Typy vícefaktorového ověřování: faktory, metody a příklady

V posledních letech jsme se z pouhých několika hesel dostali ke správě desítek online účtů. A samozřejmě, Hesla se opakují, unikají a končí v rukou nesprávných lidí.Proto už vícefaktorové ověřování (MFA) není něco „pro banky a velké firmy“ a stalo se základním opatřením pro téměř jakoukoli digitální službu.

Myšlenka je jednoduchá: místo spoléhání se pouze na heslo, Pro ověření, že jste to skutečně vy, se kombinuje několik nezávislých faktorů.Uvidíme, jaké typy faktorů existují, jaké konkrétní metody se dnes používají, jak interně funguje MFA, jakou roli hraje biometrie, ověřování na základě rizik nebo bezpečnostní klíče a jaké výhody a nevýhody mají pro jednotlivce a organizace.

Co je to vícefaktorové ověřování a proč se stalo nezbytným?

Vícefaktorové ověřování neboli MFA je bezpečnostní mechanismus, který Před povolením přístupu jsou vyžadovány dva nebo více odlišných dokladů totožnosti. k účtu, aplikaci, firemní síti nebo jakémukoli jinému digitálnímu zdroji. Tradičně stačilo uživatelské jméno a heslo, ale tato kombinace je stále snazší pro prolomení úniků dat, phishingu nebo útoků hrubou silou.

U MFA systém kromě hesla požaduje i další typy důkazů: dočasný kód, potvrzení v aplikaci, otisk prstu, fyzický bezpečnostní klíč nebo dokonce místo, ze kterého se připojujeteKlíčové je, že tyto faktory jsou odlišné povahy, takže kompromis v jednom vám neumožní obejít ostatní.

V mnoha službách najdete MFA pod názvy jako „dvoufázové ověření“, „dvoufaktorové ověřování“ nebo „2FA“. Přesněji řečeno, 2FA je specifický případ MFA, který používá přesně dva faktory.MFA může zahrnovat tři nebo více. V praxi se však všechny tyto mechanismy snaží o stejný cíl: zabránit tomu, aby krádež hesla stačila k převzetí kontroly nad účtem.

Typy ověřovacích faktorů používaných v MFA

Když mluvíme o vícefaktorovém ověřování, nemáme na mysli jen „přidání dalších kroků jen tak pro samotné ověřování“. Každý faktor patří do jiné kategorie a poskytuje další úroveň zabezpečení.Tradičně se rozlišují tři hlavní skupiny, ke kterým se nyní přidávají dvě další, stále relevantnější skupiny.

Prvním je faktor znalostí: něco, co uživatel ví a co by teoreticky měl vědět jen onTo zahrnuje hesla, PINy, vzory pro odemknutí a odpovědi na bezpečnostní otázky.

Druhým je faktor držení míče: něco, co uživatel fyzicky vlastní.Může se jednat o mobilní telefon, čipovou kartu, token generující jednorázové klíče nebo bezpečnostní klíč USB kompatibilní s FIDO.

Třetím je faktor inherence: něco, co uživatel je, tj. biometrické rysy nebo vzorce chováníMluvíme o otiscích prstů, rozpoznávání obličeje, skenování duhovky, rozpoznávání hlasu nebo dokonce o způsobu, jakým píšete.

V posledních letech nabraly na síle dva další faktory: kde se nacházíte a co děláte při používání systémuV adaptivních modelech se používá lokalizace (na základě IP adresy nebo GPS) a behaviorální biometrie, kde se úroveň vynucování mění v závislosti na riziku každého pokusu o přístup.

Čtyři hlavní typy vícefaktorového ověřování

Na základě těchto základních kategorií můžeme hovořit o čtyřech hlavních typech autentizace v rámci schématu MFA, které mnoho řešení kombinuje v závislosti na kontextu a úrovni rizika:

1. Ověřování založené na znalostech

Tento typ ověřování se zaměřuje na Informace, které si uživatel pamatuje a které by neměly být snadno odvoditelnéKromě typického hesla to zahrnuje čtyřmístné nebo šestimístné číselné PINy a bezpečnostní otázky.

Tajné otázky („Jak se jmenoval váš první mazlíček?“, „Kde jste se narodil?“) jsou klasickým příkladem, ale Stále častěji jsou zpochybňovány, protože mnoho odpovědí lze najít jednoduchým vyhledáváním na sociálních sítích.Doporučeným postupem je uvádět falešné, ale zapamatovatelné odpovědi, aby nebyly spojovány s vaším skutečným životem.

2. Ověřování na základě vlastnictví

V tomto případě se ověření opírá o digitální objekt nebo aktivum, které by mělo být pod kontrolou pouze uživateleBěžným příkladem je kód, který obdržíte prostřednictvím SMS zprávy při přístupu k online bankovnictví nebo změně hesla pro nějakou službu.

Tato kategorie zahrnuje mobilní telefony, fyzické bezpečnostní tokeny, čipové karty, digitální certifikáty, e-mailové účty používané jako druhý kanál nebo Autentizační aplikace, které generují dočasné kódySystém předpokládá, že pokud dokážete přečíst kód nebo potvrdit oznámení na daném zařízení, je to proto, že jej skutečně vlastníte.

3. Autentizace založená na inherenci (biometrie)

Použití inherentní autentizace fyzické nebo behaviorální charakteristiky, které vás identifikují jako jednotlivceModerní mobilní telefony normalizovaly používání čteček otisků prstů a rozpoznávání obličeje k odemknutí zařízení nebo autorizaci plateb.

V pokročilejších prostředích se používají také skenery duhovky, rozpoznávání hlasu nebo analýza způsobu, jakým píšete na klávesnici. Síla biometrie spočívá v tom, že si nemusíte nic pamatovat ani s sebou nosit další zařízení.To s sebou však přináší značné výzvy týkající se ochrany soukromí a dat.

4. Autentizace založená na poloze a kontextu

V architekturách „nulové důvěry“ a adaptivní MFA se za typy autentizace považují také umístění a kontext. Systém vyhodnocuje, odkud se připojujete, s jakým zařízením, v jakou dobu a s jakým vzorcem chování.a upravuje požadavky podle rizika.

Například přihlášení ze stejného notebooku a města jako vždy může vyžadovat pouze jeden biometrický faktor, zatímco přístup z jiné země nebo z veřejné WiFi sítě může vyžadovat zadání dalšího kódu nebo dokonce požadavek zablokovat. Tento přístup snižuje tření pro průměrného uživatele a ztěžuje přístup, když něco „zapáchá rybou“..

Příklady nejčastěji používaných metod vícefaktorového ověřování

Tyto faktory tvoří základ pro různé praktické metody MFA, které denně vídáme. Každá z nich má jiná rovnováha mezi bezpečností, komfortem a cenoua je běžné kombinovat jich několik.

Časově omezená jednorázová hesla (TOTP)

TOTP jsou kódy, obvykle šestimístné, které Jsou platné jen několik sekund (Obvykle 30–60). Jsou generovány v ověřovací aplikaci nebo správci hesel, který tento standard podporuje.

Postup je jednoduchý: po zadání uživatelského jména a hesla, Otevřete aplikaci, zkopírujete kód, který se v danou chvíli zobrazí, a zadáte ho do služby.Protože server i vaše aplikace sdílejí počáteční tajný klíč, mohou pro každé časové okno vygenerovat stejný kód, aniž by se musely vzájemně propojovat.

Tato metoda je velmi robustní, protože Kód se nešíří nezabezpečenými kanály a jeho platnost vyprší během několika sekund.Aby jej útočník mohl ukrást, musel by kompromitovat zařízení, na kterém kódy generujete, nebo jej mít fyzicky ve svém držení.

Jednorázové kódy odeslané prostřednictvím SMS

Je to možná nejrozšířenější forma druhého faktoru: Zadáte heslo a kód vám bude doručen prostřednictvím textové zprávy na mobilní telefon.Napíšete to na webových stránkách nebo v aplikaci a systém vás tam pustí.

Jeho hlavní výhodou je jednoduchost: Nemusíte instalovat nic navíc a téměř každý má telefon schopný přijímat SMS zprávy.Proto je stále velmi oblíbený, zejména v hromadných službách.

Problém je v tom, že je to jedna z nejméně bezpečných metod. Telefonní čísla se dají relativně snadno zjistit a Existují útoky duplikací SIM karet, zachycování SMS zpráv nebo útoky sociálního inženýrství namířené proti operátorům. které umožňují zločinci přijmout tyto kódy za vás. Přesto je použití SMS lepší než nepovolování žádné víceúčelové autentizace, pokud není jiná možnost.

Ověřovací kódy e-mailu

Některé služby se rozhodnou odeslat dočasný kód na vaši e-mailovou adresuFunguje to podobně jako SMS a představuje to stejná rizika: pokud se někdo dostane k vašim hlavním e-mailovým přihlašovacím údajům, může zachytit i kódy.

Pokud tedy používáte vícefaktorovou autentizaci (MFA) založenou na e-mailu, Je zásadní, aby byl přístup k vaší schránce chráněn jedinečným heslem a vlastním vícefaktorovým overením (MFA). a tak víš Jak zjistit, zda je e-mail phishingovýE-mail je obvykle klíčem k obnovení téměř všech vašich účtů.

Seznamy předem vygenerovaných jednorázových kódů

Některé starší banky a služby stále používají seznam unikátních kódů vytištěných nebo uložených jako dokumentPokaždé, když provedete nějakou operaci, aplikace se vás zeptá na „kódové číslo X“ a vy ho v seznamu odškrtnete.

Z bezpečnostního hlediska se jedná o přijatelný systém, protože Kódy jsou doručovány offline a nelze je během přenosu zachytit.Hlavní slabinou je úložiště: pokud někdo tento seznam ukradne, má přístup ke všem vašim budoucím autorizacím.

Vyhrazené ověřovací aplikace

Autentizační aplikace se staly preferovanou volbou pro mnoho odborníků, protože Nabízejí vynikající kompromis mezi bezpečností a komfortem.Google Authenticator, Microsoft Authenticator, Authy nebo vestavěné funkce v některých správcích hesel generují TOTP nebo zobrazují push notifikace pro schválení přístupu.

V případě push notifikací, Při pokusu o přihlášení se vám na mobilní telefon zobrazí oznámení s tlačítkem pro schválení nebo odmítnutí.Je to pohodlné, ale také to vedlo k útokům typu „únava z MFA“: útočník opakuje pokusy o přihlášení, dokud oběť, která má dost vyskakovacích oken, jeden omylem nepřijme.

Hardwarové bezpečnostní tokeny a klíče (FIDO U2F / FIDO2)

Fyzické tokeny jsou specifická zařízení, jejichž jediným účelem je Prokažte svou identitu službě s velmi vysokou úrovní zabezpečeníNěkteré mají obrazovku a generují kódy, jiné se připojují k USB portu, NFC nebo Bluetooth a fungují transparentně.

Klíče založené na FIDO U2F nebo FIDO2 (jako například YubiKey nebo Google Titan) jdou ještě o krok dál: Nejenže ověřují uživatele, ale také ověřují legitimnost služby.Díky kryptografii s veřejným klíčem váš klíč reaguje pouze na výzvy generované skutečným webem, čímž se prakticky eliminuje riziko klasického phishingu.

Z pohledu uživatele je postup velmi jednoduchý: Vložíte klíč nebo jej přiblížíte k mobilnímu telefonu a dotknete se senzoruV pozadí probíhá kryptografická výměna, kterou útočník nemůže reprodukovat, ani když má vaše heslo.

Biometrické ověřování (otisk prstu, obličej, duhovka, hlas)

Biometrie se stala populární díky mobilním telefonům a notebookům, kde Slouží jak k odemknutí zařízení, tak k autorizaci plateb nebo přístupu k citlivým aplikacím.V mnoha případech se používá jako lokální faktor, který umožňuje přístup ke klíčům uloženým v samotném počítači.

Jednou z důležitých výhod je použitelnost: Položíte prst na obrazovku, podíváte se do kamery nebo promluvíte do mikrofonu a to je vše.Není třeba si pamatovat kódy ani nosit další zařízení. Moderní implementace zahrnují detekci živosti, která zabraňuje tomu, aby fotografie, silikonová forma nebo hlasová nahrávka byly vydávány za skutečného uživatele.

Velký problém je, že Biometrické údaje nelze v případě úniku „resetovat“.Pokud vám někdo ukradne šablonu otisku prstu nebo model obličeje, nemůžete si prsty ani obličej změnit. Proto mnoho systémů ukládá tyto informace v zašifrované podobě a pouze v zařízení, aniž by je odesílalo na server.

Ověřování polohy a chování

Mnoho služeb to už tiše používá. prvky vaší polohy a chování jako další ověřovací signályPokud pokus o přístup přijde ze země, ve které jste nikdy nebyli, uprostřed noci a z nového prohlížeče, pravděpodobně bude spuštěna další výzva.

Tato řešení se spoléhají na umělou inteligenci a strojové učení naučit se běžné vzorce chování každého uživatele a přiřadit přístupům skóre rizikaPokud je riziko nízké, postačí uživatelské jméno a heslo; pokud je střední, bude vyžadován druhý faktor; a pokud je vysoké, bude přístup přímo odepřen.

Rozdíly mezi 2FA, MFA, SSO a dalšími souvisejícími termíny

Ve světě ověřování je snadné se zmást v tolika zkratkách. Je důležité pochopit, co každá z nich znamená, abyste... Vyberte si správný přístup na základě úrovně ochrany, kterou potřebujete..

Dvoufaktorové ověřování (2FA) je specifický případ vícefaktorového ověřování (MFA), které Vyžaduje to přesně dva různé typy testování.Klasickým příkladem je heslo plus TOTP kód nebo heslo plus potvrzovací SMS.

Vícefaktorové ověřování (MFA) je širší pojem než zahrnuje jakoukoli kombinaci dvou nebo více faktorů z různých kategoriíJinými slovy, veškerá 2FA je MFA, ale ne veškerá MFA je omezena na dva kroky.

Jednotné přihlašování (SSO) je dalším dílkem skládačky: Umožňuje přístup k více aplikacím s jedním centralizovaným přihlášením.Často se kombinuje s MFA k zabezpečení hlavní brány; jakmile je uživatel uvnitř, pohybuje se mezi službami, aniž by musel pokaždé znovu zadávat přihlašovací údaje.

Ověřování se také označuje jako ověřování v pásmu (kdy je druhý faktor ověřen na stejném kanálu jako heslo) a ověřování mimo pásmo (když je použit druhý kanál, například mobilní telefon). Obecně se oddělení kanálů považuje za bezpečnější., za předpokladu, že ten druhý nebude snadno napadnutelný.

Adaptivní a rizikově orientované ověřování

Tradiční MFA zachází se všemi pokusy o přístup stejně, ale v praxi Ne všechna přihlášení mají stejnou úroveň rizika.Není totéž přihlásit se z běžného notebooku a číst si e-maily, jako se pokusit změnit platební údaje z nového prohlížeče na jiném kontinentu.

Adaptivní ověřování nebo ověřování založené na riziku zavádí další vrstvu inteligence: Analyzujte kontext a chování, abyste se mohli rozhodnout, na jaké faktory se v daném okamžiku ptát.To bere v úvahu proměnné, jako je zdrojová IP adresa, geolokace, zařízení, operační systém, časové pásmo, historie neúspěšných pokusů a role uživatele.

Nejpokročilejší řešení využívají algoritmy strojového učení, které Pro každý účet vytvoří normální profil a odhalí podezřelé vzorce.Každé události je přiřazeno skóre rizika a na základě tohoto skóre je udělen přístup, je vyžádána další vícefaktorová autentizace (MFA) nebo je událost zablokována.

Tak, Je dosaženo dobré rovnováhy mezi bezpečností a uživatelskou zkušenostíSystém se „zatěžuje“ pouze tehdy, když existují jasné známky nebezpečí, což snižuje únavu z víceúčelových falešných akcí (MFA) a zlepšuje jejich přijetí.

Behaviorální biometrie a průběžné ověřování

Kromě ověření vaší identity při přihlášení je stále důležitější i toto: průběžné ověřování po celou dobu relaceA právě zde přichází na řadu behaviorální biometrie: analýza toho, jak píšete, jak pohybujete myší nebo jak interagujete se zařízením.

Pokud systém uprostřed relace zjistí, že způsob, jakým píšete nebo se pohybujete po obrazovce, je nesprávný Je to velmi odlišné od vašeho obvyklého vzoru., může to interpretovat, že někdo převzal kontrolu nad týmem a aktivoval obranné mechanismy a kontrola přístupu k souborům a jejich úprav.

Tento přístup má zajímavou výhodu: Zvyšuje zabezpečení, aniž by od uživatele většinou požadoval cokoli navíc.Pouze tehdy, když se chování výrazně změní, je relace zastavena nebo jsou vyžadovány další faktory.

Regulace a silné ověřování: případ PSD2 a SCA

V regulovaných odvětvích, jako jsou finance nebo zdravotnictví, Víceúčelová dohoda (MFA) není jen dobrý nápad; je to právní požadavek nebo požadavek na dodržování předpisů.Jasným příkladem v Evropě je směrnice PSD2, která zavedla silné ověřování zákazníků (SCA) pro elektronické platby.

SCA vyžaduje, aby citlivé transakce byly ověřeny pomocí alespoň dva faktory z různých kategorií (znalosti, vlastnictví, bytí)To vedlo miliony evropských uživatelů k tomu, že si zvykli na přijímání kódů na mobilní telefony nebo potvrzování plateb pomocí biometrických údajů při online nakupování.

Kromě PSD2, standardy jako GDPR, HIPAA nebo PCI DSS Pozitivně hodnotí nebo přímo požadují použití víceúčelové autentizace (MFA) k ochraně osobních, zdravotních nebo kartových údajů.Pro společnosti pomáhá implementace víceúrovňové finanční pomoci (MFA) snížit riziko sankcí a prokázat náležitou péči v případě incidentu.

Výhody a nevýhody vícefaktorového ověřování

MFA se sama o sobě stala standardem, ale Není to zázračné řešení a ani to není bez cenovek.Je důležité si být dobře vědomi jejich silných a slabých stránek.

Mezi výhody patří drastické snížení rizika neoprávněného přístupu: i v případě úniku hesla při útoku nebo jeho krádeže prostřednictvím phishinguÚtočník musí překonat další faktory. To brání mnoha automatizovaným útokům a zvyšuje náklady na ty cílené.

Pomáhá také zmírnit dopad krádeže opakovaně použitých přihlašovacích údajů: Útoky s využitím metody Credential Stuffing, které testují uniklá hesla napříč více službami, selžou, pokud tyto služby vyžadují vícefaktorovou autentizaci (MFA).Dále posiluje důvěru zákazníků a zaměstnanců tím, že jim dává pocit, že s jejich údaji je zacházeno opatrně.

Nevýhodou je, že vícestranná finanční dohoda s sebou přináší určité nevýhody: Více kroků znamená vyšší pravděpodobnost, že se někdo zmátne, ztratí token nebo bude dočasně zablokován.Vyžaduje investice do licencí, integrace a podpory a ne všechny starší systémy jsou kompatibilní s modernějšími metodami.

Kromě toho, Ne všechny faktory jsou stejně odolné vůči phishingu nebo sociálnímu inženýrstvíSMS a e-mailové kódy zůstávají zranitelné vůči odhalení prostřednictvím falešných webových stránek, malwaru nebo klamavých technik. Pouze metody, jako jsou dobře implementované klíče FIDO2 nebo přístupové klíče, nabízejí silnou ochranu před těmito typy útoků.

Nejlepší postupy pro implementaci MFA ve firmách a pro uživatele

Aby vícefaktorové ověřování skutečně něco změnilo, je důležité dobře navrhněte strategii a neaktivujte jen „první věc, která narazí“Několik základních doporučení vám pomůže vytěžit z něj maximum, aniž byste si zkazili uživatelský zážitek.

V organizaci je nejlepší začít tím, identifikovat nejdůležitější účty a aplikace (správci, bezpečný vzdálený přístup(platební systémy, citlivé údaje) a v těchto případech zavést povinnou vícefaktorovou autentizaci (MFA). Odtud ji lze postupně rozšířit na zbytek uživatelů.

Doporučuje se nabídnout několik metod druhého faktoru, aby si každý mohl vybrat tu, která nejlépe vyhovuje jeho kontextuOvěřovací aplikace, bezpečnostní klíč, biometrie atd. Kdykoli je to možné, měly by být faktory odolné proti phishingu upřednostňovány před SMS nebo e-mailem.

To je také klíčové definovat bezpečné postupy pro obnovení účtuRobustní vícefaktorová autentizace (MFA) je k ničemu, pokud ji v případě ztráty mobilního telefonu může uživatel obejít zodpovězením triviálních otázek nebo použitím špatně zabezpečeného odkazu.

A konečně, trénink má velký význam: Jasně vysvětlete, proč je víceúrovňová finanční analýza (MFA) přijata, jak jednotlivé metody fungují a jaké příznaky naznačují potenciální podvod. Zvyšuje to akceptaci a snižuje chyby, kterých se útočníci snaží zneužít.

S ohledem na všechny výše uvedené skutečnosti je jasnější, proč se vícefaktorové ověřování stalo ústřední součástí moderní kybernetické bezpečnosti: Kombinací něčeho, co znáte, něčeho, co máte, něčeho, kým jste, a kontextu, ve kterém se navazujete, se pro každého útočníka výrazně zvyšuje laťka.Nabízí prostor pro splnění náročných předpisů a při dobrém návrhu umožňuje rozumnou rovnováhu mezi ochranou a pohodlím jak pro jednotlivé uživatele, tak pro firmy.