Uwierzytelnianie dwuskładnikowe: Czy warto je stosować?
Piotr R
1 listopada 2024
Codziennie logujemy się do dziesiątek kont online i odblokowujemy wszystko, od biur po konta bankowe, za pomocą kombinacji uwierzytelniania fizycznego i cyfrowego. Podobnie jak zamknięta skrzynka w sejfie, wiele z tych procesów uwierzytelniania wymaga od nas identyfikacji częstszej niż jeden raz. Nasze napięte harmonogramy sprawiają, że zastanawiamy się, czy czas poświęcony na dodatkowe zabezpieczenia jest naprawdę konieczny — czy uwierzytelnianie dwuskładnikowe jest tego warte?
Czym jest 2FA?
Uwierzytelnianie dwuskładnikowe (2FA) to proces bezpieczeństwa, który wymaga od ludzi pomyślnej identyfikacji na dwa różne sposoby, zanim będą mogli uzyskać dostęp do bezpiecznego systemu. 2FA zwiększa bezpieczeństwo, prosząc ludzi o podanie czegoś więcej niż tylko hasła — czegoś, czego hakerzy lub złodzieje haseł raczej nie będą mieli. Wrażliwe procesy, takie jak transakcje w bankomatach, wykorzystują 2FA od dziesięcioleci w celu ochrony konsumentów.
W świecie fizycznym ta koncepcja podwójnego zamka była praktykowana od stuleci, ponieważ odwiedzający często identyfikowali się dwukrotnie, wchodząc do bezpiecznych budynków lub fortów i po drodze podawali strażnikom dokumenty identyfikacyjne lub tajne kody. Ta idea jest obecnie powszechnie widoczna w świecie cyfrowym: kody są wysyłane do urządzeń w celu uzupełnienia bezpieczeństwa haseł lub do odblokowania smartfona wymagana jest kombinacja rozpoznawania twarzy i kodu PIN.
Jak działa 2FA?
Uwierzytelnianie dwuskładnikowe jest skuteczniejsze niż tradycyjna weryfikacja jednoskładnikowa, która uwzględnia tylko kombinację nazwy użytkownika i hasła. Aby utrudnić osobom z zewnątrz lub hakerom replikację kroków weryfikacji, weryfikacja dwuetapowa opiera się na czynnikach uwierzytelniania z trzech różnych kategorii:
Czynniki wiedzy: Najczęściej używanymi czynnikami uwierzytelniania są obecnie czynniki wiedzy, czyli coś, co wiesz. Hasła są najbardziej znanymi czynnikami wiedzy, ale ta kategoria obejmuje również kody PIN lub odpowiedzi na pytania bezpieczeństwa, takie jak nazwisko panieńskie matki lub marka pierwszego samochodu. W idealnym przypadku czynnik wiedzy to coś, co wiesz tylko ty.
Czynniki biometryczne: Dziedziczenie lub czynniki biometryczne opierają się na unikalnych cechach genetycznych każdej osoby. Obejmuje to odciski palców, rozpoznawanie twarzy, a nawet cechy głosu, których nie mają dwie osoby na Ziemi. Sztuczna inteligencja i moc obliczeniowa nadal wprowadzają nowe czynniki biometryczne, takie jak skanowanie siatkówki i odcisków palców, aby poprawić zdolność do rozróżniania drobnych różnic między osobami i eliminowania oszustw.
Czynniki posiadania: Czynniki posiadania odnoszą się do fizycznych przedmiotów, których nikt inny nie posiadałby w normalnych okolicznościach. Oczywistymi przykładami są smartfony i pamięci USB, ale czynniki posiadania obejmują również przedmioty, takie jak klucze bezpieczeństwa i dowody osobiste, które zwykle trzymamy blisko, aby chronić je przed utratą lub kradzieżą.
Różnica między 2SV i 2FA
Weryfikacja dwuetapowa (2SV) i uwierzytelnianie dwuskładnikowe (2FA) są często używane zamiennie, ale istnieją pewne subtelne różnice między tymi dwiema praktykami. Weryfikacja dwuetapowa (2SV) wymaga dwóch kolejnych kroków weryfikacji, takich jak kombinacja nazwy użytkownika/hasła, po której następuje kod. Należy pamiętać, że zarówno hasło, jak i kod są uważane za czynniki wiedzy.
Z drugiej strony, uwierzytelnianie dwuskładnikowe (2FA) wykorzystuje dwa różne czynniki uwierzytelniania, które muszą pochodzić z dwóch różnych kategorii, takich jak wiedza i dziedziczenie. Przykładem może być hasło, po którym następuje skan odcisku palca na telefonie.
Ponieważ 2FA wykorzystuje dwa czynniki uwierzytelniania, spełnia również definicję 2SV. Jednak odwrotna sytuacja nie zawsze jest prawdziwa, ponieważ 2SV niekoniecznie wykorzystuje dwie różne kategorie identyfikatorów.
7 powodów, dla których warto skorzystać z 2FA lub 2SV
Dodanie dodatkowej warstwy weryfikacji zapewnia wzmocnienie samodzielnego hasła. 2FA utrudnia złośliwym podmiotom dostęp do prywatnych kont, ponieważ muszą uzyskać nie jedną, ale dwie formy uwierzytelniania. Korzystanie z czynników uwierzytelniania z wielu kategorii (takich jak wiedza + posiadanie lub wiedza + dane biometryczne) dodatkowo zwiększa bezpieczeństwo, wymagając niepowiązanych informacji, których niełatwo odgadnąć lub odtworzyć.
Ponadto 2FA stało się tak powszechne, że często nie zdajemy sobie sprawy, że z niego korzystamy. Wyobraź sobie mieszkańca wchodzącego do budynku mieszkalnego lub bramy kompleksu mieszkaniowego, wpisując tajny kod. Nadal będzie potrzebował drugiego czynnika sekwencyjnego (klucza), aby otworzyć drzwi wejściowe. 2FA stało się niezbędną praktyką bezpieczeństwa, oferując:
Ochrona przed hakowaniem i naruszeniami danych. Wiele typowych ataków hakerskich i oszustw polega na wykorzystaniu naruszonych lub skradzionych haseł w celu uzyskania nieautoryzowanego dostępu. Ataki siłowe wykorzystują algorytmy do odgadywania haseł, podczas gdy ataki typu credential stuffing próbują znaleźć konta pasujące do haseł zakupionych w dark webie. Żadna z tych taktyk hakerskich nie ma realnego wpływu, gdy 2SV wymaga od hakera dostarczenia dodatkowych czynników wiedzy, posiadania lub dziedziczenia.
Ochrona przed phishingiem. Taktyka socjotechniczna znana jako phishing wykorzystuje wiadomości e-mail, które wydają się pochodzić z renomowanych źródeł, aby oszukać niczego niepodejrzewających odbiorców i zmusić ich do udostępnienia swoich danych uwierzytelniających, ujawnienia danych osobowych lub kliknięcia niebezpiecznych linków. Podobnie jak inne złośliwe taktyki hakerskie, ataki phishingowe są wykorzystywane do nielegalnego uzyskania danych uwierzytelniających użytkownika, które mogą zostać sprzedane lub wykorzystane. Drugi identyfikator może zmniejszyć prawdopodobieństwo udanego ataku phishingowego. Pamiętaj, że kluczowym elementem ochrony przed następstwem phishingu jest korzystanie ze skutecznego programu antywirusowego. Bitdefender Total Security został wyposażony w specjalny moduł antyphishingowy, który zablokuje najniebezpieczniejsze próby wyłudzenia Twoich danych.
Ochrona tożsamości. Tylko w 2022 r. w USA odnotowano ponad 1 milion przypadków kradzieży tożsamości. Niektóre tożsamości zostały skradzione w celu kradzieży pieniędzy i otwierania fałszywych kont, podczas gdy inne dotyczyły informacji medycznych lub prawnych wykorzystywanych do oszustw podszywających się pod inne osoby. Weryfikacja dwuetapowa zapewnia ochronę przed kradzieżą tożsamości poprzez dalsze ograniczenie dostępu do kont, takich jak media społecznościowe i e-mail, które ujawniają wiele danych osobowych.
Bezpieczeństwo urządzeń mobilnych. Ochrona urządzeń mobilnych nabrała nowego znaczenia ze względu na mobilność dzisiejszej siły roboczej i zasady BYOD (przynieś własne urządzenie). 2FA to skuteczny sposób na ochronę danych firmowych i osobistych przechowywanych na urządzeniach mobilnych, nawet gdy urządzenie zostanie zgubione lub skradzione. Czynniki dziedziczenia, takie jak odciski palców i rozpoznawanie twarzy, zostały dobrze przyjęte przez użytkowników urządzeń mobilnych ze względu na połączenie bezpieczeństwa i łatwości użytkowania.
Ochrona prywatności. Przepisy i zasady dotyczące prywatności danych pomagają nam kontrolować, w jaki sposób nasze dane osobowe są gromadzone, przechowywane i udostępniane, zapewniając jednocześnie firmom podejmowanie kroków w celu zapobiegania hakowaniu konsumentów. Zapewniając dodatkową bramkę uwierzytelniającą, 2FA pomaga chronić prywatność danych firm i konsumentów. Oprócz szyfrowania danych i menedżerów haseł, 2FA jest postrzegane jako jedno z najważniejszych i najskuteczniejszych dostępnych narzędzi bezpieczeństwa danych.
Odzyskiwanie konta. Gdy zostaniesz zablokowany na koncie, uwierzytelnianie dwuskładnikowe może stać się przydatną metodą odzyskiwania. Czynnik drugorzędny, taki jak kod wysłany e-mailem lub SMS-em, może zostać użyty do zresetowania hasła i odzyskania konta. Podczas procesu odzyskiwania weryfikacja dwuetapowa jest stosowana w odwrotnej kolejności, gdy najpierw wprowadzany jest kod, a następnie ponownie utworzone hasło.
Zachowanie zgodności z przepisami. Wzmocnione uwierzytelnianie jest ważnym elementem zgodności z przepisami, który przeplata się z przepisami dotyczącymi prywatności konsumentów, ochrony danych i obsługi płatności ustanowionymi przez standard bezpieczeństwa PCI DSS. Zgodność z obowiązującymi przepisami może być czynnikiem napędowym wdrożenia 2FA, chociaż wiele firm już odczuło korzyści płynące z tej praktyki dla siebie i swoich klientów.
Przykłady zastosowania uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe jest wszędzie wokół nas i można ją znaleźć nawet w nieświadomych miejscach, takich jak supermarkety, biura i pojazdy. Przykłady typowych zastosowań 2FA obejmują:
Transakcje w bankomacie: Korzystanie z karty debetowej do bankowości lub zakupów może nie wydawać się przykładem 2FA, dopóki nie przyjrzysz się temu procesowi. Najpierw wkładasz kartę do czytnika, aby rozpocząć transakcję. Karta jest czynnikiem posiadania, ponieważ jest czymś namacalnym, co posiadasz tylko Ty. Kod PIN, którego używasz do ukończenia transakcji, jest czynnikiem wiedzy, który potwierdza Twoją tożsamość.
Kody SMS: Znany proces weryfikacji wspólny dla 2SV i 2FA to kody wiadomości tekstowych, tak często wymagane do uzyskania dostępu do konta, szczególnie w przypadku bankowości, usług rządowych i innych bezpiecznych witryn internetowych. Po podaniu hasła wykonujesz drugi krok weryfikacji, wprowadzając cztero- lub sześciocyfrowy kod otrzymany w wiadomości tekstowej, lub e-mailu.
Powiadomienia push: Powiadomienia push to wyskakujące wiadomości, które pojawiają się na urządzeniu osoby, aby przypomnieć jej, gdy wymagane jest dodatkowe działanie. Aby korzystać z powiadomień push, osoba musi zarejestrować swoje urządzenie lub zainstalować odpowiednią aplikację. Ponieważ uwierzytelnianie jest wysyłane do urządzenia, a nie za pośrednictwem wiadomości tekstowej lub e-mail, powiadomienia push są uważane za czynnik posiadania.
Aplikacje uwierzytelniające: Aplikację uwierzytelniającą można zainstalować na urządzeniu mobilnym, aby obsługiwała 2FA poprzez generowanie kluczy bezpieczeństwa w określonym przedziale czasowym. Algorytmy oparte na czasie generują losowe kody, które szybko tracą ważność, więc nie ma ryzyka utraty lub kradzieży kodów. Podobnie jak inne powszechnie używane czynniki drugorzędne, aplikacje uwierzytelniające są zazwyczaj używane w połączeniu z tradycyjnymi hasłami.
Jednorazowe hasła: Jednorazowe hasło (OTP) działa podobnie jak alfanumeryczna wersja kodu wiadomości tekstowej, ponieważ można go użyć tylko raz, aby uzyskać dostęp do konta i nie ma żadnej wartości po zakończeniu logowania. Jednorazowe hasła oparte na czasie (TOTP) mogą być aktywne przez zaledwie 60 sekund, zanim będzie potrzebne nowe OTP. Jako wysoce bezpieczny czynnik wiedzy, jednorazowe hasła są również używane podczas procesu odzyskiwania konta.
Metody biometryczne: Czynniki dziedziczenia biometrycznego i inne metody uwierzytelniania bez hasła szybko zyskują na popularności w miarę rozwoju technologii. Ponieważ 81% naruszeń związanych z hakowaniem wykorzystuje słabe lub skradzione hasła, metody biometryczne są postrzegane przez ekspertów ds. bezpieczeństwa jako silna, długoterminowa opcja 2SV, która ogranicza naruszenia danych i poprawia doświadczenia użytkownika.
Pytania bezpieczeństwa: Marka Twojego pierwszego samochodu i nazwa szkoły podstawowej mogą być wyryte w Twojej pamięci z dobrego powodu. Pytania bezpieczeństwa są regularnie wdrażane jako narzędzie 2FA, szczególnie gdy ludzie logują się z nieznanych urządzeń lub lokalizacji, a bezpieczeństwo jest zwiększane.
Jakie zagrożenia wiążą się ze stosowaniem uwierzytelniania dwuskładnikowego za pomocą wiadomości SMS?
Uwierzytelnianie dwuskładnikowe SMS może być łatwą i wygodną metodą uwierzytelniania, ale problem polega na tym, że wiadomości tekstowe są zwykle podatne na kilka strategii ataków, takich jak:
Podszywanie się/phishing
Bez dobrej obrony mobilnej hakerzy mogą łatwo przechwycić i przeczytać Twoje wiadomości poprzez spoofing lub phishing. Dzieje się tak, ponieważ wiadomości SMS nie są szyfrowane i polegają wyłącznie na zabezpieczeniach sieci telefonicznych i firm, do których dostęp jest niesławnie łatwy.
Innym sposobem, w jaki mogą dostać się do Twoich wiadomości, jest oszukanie Cię, abyś zainstalował złośliwe oprogramowanie na Twoim urządzeniu. Gdy cyberprzestępca pomyślnie zinfiltruje Twoje urządzenie, zacznie szukać zapisanych danych uwierzytelniających i odeśle informacje z powrotem do atakującego.
Podmiana karty SIM
Podmiana karty SIM to bardziej zaawansowana metoda ataku, która daje hakerom pełną kontrolę nad Twoim numerem telefonu.
Oto, jak to się zwykle robi: przestępca dzwoni lub wysyła e-mail do Twojego operatora telefonii komórkowej i używa Twoich skradzionych danych osobowych, aby podszyć się pod Ciebie. Następnie przestępca prosi firmę o wysłanie Twoich wiadomości tekstowych na inne urządzenie, co daje mu dostęp do Twoich jednorazowych kodów logowania. Następnie używa tych kodów, aby uzyskać natychmiastowy dostęp do Twojego systemu.
Inżynieria społeczna
Hakerzy stosują również kilka sztuczek socjotechnicznych, aby dostać się do Twojej sieci. Najczęstszym jest podszywanie się pod Ciebie przed dostawcą usług mobilnych. Uzyskują Twoje dane osobowe z innych źródeł online, aby ominąć pytania bezpieczeństwa i poprosić o drugą kartę SIM, twierdząc, że stara została zgubiona lub skradziona.
Gdy utracisz zasięg na swojej karcie SIM, hakerzy będą mogli bezpłatnie korzystać z Twojego numeru i w dowolnym momencie poprosić o nową autoryzację SMS-ową.
Jakie są alternatywy dla uwierzytelniania dwuskładnikowego?
Jeśli nie chcesz ryzykować, że Twoja sieć zostanie naruszona, powinieneś zacząć badać inne metody 2FA. Niektóre z bardziej zaawansowanych i bezpiecznych metod 2FA to:
Biometria pisania
Biometria pisania to nowe narzędzie w technologii, które wykorzystuje moc obliczeniową. Początkowa rejestracja przechwytuje Twój wzór pisania i przypisuje go Tobie jako część procesu uwierzytelniania. Za każdym razem, gdy przeprowadzane jest nowe uwierzytelnianie, zapisany wzór haszowania jest weryfikowany względem początkowego wzoru pisania, a jeśli dopasowanie się powiedzie, możesz się zalogować bez problemu.
Aplikacje uwierzytelniające
Zazwyczaj aplikacje uwierzytelniające są instalowane na smartfonie. Wygenerują kod dostępu, którego można użyć do logowania, potwierdzania transakcji lub jako klucza głównego.
Aplikacje uwierzytelniające oferują dwie opcje:
- Możesz otrzymać powiadomienie, że ktoś próbuje uzyskać dostęp do Twojego konta, i możesz zatwierdzić lub odrzucić weryfikację lub
- Możesz otworzyć aplikację i zobaczyć kod weryfikacyjny, który aktualizuje się co trzydzieści sekund. Możesz go wprowadzić na koncie, do którego chcesz uzyskać dostęp.
Klucze fizyczne
Podczas gdy niektóre z najbardziej znanych form 2FA to jednorazowy kod wysyłany za pomocą dowolnych wirtualnych środków, najbezpieczniejszą wersją jest nadal fizyczny klucz bezpieczeństwa. Użytkownicy mogą po prostu włożyć fizyczny klucz do urządzenia lub komputera, aby uzyskać dostęp do krytycznych informacji biznesowych.
Zazwyczaj klucz fizyczny jest najlepszą opcją ochrony wrażliwych kont i danych, takich jak informacje bankowe, ubezpieczeniowe i inwestycyjne. Jednak ponieważ jest namacalny, jest podatny na zgubienie. Podczas korzystania z tej metody 2FA należy zachować szczególną ostrożność, gdzie go przechowywać, aby mieć pewność, że nie będzie można uzyskać nieautoryzowanego dostępu.
Nie ma wątpliwości, że dwuskładnikowe uwierzytelnianie jest bezpieczniejsze niż poleganie wyłącznie na hasłach. Jednak powinieneś również zdawać sobie sprawę z ryzyka związanego z używaniem pewnych typów 2FA, aby mieć pewność, że to, co masz, nie naraża Twojej sieci na ryzyko. Zamiast używać SMS 2FA, istnieją lepsze alternatywy:
- Wpisywanie danych biometrycznych
- Aplikacje uwierzytelniające
- Klucze fizyczne
Autor
Piotr R
Artykuły które mogą Ci się spodobać
Poradniki • Zagrożenia Internetowe
Cyberzagrożenia dla graczy – jak chronić swoje konta i sprzęt?
Piotr R
3 grudnia 2024