bieżący kod i wprowadza go w monicie logowania, aby się uwierzytelnić. Ten typ Kodu dostępu jest jedną z najczęstszych metod MFA.

Aplikacja uwierzytelniająca wyświetla zmieniający się 6-cyfrowy kod — Ekran smartfona wyświetla hasło jednorazowe oparte na czasie (TOTP) wygenerowane przez aplikację mobilną Rublon Authenticator. Użytkownik musi w krótkim oknie czasowym wprowadzić ten kod na swoim laptopie lub innym urządzeniu wykorzystywanym do logowania, aby zakończyć uwierzytelnianie wieloskładnikowe i bezpiecznie uzyskać dostęp do swojego konta.

Zastosowania:

Strony internetowe i usługi online dla konsumentów, które oferują uwierzytelnianie dwuskładnikowe za pomocą aplikacji uwierzytelniających.
Systemy korporacyjne (VPN, aplikacje wewnętrzne, bramy dostępu zdalnego), gdzie kody TOTP są powszechnie używane jako drugi składnik logowania pracowników.

Zalety:

Po początkowej konfiguracji działa bez dostępu do internetu (kody są generowane w trybie offline).
Niektóre aplikacje uwierzytelniające umożliwiają dodatkową warstwę ochrony, np. wymagają podania odcisku palca lub kodu PIN do otwarcia aplikacji lub podania kodu. Zapewnia to dodatkową warstwę bezpieczeństwa w przypadku zgubienia telefonu lub pozostawienia go bez nadzoru.

Wady:

Wymaga od użytkownika zainstalowania aplikacji na telefonie lub komputerze.
Brak odporności na phishing. Atakujący mogą nakłonić użytkowników do wprowadzenia kodu na fałszywej stronie internetowej, co może zostać wykorzystane przez atakującego do uzyskania dostępu do prawdziwej witryny.
Niezbyt wygodna. Użytkownik musi ręcznie otworzyć aplikację i przepisać kod, co komplikuje i wydłuża proces logowania.

Rekomendacje:

Aplikacje uwierzytelniające TOTP są nadal zalecane w wielu scenariuszach, ponieważ oferują dobrą równowagę między bezpieczeństwem a użytecznością i są bezpieczniejsze niż samo hasło.
TOTP są podatne na phishing, zatem warto w miarę możliwości chronić aplikacje krytyczne za pomocą metod odpornych na phishing (np. klucze bezpieczeństwa FIDO2).
Edukuj użytkowników o ryzyku związanym z wprowadzaniem kodów na nieznanych lub podejrzanych stronach i zachęcaj do korzystania z funkcji ochrony aplikacji za pomocą kodu PIN/odcisku palca dla zwiększenia poziomu bezpieczeństwa.

Sprzętowe tokeny OTP

Sprzętowy token OTP to samodzielne urządzenie fizyczne (często mały brelok), które generuje jednorazowe kody dostępu i wyświetla je na ekranie. Użytkownik odczytuje kod z urządzenia i wpisuje go jako drugi czynnik uwierzytelniania. W zależności od modelu, sprzętowe tokeny OTP mogą generować kody TOTP (RFC 6238). lub HOTP (RFC 4226). Na przykład:

Token RSA SecurID SID800 wyświetla nowy kod co 30 lub 60 sekund.
Token Feitian c100 wyświetla nowy kod cyfrowy po każdym naciśnięciu przycisku.

Zastosowania:

Starsze systemy i środowiska o wysokim poziomie bezpieczeństwa, takie jak bankowość i systemy korporacyjne (przed erą kluczy sprzętowych i aplikacji uwierzytelniających na smartfony).
Alternatywa dla użytkowników, którzy nie mogą lub nie chcą używać osobistego smartfona do MFA. Na przykład, niektóre organizacje nadal oferują tokeny sprzętowe pracownikom, którzy nie mają telefonów służbowych lub czują się niekomfortowo, używając urządzeń osobistych do uwierzytelniania w pracy.

Zalety:

Całkowicie niezależny od telefonów i łączności sieciowej. Token działa offline, w dowolnym miejscu i czasie.

Wady:

Każde urządzenie tokenowe to dodatkowy koszt. Do tego dochodzą stałe koszty wymiany baterii i wymiany urządzenia po jakimś czasie.
Wymaga aprowizacji i zarządzania. Tokeny muszą być dystrybuowane do użytkowników, śledzone i ostatecznie unieważniane lub wymieniane. Administrowanie tokenami sprzętowymi (zwłaszcza w wielu działach) jest trudne logistycznie.
Mniej wygodne dla użytkowników; kolejny przedmiot do noszenia i bezpiecznego przechowywania. Tokeny można zgubić, albo zostawić w domu czy szufladzie biurka w firmie, przez co token nie będzie dostępny w razie potrzeby.
Funkcjonalnie podobne do kodów jednorazowych (OTP) w aplikacjach, ale pozbawione wielofunkcyjnej wygody smartfona. Na przykład, użytkownik i tak zawsze będzie mieć przy sobie telefon, podczas gdy oddzielny token łatwiej zgubić.
Brak odporności na phishing. Podobnie jak w przypadku kodów z aplikacji, użytkownik może zostać nakłoniony do wprowadzenia wyświetlanego kodu na fałszywej stronie internetowej, co pozwoli atakującemu natychmiast użyć tego kodu na prawdziwej stronie.

Rekomendacje:

Sprzętowe tokeny OTP tracą na popularności w wielu organizacjach z powodu kosztów i problemów z wygodą i są w dużej mierze zastępowane przez aplikacje mobilne i klucze bezpieczeństwa FIDO2.
Jeśli Twoja organizacja nadal korzysta z tokenów sprzętowych, rozważ przejście na uwierzytelniacze mobilne lub nowoczesne klucze bezpieczeństwa, aby zapewnić użytkownikom większą wygodę i wyższy poziom bezpieczeństwa.
W scenariuszach, w których tokeny sprzętowe są konieczne (np. w środowiskach z polityką zakazu telefonów), upewnij się, że istnieją jasne procedury szybkiej wymiany zgubionych tokenów.
Edukuj użytkowników o zagrożeniach związanych z phishingiem. Aby wybrać bezpieczniejszą opcję sprzętową, rozważ urządzenia odporne na phishing, takie jak klucze bezpieczeństwa FIDO2, które w ogóle nie wymagają ręcznego wprowadzania kodu.

Magiczne linki wysyłane e-mailem i SMS-em

Użytkownik otrzymuje jednorazowy link wysłany na zarejestrowany adres e-mail lub numer telefonu za pośrednictwem wiadomości tekstowej. Następnie klika link, aby zweryfikować swoją tożsamość. Ta metoda opiera się na bezpieczeństwie konta e-mail lub mechanizmu SMS jako drugiego czynnika. Metody Link SMS i Link e-mail są wygodne, ale wiążą się z kompromisami w zakresie bezpieczeństwa, które organizacje powinny dokładnie ocenić przed wdrożeniem.

Wiadomość tekstowa z magicznym linkiem — Smartfon wyświetla Magiczny Link otrzymany przez SMS, umożliwiając użytkownikowi zalogowanie się poprzez proste otwarcie linku – bez konieczności wpisywania czegokolwiek. Magiczne linki wysyłane e-mailem działają w ten sam sposób, oferując przyjazną dla użytkownika alternatywę dla tradycyjnych metod uwierzytelniania.

Zastosowania:

Starsze systemy i strony internetowe dla konsumentów, które nie zaimplementowały dedykowanych aplikacji MFA ani nowocześniejszych rozwiązań, ale mogą przynajmniej wysłać magiczny link na adres e-mail lub kartę SIM użytkownika.
Scenariusze awaryjne i odzyskiwania konta, takie jak utrata telefonu przez użytkownika i potrzeba alternatywnego sposobu otrzymania drugiego składnika.

Zalety:

Poza dostępem do konta e-mail or karty SIM nie jest potrzebna żadna dodatkowa aplikacja ani urządzenie.
Powszechna dostępność: praktycznie każdy posiada adres e-mail i kartę SIM, co sprawia, że jest to powszechnie dostępna opcja.

Wady:

Bezpieczeństwo tej metody jest tylko tak silne, jak bezpieczeństwo konta e-mail lub SMS-ów. W wielu przypadkach adres e-mail jest również powiązany z odzyskiwaniem hasła. Jeśli osoba atakująca uzyska dostęp do poczty e-mail, może przechwycić magiczne linki, a także zresetować inne hasła, skutecznie podważając całe uwierzytelnianie wielopoziomowe (MFA).
E-maile mogą być wysyłane z opóźnieniem lub w ogóle nie zostać wysłane. Wiadomości mogą trafić do folderów ze spamem lub napotkać opóźnienia, frustrując użytkowników lub blokując ich dostęp, jeśli kod dotrze zbyt późno.
Linki wysłane w wiadomości tekstowej mają te same luki w zabezpieczeniach, co kody OTP przesyłane za pośrednictwem SMS-ów.

Rekomendacje:

Uwierzytelnianie wieloskładnikowe oparte na poczcie e-mail (lub SMS-ach) jest lepsze niż nic, ale jest jedną ze słabszych metod.
Należy z niej korzystać przede wszystkim jako z metody zapasowej lub tymczasowej (na przykład podczas przechodzenia na bezpieczniejszy system MFA).
Jeśli włączysz magiczne linki przez e-maila, upewnij się, że samo konto e-mail jest chronione przez MFA i silne, unikalne hasło, ponieważ stają się one wtedy krytycznym punktem bezpieczeństwa.
Zawsze zachęcaj użytkowników do skorzystania z silniejszych metod uwierzytelniania wieloskładnikowego (MFA), jeśli są dostępne.
Edukuj użytkowników, aby byli ostrożni wobec nieoczekiwanych e-maili z prośbą o kody lub logowanie, ponieważ mogą to być próby phishingu.

Powiadomienia push

Użytkownik otrzymuje na swój telefon powiadomienie push (tzw. Powiadomienie mobilne) i może zatwierdzić logowanie jednym dotknięciem. Powiadomienie zazwyczaj zawiera szczegóły na temat próby logowania (np. lokalizacja, aplikacja i czas), dzięki czemu użytkownik może zweryfikować jej autentyczność.

Niektóre implementacje obsługują również dopasowanie numerów, gdzie na ekranie logowania wyświetlany jest numer, który użytkownik musi wprowadzić na telefonie, aby potwierdzić, że zatwierdza prawidłowe żądanie. Jest to dowód, że użytkownik aktywnie weryfikuje konkretną próbę logowania, który pomaga zapobiegać przypadkowym i nieautoryzowanym zatwierdzeniom.

Mobilne powiadomienie push z prośbą o zatwierdzenie logowania — Smartfon wyświetla powiadomienie push z prośbą o zatwierdzenie próby logowania. Zatwierdzając, użytkownik potwierdza swoją tożsamość i kończy uwierzytelnianie wieloskładnikowe. Ta metoda jest powszechnie używana przez Google Prompt i Rublon Authenticator do bezpiecznego uwierzytelniania out-of-band (OOBA).

Zastosowania:

Rozwiązania korporacyjne MFA i nowoczesne usługi online, w których wygoda użytkownika ma duże znaczenie.
Scenariusze logowania jednokrotnego (SSO), gdzie logowania wywołują powiadomienie push na telefonie użytkownika zamiast wymagać kodu, usprawniając uwierzytelnianie dla użytkownika.

Zalety:

Nie ma potrzeby przepisywania kodu dostępu z jednego urządzenia na drugie.
Szybkie i łatwe. Zazwyczaj do dokończenia logowania wystarczy „dotknąć, aby zatwierdzić”.
Dostarcza informacji kontekstowych na temat logowania (kto, kiedy i gdzie), pomagając użytkownikom wykrywać nieautoryzowane próby dostępu w czasie rzeczywistym.
Jeśli stosowane jest dopasowanie numeru lub inne metody potwierdzenia, pomaga to zapobiegać atakom typu „push bombing”, ponieważ użytkownik musi świadomie zatwierdzić logowanie, wpisując odpowiedni kod. To znacznie utrudnia atakującemu wymuszenie akceptacji poprzez uporczywe wysyłanie powiadomień.
W zależności od implementacji aplikacja uwierzytelniająca może wymusić blokadę biometryczną lub kodem PIN przed wyświetleniem/zatwierdzeniem powiadomienia push.

Wady:

Jeśli dopasowanie numeru nie jest włączone, atakujący mogą przytłoczyć użytkowników powtarzającymi się fałszywymi żądaniami logowania (technika znana jako „push fatigue” lub „push bombing”), aby użytkownik w końcu zaakceptował jedno z nich z frustracji lub zdezorientowania.
Wymaga, aby urządzenie mobilne użytkownika miało aktywne połączenie z internetem (Wi-Fi lub dane komórkowe) do odbierania powiadomień.

Rekomendacje:

Uwierzytelnianie wieloskładnikowe z powiadomieniami push oferuje doskonałą równowagę między bezpieczeństwem a wygodą i jest zwykle najbardziej zalecaną wśród nieodpornych na phishing metod MFA.
Aby zmaksymalizować bezpieczeństwo, organizacje powinny włączyć funkcje takie jak dopasowanie numeru i wymagać potwierdzenia biometrycznego w aplikacji uwierzytelniającej.
Edukuj użytkowników, aby nigdy nie zatwierdzali nieoczekiwanego żądania logowania. Jeśli otrzymają niespodziewany monit, powinni go odrzucić i zgłosić sprawę do działu bezpieczeństwa.
W przypadku systemów o szczególnym znaczeniu, które wymagają najwyższego poziomu bezpieczeństwa, należy rozważyć przejście na metody w pełni odporne na phishing (np. klucze bezpieczeństwa FIDO2).

Zalecenia CISA dotyczące uwierzytelniania push

Dokument „Implementing Number Matching in MFA Applications” opublikowany przez CISA potwierdza, że uwierzytelnianie wieloskładnikowe oparte na powiadomieniach push jest podatne na ataki typu „zmęczenie MFA”, w których użytkownicy mogą nieświadomie zatwierdzać próby logowania wskutek powtarzających się powiadomień.

Aby ograniczyć to ryzyko, CISA zaleca wdrożenie mechanizmu dopasowania numerów (number matching) — funkcji wymagającej od użytkownika wpisania do aplikacji uwierzytelniającej kodu wyświetlanego na ekranie logowania.

Choć dopasowanie numerów nie dorównuje metodom odpornym na phishing, CISA uznaje je za jedno z najskuteczniejszych zabezpieczeń dla organizacji korzystających z uwierzytelniania typu push.

Sprzętowe klucze bezpieczeństwa FIDO U2F i FIDO2

Sprzętowe klucze bezpieczeństwa to małe urządzenia fizyczne (klucze USB lub breloki NFC/Bluetooth), które przechowują tajne dane kryptograficzne i używają protokołów takich jak FIDO U2F i FIDO2, umożliwiając użycie ich jako drugiego składnika MFA lub w uwierzytelnianiu bezhasłowym.

Aby się uwierzytelnić, użytkownik podłącza klucz do swojego urządzenia (wkładając go do portu USB lub przykładając do czytnika NFC urządzenia), a następnie dotyka klucza w celu potwierdzenia. Niektóre klucze bezpieczeństwa obsługują również weryfikację użytkownika, wymagając podania kodu PIN lub odcisku palca.

Klucz bezpieczeństwa USB używany do potwierdzenia logowania — Użytkownik wkłada sprzętowy klucz bezpieczeństwa do portu USB swojego laptopa, aby zweryfikować swoją tożsamość. Te fizyczne urządzenia – oparte na standardach FIDO U2F i FIDO2 – umożliwiają silne uwierzytelnianie odporne na phishing. Niektóre klucze obsługują również NFC lub Bluetooth, dzięki czemu można ich używać z urządzeniami mobilnymi.

Zastosowania:

Ochrona kont uprzywilejowanych i administratorskich, gdzie wymagany jest najwyższy poziom bezpieczeństwa.
Organizacje o bardzo wysokich wymaganiach bezpieczeństwa (takie jak agencje rządowe, sektor obronny, finansowy i firmy technologiczne) wdrażają klucze dla swoich pracowników w celu zabezpieczenia dostępu do wrażliwych systemów.
Zabezpieczanie dostępu do usług chmurowych i dostawców tożsamości. Na przykład, używanie kluczy bezpieczeństwa z Microsoft Entra ID (Azure AD), Google Workspace, GitHub i innymi usługami, które obsługują uwierzytelnianie FIDO2/WebAuthn.

Zalety:

Odporność na phishing. Klucze bezpieczeństwa pozwolą dokończyć logowanie tylko wtedy, gdy to prawdziwa, prawidłowa strona internetowa (domena) żąda uwierzytelnienia. Zastosowanie mechanizmu „origin binding” oznacza, że nawet jeśli użytkownik zostanie namówiony do wejścia na fałszywą stronę i rozpocznie uwierzytelnianie, klucz na niej nie zadziała.
Bardzo szybkie i wygodne dla użytkowników. W wielu przypadkach logowanie sprowadza się do włożenia klucza i dotknięcia go, bez konieczności odczytywania czy wpisywania kodów.
Brak wrażliwych danych do przechwycenia przez atakującego. W przeciwieństwie do kodów OTP i SMS, żadne dane uwierzytelniające nie są przesyłane przez sieć; cała weryfikacja odbywa się za pomocą kryptografii klucza publicznego.
Wyjątkowo bezpieczne. Klucze prywatne używane do uwierzytelniania nigdy nie opuszczają urządzenia i nie można ich wyodrębnić, sklonować ani wyłudzić. Ponadto klucze bezpieczeństwa są trwałe i nie wymagają zasilania bateryjnego.
Jeden klucz bezpieczeństwa może być używany w wielu różnych usługach (o ile obsługują one ten standard), co zmniejsza potrzebę korzystania z wielu urządzeń. Na przykład, jeden klucz może zabezpieczyć pocztę e-mail, konta w chmurze, menedżer haseł itd.

Wady:

Koszt. Każdy użytkownik potrzebuje co najmniej jednego klucza (najlepiej dwóch, w tym klucza zapasowego). Może to być znacząca inwestycja początkowa.
Dystrybucja i zarządzanie. Trzeba fizycznie rozdystrybuować klucze. Wdrożenie ich dla pracowników zdalnych może wiązać się z wysyłką. Potrzebny jest również proces wymiany zgubionych lub skradzionych kluczy. Ważne jest również prowadzenie ewidencji przypisanych kluczy i kluczy zapasowych.
Jeśli klucz zostanie zgubiony lub skradziony i nie jest chroniony kodem PIN lub biometrią, ktoś, kto wejdzie w jego posiadanie, może go użyć do uwierzytelnienia (chociaż nadal potrzebuje nazwy użytkownika i hasła). Ryzyko to jest łagodzone przez fakt, że sam klucz zazwyczaj nie wystarczy, aby uzyskać dostęp bez innych dane uwierzytelniejących.
Opór użytkowników. Dla niektórych osób proces ten może początkowo wydawać się nietypowy, ponieważ wiąże się z koniecznością korzystania z nowego urządzenia. Dlatego konieczna jest edukacja użytkowników, aby upewnić się, że rozumieją i przyswoją tę technologię.

Powiązanie z originem w FIDO2

Jednym z głównych powodów, dla których klucze sprzętowe FIDO2 są odporne na phishing, jest mechanizm powiązania z originem. Jak opisano w specyfikacji W3C WebAuthn, każde żądanie uwierzytelnienia jest kryptograficznie powiązane z „originem”, czyli dokładnym adresem, protokołem i portem strony internetowej.

Dzięki temu dane uwierzytelniające nie mogą zostać użyte na innej stronie, a próby logowania z fałszywych domen są automatycznie odrzucane przez klucz. Powiązanie z originem to fundament odporności standardu FIDO2 na phishing.

Rekomendacje:

Dla każdego konta lub systemu, gdzie bezpieczeństwo jest najważniejsze, klucze sprzętowe FIDO2 są złotym standardem i powinny być poważnie rozważone.
Zacznij od wdrożenia ich w najbardziej wrażliwych grupach użytkowników (administratorzy, kierownictwo, programiści z dostępem do systemów produkcyjnych itp.).
Zawsze wydawaj co najmniej dwa klucze na użytkownika (jeden główny i jeden zapasowy), aby uniknąć zablokowania w przypadku zgubienia klucza. Poinstruuj użytkowników, aby trzymali zapasowy klucz w bezpiecznym miejscu.
Wprowadź jasną procedurę wymiany kluczy i unieważniania kluczy zgubionych.
Choć koszt początkowy jest wyższy, korzyści w zakresie bezpieczeństwa są naprawdę znaczące. Klucze FIDO pomagają drastycznie zmniejszyć liczbę kont przejętych w wyniku phishingu i kradzieży danych uwierzytelniających.

Biometria

Biometryczne metody uwierzytelniania wieloczynnikowego (MFA) wykorzystują unikalne cechy fizyczne lub behawioralne użytkownika do weryfikacji tożsamości. Obejmuje to technologie takie jak skanowanie odcisku palca, rozpoznawanie twarzy, skanowanie tęczówki lub siatkówki oka, rozpoznawanie głosu, a nawet biometrię behawioralną, taką jak dynamika pisania na klawiaturze.

Biometria, taka jak odciski palców czy rozpoznawanie twarzy, jest często wykorzystywana do odblokowywania wbudowanych w urządzenia osobiste mechanizmów uwierzytelniających. Przykładowo, uwierzytelnianie bezhasłowe w Windows Hello pozwala użytkownikowi uwierzytelnić się za pomocą czytnika linii papilarnych, odblokowując klucz dostępu (passkey) bezpiecznie zapisany na urządzeniu. Klucz ten służy następnie do logowania odpornego na phishing, a wszystko to bez konieczności wpisywania hasła.

Biometria w zaleceniach NIST

Według wytycznych NIST, biometria powinna być stosowana jako element uwierzytelniania wieloskładnikowego, a nie jako samodzielna metoda.

Najskuteczniej działa w połączeniu z kryptograficznym składnikiem opartym na urządzeniu, takim jak klucz dostępu lub token bezpieczeństwa.

Zastosowania:

Elektronika użytkowa: smartfony, tablety i laptopy używają odcisków palców lub rozpoznawania twarzy do odblokowywania urządzeń i uwierzytelnienia dostępu do aplikacji (np. Apple Touch ID i Face ID, czujniki odcisków palców w systemie Android).
Bezpieczeństwo korporacyjne i rządowe: skanery biometryczne do fizycznego dostępu do budynków (czytniki odcisków palców, skanery twarzy) oraz do logowania do komputerów w środowiskach o wysokim poziomie bezpieczeństwa.
Rozwiązania uwierzytelniania bezhasłowego. Przykładowo, system macOS umożliwia logowanie do stron internetowych i aplikacji za pomocą kluczy dostępu (passkeys) zapisanych w Pęku kluczy iCloud. Uwierzytelnienie odbywa się przez Touch ID lub kod PIN urządzenia bez konieczności wpisywania hasła. Metoda ta wykorzystuje kryptografię klucza publicznego i jest odporna na phishing, przechwytywanie danych oraz ich ponowne użycie.

Zalety:

Wygoda. Niezwykle szybkie i proste dla użytkowników: bez haseł do zapamiętania, bez kodów do wpisywania. Zawsze „masz” przy sobie swoją biometrię, a uwierzytelnienie sproawdza się tylko do dotknięcia lub spojrzenia.
Biometrii nie można zapomnieć ani zostawić w domu, w przeciwieństwie do hasła czy klucza bezpieczeństwa.
Dane biometryczne w nowoczesnych systemach są zazwyczaj przechowywane i dopasowywane lokalnie (w bezpiecznej enklawie/TPM na urządzeniu), co oznacza, że rzeczywiste dane odcisku palca lub twarzy nie są wysyłane przez sieć. Pozwala to uniknąć tworzenia centralnego repozytorium informacji biometrycznych i zmniejsza ryzyko masowego naruszenia tych danych.

Wady:

Biometria nie jest tajemnicą. Odciski palców, twarze i głosy mogą być kopiowane lub fałszowane przy odpowiednim wysiłku i technologii. Na przykład, zebranie odcisków palców z powierzchni lub użycie zdjęcia w wysokiej rozdzielczości czy deepfake’a do sfałszowania rozpoznawania twarzy lub głosu. Zaawansowane systemy biometryczne mają mechanizmy sprawdzania żywotności i anty-spoofingu, ale tańsze lub starsze rozwiązania mogą zostać oszukane.
Niektórzy użytkownicy mają obawy dotyczące prywatności związane z udostępnianiem danych biometrycznych. Mogą obawiać się niewłaściwego wykorzystania ich odcisków palców lub skanów twarzy, nawet jeśli system jest zaprojektowany do ochrony tych danych.
Zazwyczaj specyficzne dla platformy. Odcisk palca zarejestrowany na telefonie lub laptopie jest używany tylko na tym urządzeniu. Nie ma uniwersalnej bazy danych biometrycznych dla wszystkich usług. Jest to dobre dla bezpieczeństwa, ale oznacza również, że biometria musi być połączona z innymi metodami w celu dostępu międzyplatformowego, lub używana do odblokowania jakiejś zapisanej danej uwierzytelniającej na urządzeniu, a nie bezpośrednio na stronie internetowej.

Rekomendacje:

Używaj biometrii, aby poprawić komfort użytkowania i bezpieczeństwo na urządzeniach osobistych, ale nie jako całkowicie odrębnego i samodzielnego składnika uwierzytelniania.
Biometria najlepiej sprawdza się do odblokowywania urządzenia lub lokalnego poświadczenia (takiego jak klucz prywatny lub zaszyfrowany token), które następnie uwierzytelnia się na serwerze. Na przykład odcisk palca może odblokować klucz dostępu FIDO2 na urządzeniu.
Organizacje wdrażające biometrię powinny to robić zgodnie z przepisami o ochronie prywatności (takimi jak RODO); zazwyczaj oznacza to, że użycie biometrii powinno być opcjonalne, a dane powinny pozostać na urządzeniu użytkownika.
Zawsze należy zapewnić metodę alternatywną osobom, które zrezygnują z biometrii.
Z uwagi na to, że biometria może być w rzadkich przypadkach sfałszowana, mądrze jest łączyć ją z innym składnikiem.

Połączenia telefoniczne

Uwierzytelnianie przez połączenie telefoniczne wykorzystuje publiczną sieć telefoniczną do potwierdzenia logowania. Podczas uwierzytelniania automatyczny system dzwoni na zarejestrowany numer telefonu użytkownika. System albo odczytuje jednorazowy kod, który użytkownik musi wpisać w formularzu logowania, albo żąda naciśnięcia określonego klawisza (na przykład „Naciśnij 1, aby zatwierdzić”). Z uwagi na to, że weryfikacja ta odbywa się innym kanałem niż samo logowanie, Uwierzytelnianie wielopoziomowe (MFA) za pomocą połączenia telefonicznego jest przykładem uwierzytelniania out-of-band (OOBA).

Automatyczne połączenie telefoniczne od dostawcy MFA, które poprosi użytkownika o naciśnięcie dowolnego klawisza — Telefon odbiera automatyczne połączenie telefoniczne, w którym użytkownik proszony jest o potwierdzenie próby logowania. Odbierając połączenie i wykonując polecenia głosowe — zazwyczaj poprzez naciśnięcie odpowiedniego klawisza — użytkownik kończy proces uwierzytelniania wieloskładnikowego i potwierdza swoją tożsamość.

Zastosowania:

Miejsca pracy i scenariusze, w których użytkownicy mają dostęp do telefonu stacjonarnego, ale nie do aplikacji mobilnych ani wiadomości tekstowych, takie jak centra obsługi klienta lub niektóre urzędy z telefonami biurkowymi.
Użytkownicy, którzy nie posiadają telefonu komórkowego lub pracują w miejscach, gdzie nie ma zasięgu sieci komórkowej (ale być może mają dostęp do telefonu stacjonarnego).

Zalety:

Nie wymaga dostępu do internetu ani smartfona. Można skorzystać z telefonu stacjonarnego lub zwykłego telefonu komórkowego, co czyni tę metodę dostępną w środowiskach o niskim poziomie zaawansowania technologicznego.
Dzięki przekazowi głosowemu użytkownicy z ograniczeniami wzrokowymi lub trudnościami w odbiorze treści tekstowych mogą odsłuchać kod uwierzytelniający oraz niezbędne instrukcje.

Wady:

Niepraktyczna w hałaśliwych lub publicznych miejscach, ponieważ użytkownik może nie usłyszeć kodu lub czuć się nieswojo, odbierając połączenie uwierzytelniające w obecności innych osób.
Wolniejsza i mniej wygodna niż inne metody. Użytkownik musi czekać na połączenie, wysłuchać całej wiadomości i albo przepisać kod, albo nacisnąć przycisk. Zajmuje to więcej czasu niż proste spojrzenie na powiadomienie na telefonie w aplikacji uwierzytelniającej.
Jeśli metoda polega na wprowadzaniu kodu odczytanego przez telefon, to ma podobne luki w zabezpieczeniach przed phishingiem jak inne metody OTP. Atakujący może nakłonić użytkownika do ujawnienia wypowiedzianego kodu.

Rekomendacje:

Zarezerwuj MFA przez połączenie telefoniczne dla przypadków, w których żadna inna metoda nie zadziała.
Przy używaniu tego typu uwierzytelniania, podejście „naciśnij klawisz, aby potwierdzić” jest lepsze niż odczytanie kodu na głos, ponieważ interaktywne potwierdzenie jest mniej podatne na błędy i nieco bezpieczniejsze niż kod, który mógłby zostać zapisany przez kogoś w pobliżu.
Administratorzy powinni upewnić się, że numery telefonów są aktualne i wziąć pod uwagę środowisko użytkownika (na przykład centrum obsługi klienta może używać tej metody, ale zapewniać cichą linię lub zestaw słuchawkowy, aby pracownik mógł usłyszeć połączenie).
Zawsze miej dostępną alternatywę na wypadek awarii usług telefonicznych lub gdy użytkownik nie może odebrać połączenia.

Uwierzytelnianie kodem QR

Na ekranie logowania wyświetlany jest użytkownikowi kod QR, który należy zeskanować za pomocą aplikacji mobilnej w celu weryfikacji logowania. Zeskanowanie kodu QR za pomocą odpowiedniej aplikacji uwierzytelniającej, takiej jak Rublon Authenticator, potwierdzi tożsamość użytkownika. Metoda ta często jest powiązana z aplikacją, do której użytkownik jest zalogowany na swoim telefonie, tworząc pozapasmowe potwierdzenie, że osoba przy komputerze jest tą samą osobą, która posiada zaufany telefon.

Użytkownik skanujący kod QR telefonem — Uwierzytelnianie oparte na kodzie QR pozwala użytkownikowi zweryfikować swoją tożsamość poprzez zeskanowanie unikalnego kodu za pomocą aplikacji mobilnej. Proces ten tworzy bezpieczne połączenie między urządzeniem a próbą logowania.

Zastosowania:

Systemy korporacyjne i zdalnego dostępu, gdzie proces logowania może wyświetlić kod QR, który pracownicy skanują za pomocą zatwierdzonej przez firmę aplikacji uwierzytelniającej.
Portale rządowe i usług publicznych (np. usługi e-administracji, systemy rezerwacji wizyt), które implementują kody QR jako dodatkowy krok bezpieczeństwa.

Zalety:

Bardzo szybkie uwierzytelnianie. Zeskanowanie kodu QR pozwala na zatwierdzenie logowania w kilka sekund, bez konieczności wpisywania czegokolwiek.
Kod QR jest zazwyczaj jednorazowego użytku i traci ważność natychmiast po zeskanowaniu, co zwiększa bezpieczeństwo. Nawet gdyby ktoś uchwycił obraz kodu, byłby on bezużyteczny po pierwszym zeskanowaniu lub po krótkim czasie.
Eliminuje błędy związane z ręcznym wpisywaniem; użytkownicy nie muszą wpisywać żadnych kodów, co zmniejsza ryzyko pomyłek i przekroczenia limitu czasu logowania.

Wady:

Wymaga od użytkownika posiadania smartfona z aparatem i zainstalowaną odpowiednią aplikacją.
Jeśli kod QR jest wyświetlany na ekranie widocznym dla innych, istnieje ryzyko, że ktoś inny szybko zrobi mu zdjęcie. Jednak bez powiązanego hasła oraz zaufanej aplikacji, sam kod QR nie wystarczy, aby włamać się na konto chronione uwierzytelnianiem wieloskładnikowym.

Rekomendacje:

Uwierzytelnianie wieloskładnikowe za pomocą kodu QR umożliwia płynne logowanie, zwłaszcza w kontrolowanych środowiskach.
Aby bezpiecznie korzystać z kodu QR, należy upewnić się, że wygasa on natychmiast po użyciu i nie może zostać ponownie użyty.
Upewnij się, że kod QR nie jest łatwo widoczny dla osób zaglądających przez ramię (shoulder surfing) i kamer bezpieczeństwa.
Przekaż użytkownikom jasne instrukcje, gdy korzystają z aplikacji po raz pierwszy („otwórz aplikację firmową i zeskanuj kod QR w celu zatwierdzenia logowania”), aby wiedzieli, co mają zrobić.
Podobnie jak w przypadku innych metod wykorzystujących telefon, warto mieć przygotowaną alternatywę dla osób, które nie mają pod ręką smartfona.

YubiKey OTP

YubiKey OTP to dedykowana funkcja sprzętowych kluczy YubiKey opracowanych przez firmę Yubico. Po aktywacji — zazwyczaj poprzez dotknięcie urządzenia — YubiKey generuje jednorazowy kod składający się z 32 znaków w formacie modhex i automatycznie wpisuje go do aktywnego pola tekstowego, symulując działanie klawiatury. Kod ten jest następnie weryfikowany przez usługę walidacyjną — za pośrednictwem chmurowej infrastruktury Yubico lub własnego serwera walidacyjnego — w celu uwierzytelnienia użytkownika. YubiKey OTP stanowi pomost między tradycyjnym uwierzytelnianiem opartym na kodach OTP a nowoczesnymi rozwiązaniami z wykorzystaniem kluczy sprzętowych.

YubiKey generujący długie hasło jednorazowe — Użytkownik dotyka swojego urządzenia YubiKey podłączonego do laptopa, co powoduje automatyczne wprowadzenie hasła jednorazowego (OTP). Ten wygenerowany sprzętowo kod kończy uwierzytelnianie wieloskładnikowe, oferując silną ochronę przed kradzieżą danych uwierzytelniających.

Zastosowania:

Zabezpieczanie ważnych kont i systemów (serwery, konta administratorów, dostęp VPN), które obsługują integrację z YubiKey OTP, zwłaszcza tam, gdzie bezpośrednie połączenie z internetem może nie być dostępne dla powiadomień push, a standardy FIDO U2F i FIDO2 nie są obsługiwane.
Środowiska, w których wiadomości SMS i aplikacje mobilne są uznawane za niewystarczająco bezpieczne lub zawodne i preferowane są rozwiązania OTP oparte na sprzęcie, ale z możliwością automatycznego wprowadzania kodu (YubiKey wpisuje kod za użytkownika).

Zalety:

Fizyczny token, którego nie można zduplikować cyfrowo. Dane przechowywane na YubiKey są unikalne dla urządzenia i niemożliwe do wyodrębnienia.
Nie ma potrzeby instalowania sterowników ani oprogramowania na urządzeniu klienckim; YubiKey działa jak standardowa klawiatura USB podczas przesyłania kodów OTP, co oznacza, że jest w pełni kompatybilny z wieloma systemami.
Szybki w użyciu: wystarczy podłączyć i dotknąć klucza YubiKey, a kod OTP zostanie wprowadzony automatycznie, bez konieczności ręcznego wpisywania.

Wady:

Jeśli klucz YubiKey zostanie zgubiony lub skradziony, użytkownik traci ten składnik uwierzytelniania, dopóki nie zostanie użyta metoda zastępcza lub zapasowa. W przeciwieństwie do hasła, nie można po prostu zresetować funkcji YubiKey OTP; potrzebny jest inny klucz fizyczny lub alternatywny sposób dostępu. (Posiadanie metody zapasowej jest niezbędne.)
Brak odporności na phishing. Kody jednorazowe YubiKey mogą zostać przechwycone przez złośliwe witryny, podobnie jak kody Google Authenticator. Jeśli atakujący nakłoni użytkownika do użycia klucza YubiKey na fałszywej stronie logowania, wygenerowany kod jednorazowy może zostać natychmiast użyty do uzyskania dostępu do prawdziwej usługi (w krótkim okresie ważności kodu).
Koszty zarządzania: do walidacji OTP albo polegasz na usłudze strony trzeciej (chmura Yubico), albo utrzymujesz własny serwer walidacyjny i musisz bezpiecznie powiązać każdy YubiKey z kontem użytkownika.

Rekomendacje:

YubiKey OTP może być użytecznym sposobem włączenia starszych systemów w bezpieczniejszy świat MFA oraz dla aplikacji, które nie obsługują standardów FIDO U2F i FIDO2.
W przypadku wdrożeń w nowych systemach, rozważ najpierw użycie kluczy YubiKey działających w nowoczesnym trybie FIDO2 (dla odporności na phishing) i używaj trybu OTP tylko dla systemów, które nie obsługują standardu WebAuthn.
Z czasem dąż do aktualizacji lub wymiany systemów obsługujących tylko OTP na te, które mogą obsługiwać nowsze, odporne na phishing standardy.

Klucze dostępu (passkeys – bezhasłowe poświadczenia FIDO2)

Klucze dostępu (passkeys) to poświadczenia zgodne ze standardami FIDO2/WebAuthn, umożliwiające logowanie bez użycia hasła lub w ramach uwierzytelniania wieloskładnikowego.

Podczas rejestracji klucza dostępu urządzenie użytkownika generuje unikalną parę kluczy (publiczny i prywatny) powiązaną z domeną danej witryny.

Przy logowaniu urządzenie podpisuje wyzwanie (challenge) kluczem prywatnym, po uprzednim potwierdzeniu tożsamości użytkownika za pomocą lokalnej metody, takiej jak skan odcisku palca, rozpoznawanie twarzy lub kod PIN.

Podpis jest następnie weryfikowany przy użyciu klucza publicznego przechowywanego przez witrynę. Klucz prywatny nigdy nie opuszcza urządzenia i nie działa na innych domenach, co sprawia, że ta metoda jest w swej istocie odporna na phishing.

Użytkownik loguje się za pomocą klucza dostępu ze swojego sejfu 1Password, co zapewnia bezpieczne logowanie odporne na phishing — Użytkownik loguje się za pomocą klucza dostępu przechowywanego w swoim sejfie 1Password. Gdy pojawi się monit logowania, użytkownik wybiera klucz dostępu, klika 'Zaloguj się’ i natychmiast uzyskuje dostęp. Klucze dostępu wykorzystują kryptografię klucza publicznego do bezpiecznego, odpornego na phishing uwierzytelniania.

Zastosowania:

Nowoczesne platformy konsumenckie i duże witryny internetowe wprowadzają obsługę kluczy dostępu, aby zastąpić lub wzmocnić hasła (np. konta Google, konta Microsoft, Apple ID, GitHub, PayPal i wiele innych umożliwiają logowanie za pomocą klucza dostępu).
Przedsiębiorstwa wdrażające strategię bezhasłową, w której pracownicy korzystają z danych biometrycznych lub kodów PIN na laptopach/telefonach, aby logować się do usług firmowych bez konieczności wpisywania hasła. Klucze dostępu mogą znacznie zwiększyć poziom bezpieczeństwa, upraszczając jednocześnie logowanie użytkowników.
Scenariusze, w których użycie osobnego klucza fizycznego może być niewygodne, a zamiast tego preferowane jest wykorzystanie istniejącego urządzenia użytkownika (z jego bezpiecznym sprzętem i biometrią). Klucze dostępu mogą służyć jako składnik posiadania (urządzenie) połączony ze składnikiem cechy fizycznej (biometria) lub składnikiem wiedzy (PIN urządzenia) w jednym płynnym procesie.

Zalety:

Odporność na phishing. Urządzenie odmawia podpisywania wyzwań z innej domeny, zapobiegając atakom typu adversary-in-the-middle i credential replay.
Wygoda użytkownika. Logowanie jest szybkie i bezproblemowe. Użytkownicy uwierzytelniają się za pomocą biometrii lub kodu PIN na własnym urządzeniu, zamiast wpisywać hasło lub kod.
Lokalne przechowywanie kluczy. Klucz prywatny jest bezpiecznie przechowywany w sprzętowych komponentach urządzenia (np. w bezpiecznej enklawie lub module TPM) albo w oprogramowaniu (np. w menedżerach haseł).
Obsługa wielu urządzeń. Wiele ekosystemów pozwala na tworzenie kopii zapasowych lub synchronizację kluczy dostępu z innymi urządzeniami (np. przez iCloud Keychain, Google Password Manager, menedżery haseł), co zapewnia awaryjność w przypadku niedostępności głównego urządzenia i umożliwia wdrożenie kluczy dostępu zarejestrowanych przez administratora za pomocą korporacyjnych menedżerów haseł.

Wady:

Zależność od bezpieczeństwa urządzenia i kont chmurowych. Jeśli urządzenie użytkownika zostanie zainfekowane (np. przez złośliwe oprogramowanie), atakujący może zainicjować nieautoryzowane uwierzytelnienie, jeśli potrafi również sfałszować biometrię lub zna PIN.
Jeśli klucze dostępu są synchronizowane za pośrednictwem konta w chmurze, a to konto zostanie przejęte, atakujący może potencjalnie uzyskać dostęp do zaszyfrowanych danych klucza. Konstrukcja tych systemów jest bardzo bezpieczna (zazwyczaj wymaga od atakującego również przejęcia urządzenia lub uwierzytelnienia użytkownika w chmurze), jednak ryzyko nie jest zerowe.
Jeśli klucze dostępu są synchronizowane za pośrednictwem konta w chmurze i konto to zostanie naruszone, atakujący może potencjalnie uzyskać dostęp do zaszyfrowanego klucza. Konstrukcja tych systemów jest bardzo bezpieczna (zazwyczaj wymaga od atakującego również złamania zabezpieczeń urządzenia lub uwierzytelnienia użytkownika w chmurze), ale ryzyko nie jest zerowe.
Uzależnienie od ekosystemu i problemy z interoperacyjnością. Klucze dostępu utworzone w jednym ekosystemie (np. Apple) są domyślnie przeznaczone do użycia na urządzeniach należących do tego samego ekosystemu. Istnieją standardy umożliwiające korzystanie z nich między różnymi platformami, jednak doświadczenie użytkownika może być bardziej złożone, jeśli wszystkie urządzenia nie należą do jednego ekosystemu. Sytuacja ta stopniowo się poprawia, ale we wczesnych etapach może powodować dezorientację.
Nowość i zrozumienie przez użytkowników. Klucze dostępu to wciąż nowa koncepcja dla wielu osób. Użytkownicy mogą być zdezorientowani, nie wiedząc, jak je skonfigurować ani co zrobić, gdy pojawi się komunikat o utworzeniu klucza dostępu
Odzyskiwanie konta i utrata urządzenia. Jeśli użytkownik straci wszystkie swoje urządzenia (i dostęp do jakiejkolwiek kopii zapasowej kluczy w chmurze) i nie ma innej metody odzyskiwania na swoim koncie, może zostać całkowicie zablokowany. Oznacza to, że usługi powinny nadal oferować alternatywne opcje odzyskiwania (które mogą być mniej bezpieczne, jeśli nie zostaną starannie wdrożone).

Rekomendacje:

Klucze dostępu reprezentują przyszłość uwierzytelniania kont, łącząc silne bezpieczeństwo z łatwością użycia. Organizacje i deweloperzy powinni zacząć oferować użytkownikom opcje logowania za pomocą kluczy dostępu, zwłaszcza dla kont o wysokiej wartości, ale z uwzględnieniem edukacji użytkowników i metod zapasowych.
Zezwól użytkownikom na rejestrowanie wielu kluczy dostępu (np. jednego na telefonie i jednego na laptopie), aby zapewnić sobie redundancję.
Warto zapewnić sobie metodę awaryjną (np. klucz bezpieczeństwa lub kody zapasowe) na wypadek zgubienia urządzenia. Dobrym pomysłem jest pozwolenie na metodę zapasową (taką jak klucz bezpieczeństwa lub kody zapasowe).
Edukuj swoich użytkowników o tym, jak działają klucze dostępu i jak nimi zarządzać na nowych urządzeniach. W miarę upowszechniania się kluczy dostępu, mogą one znacząco ograniczyć potrzebę stosowania haseł i tradycyjnych kodów OTP, co w efekcie istotnie zwiększy poziom bezpieczeństwa dla wszystkich użytkowników.

Kody zapasowe

Kody zapasowe to kody jednorazowe (często składające się z 8–10 cyfr), które użytkownik może wygenerować lub otrzymać z wyprzedzeniem, aby móc z nich skorzystać, gdy wszystkie inne metody MFA będą niedostępne. Zazwyczaj usługa udostępnia zestaw 5 lub 10 kodów zapasowych, które użytkownik powinien przechowywać w bezpiecznym miejscu (nawet offline, np. wydrukowane na papierze lub zapisane w zaszyfrowanym pliku). Dla zapewnienia najwyższego poziomu bezpieczeństwa, każdy kod zapasowy może być użyty do zalogowania tylko raz. Kody zapasowe służą jako awaryjna metoda uwierzytelniania w przypadku problemów z logowaniem wieloskładnikowym (MFA).

Zastosowania:

Odzyskiwanie dostępu do konta po utracie głównego urządzenia MFA. Na przykład, jeśli użytkownik zgubi telefon lub klucz bezpieczeństwa, może użyć kodu zapasowego, aby zalogować się na konto.
Podróże lub szczególne okoliczności, w których użytkownik może nie mieć przy sobie swojego telefonu lub tokena, a potrzebny jest alternatywny sposób dostępu bez potrzeby kontaktowania się z pomocą techniczną.

Zalety:

Nie wymaga żadnego urządzenia w momencie logowania. Wystarczy kod z zapisanej listy.
Daje użytkownikowi pewną kontrolę nad odzyskiwaniem konta, co potencjalnie oszczędza czas i kłopoty. Jeśli kody zapasowe zostaną przygotowane z wyprzedzeniem, użytkownik może samodzielnie zalogować się awaryjnie, bez czekania na pomoc techniczną (co jest kluczowe, jeśli zajdzie taka potrzeba poza godzinami pracy).
Kody zapasowe można łatwo wygenerować i unieważnić, zarówno po ich użyciu, jak i w sytuacji, gdy użytkownik obawia się, że mogły zostać ujawnione.

Wady:

Bezpieczne przechowywanie jest absolutnie niezbędne. Jeśli użytkownik przechowuje kody zapasowe w niezabezpieczony sposób (np. w postaci zwykłego tekstu na komputerze lub na karteczce samoprzylepnej na monitorze), atakujący może je ukraść. Kody te są często ważne przez długi czas, więc atakujący może ich użyć dopiero po jakimś czasie.
Często używane są dopiero podczas sytuacji awaryjnej, więc użytkownicy mogą zapomnieć, gdzie je schowali lub nie mieć ich pod ręką, gdy będą potrzebne. Jeśli nie są odpowiednio obsługiwane, użytkownik może zostać zablokowany, mimo że otrzymał kody zapasowe.
Kody zapasowe, które pozostają ważne aż do momentu użycia, mogą stanowić długoterminowe zagrożenie w przypadku ich przejęcia przez osoby nieupoważnione. Z kolei kody o krótkim okresie ważności lub jednorazowego użytku wymagają regularnego odnawiania, co może obciążać użytkownika i wiązać się z koniecznością wsparcia ze strony działu IT.
W większości systemów użycie kodu zapasowego nie generuje wyraźnego alertu bezpieczeństwa, co utrudnia wykrycie jego nieautoryzowanego użycia. Jeśli system nie powiadomi właściciela konta o logowaniu przy użyciu takiego kodu, istnieje ryzyko, że atak pozostanie niezauważony.

Rekomendacje:

Każdy dobrze zaprojektowany system MFA powinien oferować kody zapasowe lub równoważną metodę odzyskiwania konta.
Administratorzy powinni generować ograniczoną liczbę kodów pominięcia, które wygasają po określonym czasie.
Przy wydawaniu kodów zapasowych, usługi powinny przypominać użytkownikom o przechowywaniu ich offline w bezpiecznym miejscu (na przykład w zamkniętym sejfie lub w zaszyfrowanym menedżerze haseł) i nie trzymaniu ich tam, gdzie mogłyby zostać ujawnione cyfrowo.
Chociaż są one niezbędnym rozwiązaniem awaryjnym, kody zapasowe powinny być chronione i używane oszczędnie. Celem jest, aby użytkownicy rzadko musieli z nich korzystać.

Karty inteligentne i uwierzytelnianie certyfikatem PKI

Karty inteligentne to fizyczne karty identyfikacyjne z wbudowanym mikroprocesorem, które umożliwiają bezpieczne przechowywanie certyfikatów kryptograficznych. Często są używane w połączeniu z kodem PIN.

Podczas uwierzytelniania użytkownik wkłada kartę inteligentną do czytnika (lub zbliża ją do czytnika NFC) i wprowadza swój kod PIN. Następnie, system wykorzystuje certyfikat z karty do weryfikacji tożsamości użytkownika (zazwyczaj poprzez kryptograficzną odpowiedź na wyzwanie). Podobnie, uwierzytelnianie za pomocą certyfikatu PKI można wdrożyć bez fizycznej karty, przechowując certyfikat użytkownika na jego urządzeniu (w bezpiecznym magazynie certyfikatów) i wykorzystując go do automatycznego uwierzytelniania w usługach (na przykład wzajemne uwierzytelnianie TLS na stronie internetowej). Obie metody opierają się na infrastrukturze klucza publicznego (PKI) – z wydanymi certyfikatami osobistymi – jako czynniku „coś, co masz”, często w połączeniu z kodem PIN lub hasłem („coś, co znasz”).

Powszechne są formy bezstykowe: ta sama technologia kart inteligentnych z certyfikatem może być dostarczana jako karty RFID/NFC, breloki lub opaski na rękę (dotknij, aby uwierzytelnić).

Należy odróżniać prawdziwe bezstykowe karty inteligentne (ISO 14443 z uwierzytelnianiem wzajemnym) od starszych poświadczeń zbliżeniowych 125 kHz, które przesyłają tylko numer ID i są powszechnie klonowane – te drugie nie są odpowiednie jako składnik MFA.

W środowiskach regulowanych lub o wysokim poziomie bezpieczeństwa preferuj kryptograficzne karty inteligentne kontaktowe lub zbliżeniowe (np. PIV/CAC) albo klucze bezpieczeństwa NFC, które spełniają wymagania dotyczące odporności na phishing przy wyższych poziomach AAL.

Zastosowania:

W instytucjach rządowych i wojskowych, gdzie personelowi wydaje się inteligentne karty identyfikacyjne (karty CAC lub PIV) w celu bezpiecznego logowania do komputerów i obiektów. Karty te często pełnią również funkcję dowodu tożsamości ze zdjęciem i identyfikatora dostępu.
Duże przedsiębiorstwa z wysokimi wymaganiami bezpieczeństwa i zgodności (np. instytucje finansowe), które posiadają istniejącą infrastrukturę klucza publicznego (PKI). Pracownicy używają kart inteligentnych lub ich odpowiedników w postaci tokenów USB do logowania do laptopów korporacyjnych, VPN lub podpisywania ważnych transakcji.
Scenariusze wymagające podpisów cyfrowych i niezaprzeczalności, gdzie osobisty certyfikat z karty inteligentnej jest używany do podpisywania dokumentów lub e-maili, dowodząc pochodzenia i integralności wiadomości.
Środowiska z ograniczoną łącznością internetową, gdzie certyfikat offline może być używany do uwierzytelniania użytkowników bez potrzeby podania kodu w czasie rzeczywistym lub zaakceptowania powiadomienia push (np. logowanie do maszyny, która nie jest podłączona do internetu, ale może zweryfikować certyfikat w oparciu o lokalny urząd certyfikacji).

Zalety:

Silne bezpieczeństwo i odporność na phishing. Podczas logowania opartego na certyfikacie nie jest przesyłane żadne hasło wielokrotnego użytku. Uwierzytelnianie polega na wymianie kryptograficznej, której strona phishingowa nie może zreplikować bez faktycznej karty lub certyfikatu. Atakujący nie może po prostu nakłonić użytkownika do „wysłania swojego certyfikatu”, tak jak mógłby go nakłonić do wysłania kodu OTP.
Klucze prywatne są przechowywane bezpiecznie, często w sprzęcie (chip na karcie lub token USB) i chronione kodem PIN. Nawet jeśli haker uzyskałby fizyczny dostęp do karty, nadal potrzebowałby PIN-u (a często karty mają mechanizmy blokujące lub niszczące certyfikat po zbyt wielu błędnych próbach wprowadzenia PIN-u).
Po skonfigurowaniu, logowanie jest bezproblemowe dla użytkownika końcowego. Może on po prostu włożyć kartę, a logowanie odbywa się automatycznie (po wprowadzeniu PIN-u). Brak dodatkowych kroków, takich jak odczytywanie kodów czy zatwierdzanie powiadomień.
Karty inteligentne mogą służyć wielu celom (fizyczny dostęp do drzwi, logowanie do komputera, szyfrowanie i podpisywanie cyfrowe), konsolidując narzędzia bezpieczeństwa.

Wady:

Złożoność infrastruktury. Wdrożenie i utrzymanie PKI nie jest trywialne. Wymaga urzędów certyfikacji, oprogramowania do zarządzania, procesów wydawania i unieważniania certyfikatów itp. Ten nakład pracy jest zazwyczaj uzasadniony tylko w większych organizacjach z dedykowanym personelem IT/bezpieczeństwa.
Koszty sprzętu i logistyki. Każdy użytkownik potrzebuje karty (lub tokena) i ewentualnie czytnika USB lub NFC, jeśli jego urządzenie go nie posiada. Wymiana zgubionych kart i wygasłych certyfikatów wiąże się z pracą administracyjną. Bezpieczna dystrybucja kart do użytkowników zdalnych stanowi dodatkowe wyzwanie.
Brak wygody dla użytkownika. Noszenie przy sobie karty i czytnika (jeśli nie jest wbudowany) może być postrzegane jako uciążliwe w porównaniu z metodami opartymi na telefonie. Jeśli użytkownik zostawi kartę w domu, nie będzie mógł się zalogować. Podobnie, jeśli karta ulegnie uszkodzeniu lub awarii, może to spowodować natychmiastowe przerwanie pracy użytkownika.
Ograniczona łatwość użycia na różnych platformach. W przeciwieństwie do MFA opartego na aplikacji, które może działać na każdym urządzeniu z połączeniem internetowym, rozwiązania z kartami inteligentnymi często wymagają specyficznych konfiguracji na każdym urządzeniu (np. urządzenie musi ufać korporacyjnemu CA, mieć czytnik itp.). Na przykład, logowanie się za pomocą karty inteligentnej do osobistego urządzenia mobilnego zazwyczaj nie jest praktyczne.
Jeśli urządzenie przechowujące certyfikat w formie programowej (a nie na karcie) zostanie przejęte, certyfikat może zostać skradziony bez wiedzy użytkownika. Dlatego preferowanym rozwiązaniem jest przechowywanie certyfikatów na fizycznej karcie inteligentnej.

Rekomendacje:

Karty inteligentne i uwierzytelnianie oparte na infrastrukturze klucza publicznego (PKI) są bardzo bezpieczne i dobrze nadają się dla organizacji, które ich naprawdę potrzebują i mogą sobie pozwolić na związane z nimi koszty (wiele agencji rządowych i branż regulowanych z powodzeniem z nich korzysta).
Jeśli posiadasz już wdrożoną infrastrukturę klucza publicznego (PKI), wykorzystanie kart inteligentnych do uwierzytelniania wieloskładnikowego (MFA) może znacząco zwiększyć bezpieczeństwo. Organizacje, które dopiero zaczynają, powinny rozważyć, czy nowoczesne alternatywy (takie jak klucze bezpieczeństwa FIDO2 czy klucze dostępu) nie będą w stanie sprostać ich potrzebom, oferując jednocześnie mniejszą złożoność.
Jeśli zdecydujesz się na wprowadzenie kart inteligentnych, wprowadź polityki, takie jak żądanie odblokowania karty kodem PIN i zablokowanie karty po kilku nieudanych próbach logowania. Wprowadź jasną procedurę postępowania w przypadku zgubienia lub kradzieży karty (natychmiastowe unieważnienie i wymiana) oraz edukuj użytkowników w zakresie ich obowiązków (dbanie o kartę, niepozostawianie jej w czytniku itp.).
Karty inteligentne mogą zapewnić niezwykle wysoki poziom bezpieczeństwa, porównywalny z najlepszymi nowoczesnymi metodami MFA, ale wiążą się z obciążeniami administracyjnymi, które należy rozważyć w kontekście korzyści dla Twojej konkretnej sytuacji.

Podsumowanie

W przypadku uwierzytelniania wieloskładnikowego (MFA) nie ma jednego uniwersalnego rozwiązania. Najlepsza metoda uwierzytelniania zależy od tolerancji ryzyka, wygody użytkownika, wymagań branżowych dotyczących zgodności oraz ekosystemu urządzeń. Niektóre metody, takie jak SMS, są powszechnie stosowane, ale podatne na ataki, podczas gdy inne, takie jak klucze dostępu i klucze sprzętowe FIDO2, zapewniają silniejszą ochronę przed phishingiem.

Więcej informacji o MFA, jego zastosowaniu, korzyściach i strategiach wdrożeniowych znajdziesz w naszym przewodniku: Co to jest uwierzytelnianie wieloskładnikowe (MFA)?

A jeśli chcesz wdrożyć solidne, elastyczne MFA w całej organizacji, wypróbuj Rublon MFA za darmo (nie wymaga karty kredytowej).

Wypróbuj