Ekran System Blog

Aktualności, Opinie, Informacje Branżowe

Uwierzytelnianie Dwuskładnikowe: Kategorie, Metody i Zadania

Category: 

Ogólnie rzecz biorąc, uwierzytelnianie jest procesem weryfikacji, czy użytkownik, który próbuje uzyskać dostęp do pewnych punktów końcowych, danych oraz funkcjonalności, jest rzeczywiście osobą lub jednostką, za którą się podaje. Uwierzytelnianie wielopoziomowe jest jedną z ogólnych metod stosowanych w celu rozwiązania tego problemu.

Multi-factor authentication scheme

Czym dokładnie jest uwierzytelnianie wielopoziomowe oraz 2FA?

Czym NIE jest uwierzytelnianie dwuskładnikowe?

Rodzaje i metody wykorzystywane do budowania uwierzytelniania dwuskładnikowego

Używanie uwierzytelniania dwuskładnikowego

 

 

1. Czym dokładnie jest uwierzytelnianie wielopoziomowe oraz 2FA?

 

 

Podstawowe metody uwierzytelniania są zazwyczaj jednoczynnikowe: hasło (jeżeli je znasz, jesteś upoważniony), klucz (jeśli go masz, możesz uzyskać dostęp) i tak dalej. Koncepcja uwierzytelnienia wieloczynnikowego wymaga procesu uwierzytelnienia, obejmującego weryfikację co najmniej dwóch z trzech poniższych elementów:

 

  • Coś, co użytkownik wie (hasło, PIN, odpowiedź na pytanie weryfikacyjne, itp.)
  • Coś, co użytkownik posiada (klucz, token, karta bankowa, smartfon, itp.)
  • Coś, co identyfikuje użytkownika pod względem fizycznym - dane biometryczne (linie papilarne, tęczówka oka, głos, itp.)

 

Niektórzy producenci mogą dodać do tej listy również weryfikację lokalizacji i przedziału czasowego.

 

Zatem, weryfikacja dwuetapowa, znana także jako uwierzytelnianie dwuskładnikowe lub 2FA składa się z dwóch czynników, zawartych w powyższej liście, w celu potwierdzenia tożsamości użytkownika. Z racji tego, że skanowanie biometryczne wymaga specjalistycznego sprzętu, zarówno biznesowe, jak i konsumenckie systemy komputerowe wykorzystują dwie pierwsze kategorie – wiedzę i posiadanie.

 

Czym NIE jest uwierzytelnianie dwuskładnikowe?

 

Wraz z rosnącą dbałością o bezpieczeństwo, producenci wkładają wiele wysiłku, aby wzmocnić i zabezpieczyć proces uwierzytelniania, który jest kluczem do osiągnięcia celu. Nie można natomiast nabrać się na chwyty marketingowe, bowiem nie każde uwierzytelnianie wieloetapowe można nazwać wieloczynnikowym.

 

Na przykład, zestaw weryfikacyjnych pytań lub obrazków, pojawiających się na ekranie uwierzytelniania, nadal stanowi pierwszą kategorię wcześniej wspomnianego procesu. Czy pytanie - "Jaki jest pseudonim naszego szefa?" może być bezpieczne? Raczej nie w przypadku współpracownika, który lubi pożyczać hasła innych.

 

Kolejnym przykładem błędnego podwójnego uwierzytelniania opartego wyłącznie na pierwszej kategorii jest znajomość hasła + wysłanie kodu weryfikacyjnego na adres e-mail użytkownika. Dostęp do e-maila można uzyskać z dowolnego miejsca, wykorzystując jedynie jedną informację - hasło do konta e-mail. Jeśli kod ten zostałby wysłany smsem do użytkownika smartfonu, wykorzystany by został element z drugiej kategorii - kategorii posiadania i tym samym nastąpiłaby weryfikacja poprzez dwuskładnikowe uwierzytelnienie.

 

Dwa powyższe systemy mogą być przykładami tak zwanego silnego uwierzytelnienia. Należy jednak pamiętać, że nawet jeśli jakiekolwiek uwierzytelnianie wielopoziomowe jest silne, to nie każde silne uwierzytelnianie jest wieloczynnikowe.

 

Rodzaje i metody wykorzystywane do budowy systemu uwierzytelniania dwuskładnikowego

 

Jak już wcześniej wspomniano, dane biometryczne są powszechnie stosowane w systemach kontrolnych, w których dostęp do punktów weryfikacji jest ograniczony - krajowe procesy zarządzania tożsamością, uwzględniają wykorzystywanie identyfikatorów biometrycznych, a teraz także nawet smartfonów. Producenci systemów komputerowych wolą jednak polegać na połączeniu kategorii wiedzy i posiadania.

 

Kategoria wiedzy jest przeważnie reprezentowana przez dane logowania, takie jak: nazwa użytkownika i hasło. Cała gama standardowych technologii, tj. programy do przechowywania haseł, systemy zarządzania hasłami, hasła jednorazowe, itd., służą do wzmocnienia tej części uwierzytelniania.

 

Można wyróżnić większą liczbę metod wdrażania elementów z kategorii posiadania. Przykładem może być tak podstawowy sposób, jak użycie karty magnetycznej lub bardziej wyszukany, jak specyficzne urządzenie stworzone do takich celów, czyli token. Tokeny zawierają zazwyczaj oprogramowanie, które generuje kod weryfikacyjny po podłączeniu do punktu końcowego (połączone tokeny) lub niezależnie (tokeny niepołączone).

 

Jako, że konieczność noszenia urządzenia przez cały czas może powodować pewne niedogodności dla użytkowników, a potrzeba wyprodukowania, utrzymania i wymiany urządzenia wiąże się z dodatkowymi kosztami, rynek wykonał krok w przód i postanowił wykorzystać urządzenie, które praktycznie każdy użytkownik już ma, czyli smartfon.

 

Tokeny generowane na urządzenia mobilne pojawiają się na smartfonie użytkownika w postaci wiadomości SMS lub wiadomości w dedykowanej aplikacji.

 

Choć jest to bardzo wygodne, takie rozwiązanie ma też kilka wad.

 

Pierwsza wada dotyczy wszystkich tokenów, które są generowane: muszą być one generowane dynamicznie, a bezpieczeństwo tego procesu jest w dużym stopniu zależne od odpowiedniego algorytmu. Kody dostępu powinny być ważne tylko przez określony czas, wygasać po pierwszym użyciu i stale się zmieniać w celu uniknięcia niebezpieczeństwa spowodowanego możliwością odgadnięcia hasła.

 

Kolejną wadą jest to, że bezpieczeństwo dostarczania wiadomości w pełni zależy od bezpieczeństwa systemu operacyjnego operatora telefonii komórkowej i może zostać narażone na założenie podsłuchu czy też skopiowanie karty SIM.

 

Ostatnią wadą jest fakt, że użytkownik musi być podłączony do sieci komórkowej i /lub Internetu podczas odbierania tokenów.

 

Aby wyeliminować te wady, rynek wprowadził pewien odpowiednik niepołączonych tokenów dla smartfonów, który jest znany jako Open Time-Based One-Time Password Algorithm (czasowy generator haseł jednorazowych) lub TOTP. Metoda ta, spopularyzowana przez Google i Amazon, staje się coraz częściej stosowana.

 

Krótko mówiąc, w trakcie uwierzytelniania, użytkownik uruchamia konkretną aplikację na swoim smartfonie i generuje kod, który następnie wprowadza w okno uwierzytelniania. Algorytm systemowy generuje kod weryfikacji na podstawie przedziału czasowego w transmisji danych i wektora inicjującego, przypisanego do określonego użytkownika i urządzenia. Jeśli podane hasło i kod weryfikacyjny są poprawne, następuje uzyskanie dostępu.

 

Mimo, że wszystkie opisane metody uwierzytelniania dwuskładnikowego podwyższają poziom bezpieczeństwa, to wciąż istnieje kilka rzeczywistych problemów.

 

Nie będziemy omawiać dłużej i bardziej kompleksowo problemów związanych z procesem dostępu z perspektywy użytkownika, ale z punktu widzenia bezpieczeństwa, ponieważ najsłabszą częścią wielu systemów dwuskładnikowego uwierzytelniania jest proces odzyskiwania. Zazwyczaj proces ten obejmuje tylko jeden z czynników, taki jak resetowanie hasła poprzez wysłanie wygenerowanego linka w e-mailu, dlatego jest on narażony na atak. Kilka poważnych naruszeń dwuskładnikowego systemu uwierzytelniania, nagłośnionych w mediach, zostało przypisanych do tego właśnie czynnika.

 

W wewnętrznych systemach informatycznych firm, gdy liczba użytkowników jest stosunkowo niewielka, a proces uwierzytelniania jest sterowany przez wewnętrzny zespół, proces odzyskiwania może być manualny lub pół-automatyczny. Zajmuje on więcej czasu, ale zapewnia znacznie lepszą ochronę.

 

Używanie uwierzytelniania dwuskładnikowego

 

W ciągu ostatnich kilku lat, zastosowanie autoryzacji wieloczynnikowej jest rozpowszechniane na szeroką skalę. Fakt, że bezpieczeństwo cyfrowe jest wciąż tematem przewodnim, skutkuje tym, że użytkownicy są zachęcani do korzystania z uwierzytelniania wielopoziomowego we wszystkich spersonalizowanych systemach.

 

Z punktu widzenia konsumenta, jest to czymś nowym. W czasie gdy ludzie przyzwyczaili się do tego rodzaju wieloetapowej weryfikacji podczas korzystania z bankomatów lub bankowości internetowej, to stosowanie dodatkowych metod weryfikacji w mediach społecznościowych lub osobistej „chmurze” może być nowością dla wielu użytkowników.

 

Niemniej jednak, opcję tę można włączyć obecnie w wielu mediach społecznościowych, takich jak Facebook, Twitter, LinkedIn, Instagram i innych. Jest ona również dostępna dla Dropbox, produktów Google, systemów Microsoft i wielu innych popularnych rozwiązań i platform internetowych.

 

Dla firm, używanie uwierzytelniania wielopoziomowego i w szczególności 2FA jest znaną praktyką, a nawet wymogiem prawnym. Na przykład, w wymaganiu 8.3 PCI DSS (wersja 3.2) zaleca się używania wielopoziomowego uwierzytelniania dla wszystkich dostępów sieciowych – zarówno zdalnych spoza sieci, jak i również z sieci zaufanej - do środowisk w których przechowywane są dane dotyczące kard kredytowych.

 

Podsumowując najlepsze praktyki w zakresie bezpieczeństwa, zaawansowana weryfikacja tożsamości powinna być stosowana do takich zadań jak:

 

  • Potwierdzanie istotnych działań i transakcji
  • Dostęp do krytycznych punktów końcowych
  • Dostęp do wrażliwych danych

 

Mimo, że zadania te są ze sobą w naturalny sposób powiązane, to możemy je odróżnić, w celu lepszego określenia momentów w procesach biznesowych, w których uwierzytelnianie wieloczynnikowe jest aktywne.

 

Rynek rozwiązań komercyjnych dotyczących uwierzytelniania wielopoziomowego jest ogromny i cały czas się rozwija. Firma może zaspokoić zapotrzebowanie za pomocą wbudowanych opcji uwierzytelniania dwuskładnikowego, jakie posiadają niektóre duże systemy zarządzania tożsamością i dostępem (IAM - Identity and Access Management) i zarządzania bezpieczeństwem, lub wybrać spośród wyspecjalizowanych rozwiązań dostarczających w pełni konfigurowalne narzędzia dwuskładnikowego uwierzytelniania dla całej infrastruktury przedsiębiorstwa.

 

Chociaż zwykle systemy te pociągają za sobą znaczne koszty i mogą wymagać dodatkowych szkoleń dla pracowników, to w znacznym stopniu poprawiają jakość bezpieczeństwa firmy.

 

Ekran System zapewnia wbudowane uwierzytelnianie dwuskładnikowe

 

Będąc rozwiązaniem do monitorowania aktywności użytkowników i bezpieczeństwa, Ekran System 5.1 dostarcza wbudowaną opcję uwierzytelniania dwuskładnikowego do ochrony firmowych serwerów, będącą jedną z oferowanych funkcji zarządzania dostępem.

 

Zaimplementowane dwuskładnikowe uwierzytelnienie jest centralnie zarządzaną autoryzacją, wykorzystującą mechanizm TOTP.

 

Ekran System jest najbardziej elastycznym cenowo i licencyjnie rozwiązaniem spośród wszystkich produktów do zarządzania zagrożeniami ze strony użytkowników , dostarczającym narzędzie uwierzytelnienia dwuskładnikowego za darmo, w charakterze promocyjnym.