Uwierzytelnianie dwuskładnikowe (2FA)

Co to jest uwierzytelnianie dwuskładnikowe?

Uwierzytelnianie dwuskładnikowe lub 2FA to metoda weryfikacji tożsamości użytkownika, w której dwa z trzech możliwych czynników uwierzytelniania są łączone w celu przyznania dostępu do witryny lub aplikacji.1) coś, co użytkownik wie, 2) coś, co użytkownik posiada, lub 3) coś, czym użytkownik jest.

Możliwe czynniki uwierzytelnienia to:

• Coś, co użytkownik wie:
  Jest to często hasło, fraza hasła, PIN lub tajne pytanie. Aby sprostać temu wyzwaniu uwierzytelnienia, użytkownik musi podać informacje, które pasują do odpowiedzi udzielonych wcześniej organizacji przez tego użytkownika, np. "Podaj miasto, w którym się urodziłeś."
• Coś, co posiada użytkownik:
  W tym przypadku należy wprowadzić jednorazowe hasło wygenerowane przez sprzętowy moduł uwierzytelniający. Użytkownicy noszą przy sobie urządzenie uwierzytelniające, które na polecenie wygeneruje jednorazowe hasło. Następnie użytkownicy uwierzytelniają się poprzez podanie tego kodu do organizacji. Obecnie wiele organizacji oferuje oprogramowanie uwierzytelniające, które można zainstalować na urządzeniu mobilnym użytkownika.
• Coś, czym jest użytkownik:
  Ten trzeci czynnik uwierzytelniania wymaga, aby użytkownik uwierzytelnił się przy użyciu danych biometrycznych. Może to obejmować skanowanie odcisków palców, twarzy, biometrię behawioralną i inne.
• W bezpieczeństwie internetowym najczęściej stosowanymi czynnikami uwierzytelnienia są:
  coś, co użytkownik posiada (np. karta bankowa) oraz coś, co użytkownik zna (np. kod PIN). Jest to uwierzytelnianie dwuskładnikowe. Uwierzytelnianie dwuskładnikowe jest również czasami określane jako silne uwierzytelnianie, weryfikacja dwuetapowa lub 2FA.

Kluczową różnicą pomiędzy uwierzytelnianiem wieloczynnikowym (MFA ) a uwierzytelnianiem dwuskładnikowym (2FA) jest to, że jak sugeruje termin, uwierzytelnianie dwuskładnikowe wykorzystuje kombinację dwóch z trzech możliwych czynników uwierzytelniających, podczas gdy uwierzytelnianie wieloczynnikowe może wykorzystywać dwa lub więcej z tych czynników uwierzytelniających.

Gdzie hasła zawodzą

Uwierzytelnianie dwuskładnikowe stało się niezbędnym i ważnym elementem zabezpieczenia konta, ponieważ ze względu na rosnącą i rozwijającą się cyberprzestępczość, hasła nie są już niezawodne. Po serii głośnych przypadków naruszenia danych w ciągu ostatnich dziesięciu lat, wiele kombinacji nazw użytkowników i haseł jest już dostępnych na sprzedaż w ciemnej sieci. Organizacje nie mogą już dłużej ufać, że sama znajomość właściwego hasła jest wystarczająco wiarygodna, aby umożliwić użytkownikowi dostęp do konta.
Ponadto, istnieją czynniki ludzkie i tendencje, które przyczyniają się do tego, że hasła stają się podatną na zagrożenia strategią uwierzytelniania:

• Słabe hasła:
  Bezpieczeństwo jest często poza zasięgiem wzroku i umysłu przeciętnego użytkownika. Daje to fałszywe wrażenie, że jako osoba fizyczna raczej nie staną się celem cyberprzestępstwa. Prowadzi to do wybierania przez użytkowników słabych haseł, takich jak "love1234" czy "11111".

• Zmęczenie hasłami:
  Wraz ze wzrostem liczby użytkowników urządzeń mobilnych i kontynuacją przez firmy działań związanych z transformacją cyfrową, rośnie również liczba kont online, które każdy użytkownik będzie musiał zapamiętać. Taki wzrost liczby nazw użytkowników i haseł prowadzi do powtarzania przez użytkowników tego samego hasła na wielu kontach.

Jak działa uwierzytelnianie dwuskładnikowe?

Kiedy zalogujesz się na swoje konto, zostaniesz poproszony o uwierzytelnienie się za pomocą nazwy użytkownika i hasła. Jest to pierwszy czynnik uwierzytelniający.

Do drugiego czynnika uwierzytelniania można użyć a:

• Token z kodem jednorazowym lub hasłem jednorazowym (OTP)
• Wiadomość tekstowa z kodem weryfikacyjnym wysłana na Twój osobisty numer telefonu w urządzeniu mobilnym (np. iPhone, Samsung, Google Pixel)
• Specjalistyczna aplikacja mobilna uwierzytelniająca dla smartfonów, taka jak Google Authenticator (iOS i Android) lub mobilny uwierzytelniacz OneSpan
• USB lub breloczek (np. coś, co masz)

W połączeniu z nazwą użytkownika i hasłem tworzy to silniejszą i bardziej odporną dodatkową warstwę zabezpieczeń. Podjęcie tego dodatkowego kroku za pomocą tokena sprzętowego lub aplikacji uwierzytelniającej nie tylko stanowi skomplikowaną przeszkodę dla atakujących, ale także zmniejsza ryzyko stania się ofiarą ataków phishingowych, oszustw i kradzieży tożsamości.

Dlaczego potrzebuję uwierzytelniania dwuskładnikowego?

Ponieważ pojedyncze metody uwierzytelniania, takie jak hasła, po prostu nie wystarczą, aby powstrzymać dzisiejsze wyrafinowane ataki.

Uwierzytelnianie dwuskładnikowe stanowi dodatkową warstwę zabezpieczeń, która utrudnia hakerom dostęp do urządzeń i kont internetowych danej osoby w celu kradzieży danych osobowych. Przy włączonym uwierzytelnianiu dwuskładnikowym, nawet jeśli haker zna hasło ofiary, uwierzytelnianie nadal nie powiedzie się i uniemożliwi nieautoryzowany dostęp.

Dwuskładnikowe uwierzytelnianie zapewnia również organizacjom dodatkowy poziom kontroli dostępu do wrażliwych systemów oraz danych i kont online, chroniąc te dane przed narażeniem na szwank przez hakerów uzbrojonych w skradzione hasła użytkowników.

Oczywistym i powszechnym zagrożeniem dla konsumentów jest otwieranie przez napastnika nowych kont w imieniu ofiary i znaczne pogorszenie jej zdolności kredytowej. Może to być druzgocące, ponieważ ocena kredytowa jest wykorzystywana przy określaniu najważniejszych zakupów związanych ze stylem życia, takich jak samochód, kredyt hipoteczny czy pożyczka biznesowa.

Podsumowując, uwierzytelnianie dwuskładnikowe może pomóc zmniejszyć ryzyko narażenia się na niebezpieczeństwo w przypadku kradzieży hasła lub naruszenia konta e-mail.

Gdzie mogę używać uwierzytelniania dwuczynnikowego?

Zasadą jest, że użytkownicy powinni włączać uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest ono dostępne. Poniżej znajduje się lista aplikacji, które zazwyczaj obsługują 2FA:

• Bankowość internetowa
• Zakupy online (Amazon, PayPal, Google Play)
• Poczta elektroniczna (Gmail, Microsoft, Yahoo, Outlook)
• Konta do przechowywania danych w chmurze (Apple, Dropbox, Box)
• Konta na portalach społecznościowych (Facebook, Instagram, LinkedIn, Tumblr, Twitter, snapchat)
• Aplikacje zwiększające produktywność (Evernote, Trello)
• Menedżery haseł (LastPass)
• Aplikacje komunikacyjne (MailChimp, Skype, Slack)

Luki w zabezpieczeniach uwierzytelniania dwuczynnikowego

Uwierzytelnianie dwuskładnikowe, podobnie jak wszystkie rozwiązania zabezpieczające, może zostać ominięte przez cyberprzestępców, ale jest to znacznie trudniejsze niż w przypadku nazw użytkowników i haseł. Aby obejść uwierzytelnianie dwuskładnikowe, osoba atakująca musiałaby albo zdobyć fizyczny token uwierzytelniający, albo - w przypadku programowych urządzeń uwierzytelniających - uzyskać dostęp do tokenów wygenerowanych na urządzeniu przez urządzenie uwierzytelniające. Atakujący osiągają to na jeden z dwóch sposobów. Do każdego z nich dołączamy również rozwiązanie zabezpieczające, zaprojektowane w celu zapobiegania tego typu atakom:

• Inżynieria społeczna / Phishing:
  Jedną z największych słabości każdego systemu bezpieczeństwa są ludzie zaangażowani w jego obsługę. Inżynieria społeczna i phishing to schematy oszustw zaprojektowane w celu wykorzystania czynnika ludzkiego. Podając się za wiarygodną organizację lub osobę w rozmowie telefonicznej, e-mailu lub innej wiadomości, phisherzy próbują nakłonić użytkownika do ujawnienia poufnych informacji, które pozwolą atakującemu ominąć wyzwania związane z uwierzytelnianiem dwuskładnikowym.
  • Zalecane rozwiązanie: Cronto
• Złośliwe oprogramowanie:
  Złośliwe oprogramowanie może również wydobyć token uwierzytelniający z urządzenia na różne sposoby. Na przykład, złośliwe oprogramowanie keylogging może śledzić naciśnięcia klawiszy wprowadzane przez użytkownika, a następnie zdalnie przekazywać token uwierzytelniający do atakującego.
  • Zalecane rozwiązanie: Mobile Security Suite i/lub Mobile App Shielding

Jak zacząć?

Dwuskładnikowe uwierzytelnianie OneSpan wykorzystuje technologię jednorazowych haseł, aby zabezpieczyć logowanie użytkowników i zapewnić, że tylko uwierzytelnieni użytkownicy uzyskują dostęp. OneSpan oferuje pełną gamę rozwiązań w zakresie uwierzytelniania, w tym

• Uwierzytelnianie oprogramowania
• Mobilne tokeny uwierzytelniające
• Dostarczanie SMS-ów
• Uwierzytelnianie sprzętowe
• Uwierzytelniacze USB
• Czytniki kart inteligentnych
• Uwierzytelnianie biometryczne
• Powiadomienia typu push