Dlaczego uwierzytelnianie wieloskładnikowe (MFA) jest ważne

Jaka jest różnica między uwierzytelnianiem a autoryzacją?

Uwierzytelnianie szuka odpowiedzi na pytanie, kim jest użytkownik i czy jest tym, za kogo się podaje. Autoryzacja natomiast to proces, który określa, jaki poziom dostępu powinien być przyznany użytkownikowi, to znaczy, co użytkownik może, a czego nie może zrobić.

Jakie są Czynniki uwierzytelniania?

Trzy podstawowe Czynniki uwierzytelniania to:

• Czynnik wiedzy (Knowledge Factor) – co użytkownik wie, np. hasło
• Czynnik posiadania (Possession Factor) – co użytkownik ma, np. telefon, token bezpieczeństwa
• Czynnik dziedziczności (Inherence Factor) – kim użytkownik jest, biometria, np. odcisk palca

Podczas gdy czynnik wiedzy jest używany praktycznie w każdym formularzu logowania na świecie, użycie jednego z dwóch innych czynników wymaga wprowadzenia systemu uwierzytelniania 2FA, takiego jak Rublon, w którym pierwszy czynnik polega na wprowadzeniu przez użytkownika swojej nazwy użytkownika i hasła. Drugi, silniejszy czynnik weryfikuje tożsamość użytkownika, na przykład wysyłając powiadomienie push na jego telefon.

Jakie zagrożenia minimalizuje uwierzytelnianie dwuskładnikowe (2FA)?

Uwierzytelnianie 2FA minimalizuje zagrożenia związane z niskim poziomem bezpieczeństwa haseł, atakami phishingowymi i keyloggingiem.

Skradzione lub złamane hasła

Załóżmy, że Twój użytkownik zapisał swoje hasło na kartce papieru. Ktoś je odczytał i poznał hasło. Gdy użytkownik zdecyduje się na włączenie dwuskładnikowego uwierzytelniania (2FA) na swoim koncie, zapewnia to ciągłą ochronę dostępu do tego konta. Nawet jeśli ktoś inny zna hasło użytkownika i spróbuje się zalogować, nie uzyska dostępu bez drugiego składnika uwierzytelniania. Inne metody, które mogą doprowadzić do sytuacji, gdzie hasło użytkownika wpada w niepowołane ręce, obejmują szeroki wachlarz różnych typów ataków. Od prostych ataków siłowych, które polegają na tym, że atakujący losowo próbuje każdej możliwej kombinację haseł, aż uzyska dostęp, do bardziej zaawansowanych metod, takich jak tablice tęczowe. Nawet jeśli atakujący złamie hasło, zostanie zatrzymany przez drugi czynnik. Bez względu na to, którego typu ataku używają atakujący, uwierzytelnianie 2FA zapewnia skuteczną ochronę przed zhakowanymi hasłami.

Ataki phishingowe

Phishing to wspólna nazwa dla zestawu sposobów na wprowadzenia użytkownika w błąd, tak aby podał swoje wrażliwe dane, na przykład hasło. Najczęstszym sposobem phishingu jest wysłanie e-maila z linkiem do fałszywej strony internetowej zaprojektowanej tak, aby wyglądała dokładnie jak prawdziwa strona. Informacje wprowadzone na fałszywje stronie są zapisywane i używane przez hakera do zalogowania się na prawdziwe konto użytkownika. Oczywiście, wysyłanie linku do fałszywej kopii strony to nie jedyny sposób, w jaki działają atakujący. Mogą również podszywać się pod członków prawdziwej instytucji i próbować oszukać użytkownika przez telefon lub czat tekstowy. Istnieje wiele sposobów phishingu, a cyberprzestępcy są bardzo kreatywni w tworzeniu nowych form takiej działalności. Na szczęście uwierzytelnainie 2FA dodaje drugi czynnik, który znacznie zmniejsza prawdopodobieństwo powodzenia ataków phishingowych. Atakujący zostaną albo odcięci od dostępu do informacji użytkownika, albo użytkownik, mając więcej czasu, uzna działania atakujących za podejrzane i zaniecha dalszych działań.

Keylogging

Nawet jeśli użytkownik nie otrzymał wiadomości lub linku do fałszywej strony internetowej od atakującego, jego urządzenie mogło zostać zainfekowane złośliwym oprogramowaniem rejestrującym naciśnięcia klawiszy. Taki keylogger może stanowić poważne zagrożenie, jeśli użytkownik nie włączył uwierzytelniania 2FA na swoim koncie. Keyloggery zapisują każdy klawisz naciskany przez użytkownika podczas procesu uwierzytelniania i wysyłają informacje do hakera, który następnie może użyć tak zdobytego hasła do zalogowania się na konto użytkownika. Uwierzytelnianie 2FA chroni użytkowników przed keyloggingiem, wprowadzając drugi czynnik uwierzytelniania. Nawet jeśli hasło użytkownika wpadnie w ręce hakera, drugi czynnik uwierzytelniania skutecznie powstrzyma hakera przed dostępem do konta użytkownika.

Jakie są korzyści z korzystania z uwierzytelniania 2FA?

Korzystanie z uwierzytelniania 2FA wiąże się z szeregiem korzyści. Przede wszystkim, uwierzytelnianie dwuskładnikowe znacznie zmniejsza ryzyko utraty cennych danych i pieniędzy, zabezpieczając Twoje konta dodatkową warstwą uwierzytelniania. Jak pokazano w tym artykule, hasła są łatwe do złamania, co sprawia, że atakujący mogą łatwo się pod Ciebie podszyć. Wprowadzenie drugiego czynnika uwierzytelniania sprawia, że Twoje konto jest mniej podatne na włamania. Jeśli Twój drugi czynnik polega na użyciu fizycznego urządzenia, to nawet jeśli atakujący uzyska pełny dostęp do Twojego komputera, nadal nie będzie mógł zalogować się na Twoje konto. Potrzebowałby do tego Twojego telefonu. Jeśli utrzymanie bezpieczeństwa Twoich użytkowników i informacji jest dla ciebie najważniejsze, powinno to być wystarczającym powodem do wprowadzenia uwierzytelniania 2FA dla Twoich pracowników. Ale to nie wszystko. Wdrożenie uwierzytelniania 2FA i udokumentowanie tego faktu wysyła silny sygnał do Twoich klientów. Jest to sygnał dający jasno znać, że dbasz o bezpieczeństwo ich danych. To sprawia, że Twoi klienci są bardziej skłonni do kontynuowania współpracy. Co więcej, korzystanie z uwierzytelniania dwuskładnikowego znacznie zwiększa Twoją zgodność ze wszystkimi regulacjami i standardami bezpieczeństwa, w tym PCI DSS, ISO/IEC 27001, NYDFS i NAIC. Zważywszy na obszerną gamę korzyści, zdecydowanie warto zaimplementować uwierzytelnianie 2FA w Twojej firmie i zintegrować je ze wszystkimi aplikacjami, aby zapewnić bezpieczeństwo użytkownikom oraz klientom.

Czy można korzystać z uwierzytelniania 2FA będąc offline?

Większość metod uwierzytelniania wymaga dostępu do Internetu. Jednak użytkownicy nie zawsze mają dostęp do publicznej sieci. Mogą być za granicą lub na pokładzie samolotu. Rozwiązaniem jest algorytm hasła jednorazowego opartego na standardzie TOTP (Time-Based One-Time Password Algorithm – RFC 6238) zaprojektowany przez Symantec, VeriSign i innych. Usługa Rublon w pełni obsługuje algorytm TOTP w formie metody uwierzytelniania Kod mobilny, gdzie kody jednorazowe są generowane co 30 sekund przez aplikację mobilną Rublon Authenticator. Nawet jeśli użytkownik jest offline! Użytkownik loguje się jak zwykle, podając swoją nazwę użytkownika i hasło, a następnie wybiera metodę Kod mobilny jako metodę uwierzytelniania. Następnie użytkownik musi wprowadzić kod dostępu, który wygenerowała aplikacja Rublon Authenticator. Alternatywnym, ale płatnym sposobem wykorzystania algorytmu TOTP jest zakup specjalnego tokena, który generuje kody dostępu. Metoda uwierzytelniania Kod SMS to kolejna metoda uwierzytelniania 2FA, która nie wymaga dostępu do internetu.

Czym jest uwierzytelnianie MFA/2FA?

Uwierzytelnianie wieloskładnikowe (Multi-Factor Authentication – MFA) to metoda uwierzytelniania, która, oprócz standardowego loginu i hasła jako pierwszego czynnika, dodaje dodatkową warstwę bezpieczeństwa w postaci większej liczby czynników uwierzytelniania. Uwierzytelnianie dwuskładnikowe (Two-Factor Authentication – 2FA) to rodzaj uwierzytelniania wieloskładnikowego, który używa dokładnie dwóch czynników.

Jakie są metody uwierzytelniania?

Metodą uwierzytelniania jest każda metoda, która może być użyta do uwierzytelnienia użytkownika, czyli do zweryfikowania jego tożsamości. Oprócz użycia haseł, które wyraźnie okazują się niewystarczającym sposobem uwierzytelniania we współczesnym świecie, następujące metody uwierzytelniania mogą być używane jako drugi czynnik w systemie 2FA:

Powiadomienie mobilne

Uwierzytelnianie za pomocą powiadomień mobilnych jest nie tylko przyjazne dla użytkownika, ale także wysoce bezpieczne, co czyni je świetnym wyborem na drugi czynnik uwierzytelniania. Po wprowadzeniu swojej nazwy użytkownika i hasła, otrzymujesz powiadomienie push na swój telefon. Powiadomienie zawiera szczegóły dotyczące próby logowania, np. czas i miejsce, w którym miało miejsce, a także adres IP. Możesz zaakceptować żądanie logowania, jeśli to rzeczywiście Ty próbujesz się zalogować, lub w przeciwnym razie odmówić dostępu. Niestety łatwość i wygoda użytkowania mogą być również wadą metody Powiadomienie mobilne, ponieważ metoda ta jest podatna na nieuwagę użytkownika. Dlatego tak ważne jest, aby informować swoich użytkowników, że zawsze powinni uważnie czytać informacje dotyczące próby uwierzytelniania przed ich zaakceptowaniem. Inną wadą metody Powiadomienie mobilne jest to, że powiadomienia są wysyłane przez sieć wifi, więc wymagany jest stały dostęp do Internetu.

TOTP

Metody uwierzytelniania 2FA związane z algorytmem hasła jednorazowego opartego na czasie (Time-Based One Time Password – TOTP) obejmują fizyczne urządzenie, takie jak token bezpieczeństwa oraz aplikację na telefonie. Co ustaloną ilość czasu generowany jest nowy kod dostępu. Podczas uwierzytelniania musisz wprowadzić kod dostępu. Oprócz prostoty użycia, największą zaletą TOTP jest to, że można korzystać z tej metody w trybie offline. Choć fizyczne tokeny mogą generować znaczne koszty, co jest często podnoszoną wadą tej metody, to dzięki bezpłatnej aplikacji mobilnej Rublon Authenticator zainstalowanej na smartfonie, możliwe jest uwierzytelnianie za pomocą metody Kod mobilny, bez konieczności nabywania jakiegokolwiek sprzętu.

Kod SMS

Kod SMS to kod wysyłany na Twoje urządzenie mobilne. Aby pomyślnie zakończyć proces uwierzytelniania, musisz podać kod, który został Ci wysłany za pośrednictwem wiadomości tekstowej. Kody SMS są powszechnie używane przez banki do uwierzytelniania klientów logujących się na swoje konta. Oprócz tego, że są stosunkowo proste i powszechne, kody SMS mają pewne wady. Po pierwsze, musisz ujawnić swój numer telefonu, co nie zawsze jest pożądane, np. ze względu na polityki bezpieczeństwa. Po drugie, musisz zawsze mieć przy sobie telefon, co na szczęście nie jest obecnie dużym problemem. Gorzej jeśli zgubisz telefon. Możesz wtedy stracić dostęp do swojego konta. Aby rozwiązać ten problem, dobry system uwierzytelniania dwuskładnikowego powinien pozwolić użytkownikowi wybrać więcej niż jedną metodę uwierzytelniania. Ważną zaletą kodów SMS jest to, że nie potrzebujesz dostępu do Internetu na swoim urządzeniu mobilnym.

Link e-mail

Link e-mail to prosty sposób na weryfikację tożsamości użytkowników, który nie wymaga instalacji oprogramowania ani dodatkowego sprzętu. Użytkownicy klikają na link wysłany przez usługę Rublon na adres e-mail użytkownika i logują się na urządzeniu, które rozpoczęło proces logowania. Ważne jest, aby uświadomić użytkownikom, że hasło do ich konta nie powinno być takie samo jak hasło do ich konta e-mail.

Kod QR

Uwierzytelnianie za pomocą kodu QR zwykle polega na tym, że na monicie uwierzytelniania pojawia się kod QR. Użytkownik weryfikuje wtedy swoją tożsamość, skanując kod QR za pomocą telefonu z aplikacją Rublon Authenticator.

Klucz bezpieczeństwa WebAuthn/U2F

Klucze bezpieczeństwa to zaawansowane urządzenia USB, które podłączasz do portu USB urządzenia, na którym przeprowadzasz proces uwierzytelniania. W zależności od rodzaju Twojego klucza, proces uwierzytelniania może nieco się różnić, ale najczęściej polega na dotknięciu klucza. Bardziej zaawansowane klucze bezpieczeństwa posiadają czytnik biometryczny. Takie klucze łączą czynniki posiadania i dziedziczności, stając się jedną z najbezpieczniejszych metod uwierzytelniania. Klucze bezpieczeństwa mają jednak wadę i jest nią ich fizyczność. Utrata tokena uniemożliwia uwierzytelnianie. Co więcej, w przeciwieństwie do darmowych metod, takich jak Powiadomienie mobilne, klucze bezpieczeństwa sporo kosztują, 

Którą metodę uwierzytelniania 2FA wybrać?

Każdy typ uwierzytelniania 2FA ma swój unikalny zestaw zalet i wad. Polecamy metodę Powiadomienie mobilne, ponieważ ten typ uwierzytelniania jest szybki, łatwy w użyciu i darmowy. Jednak wybór należy do Ciebie. Dobrze zaprojektowane rozwiązanie uwierzytelniania wieloskładnikowego pozwala wybrać jedną lub więcej metod, które najlepiej odpowiadają Twoim potrzebom i zmieniać je według potrzeb, zgodnie z adaptacyjnymi politykami uwierzytelniania. Właśnie to robi system Rublon. Administrator ma możliwość aktywacji jednej lub więcej metod uwierzytelniania. Wybrane metody będą dostępne dla użytkowników na widoku Rublon Prompt podczas każdej próby uwierzytelnienia za pomocą usługi Rublon. Użytkownik, który próbuje zalogować się do zintegrowanej aplikacji, wprowadza swoje dane uwierzytelniające, które są pierwszym czynnikiem uwierzytelniania. Następnie użytkownikowi prezentowany jest widok Rublon Prompt. Użytkownik wybiera jedną z dostępnych aktywnych metod uwierzytelniania, co stanowi drugi czynnik. Uwierzytelnianie Rublon łączy czynnik wiedzy z czynnikiem posiadania lub dziedziczności, aby chronić Twoich użytkowników przed ryzykiem wynikającym z korzystania wyłącznie z hasła.