Jak działa uwierzytelnianie wieloczynnikowe?
Uwierzytelnianie wieloczynnikowe (MFA) wykorzystuje wiele technologii do uwierzytelniania tożsamości użytkownika. W przeciwieństwie do tego, uwierzytelnianie jednoczynnikowe (lub po prostu "uwierzytelnianie") wykorzystuje pojedynczą technologię do udowodnienia autentyczności użytkownika. W przypadku MFA, użytkownicy muszą połączyć technologie weryfikacji z co najmniej dwóch różnych grup lub czynników uwierzytelniania. Czynniki te dzielą się na trzy kategorie: coś, co wiesz, coś, co masz i coś, kim jesteś. Z tego powodu używanie kodu PIN i hasła (oba z kategorii "coś, co wiesz") nie byłoby uważane za uwierzytelnianie wieloczynnikowe, podczas gdy używanie kodu PIN i rozpoznawania twarzy (z kategorii "coś, czym jesteś") byłoby. Należy pamiętać, że hasło nie jest wymagane, aby zakwalifikować się do MFA. Rozwiązanie MFA może być całkowicie pozbawione hasła.
Dopuszczalne jest również stosowanie więcej niż dwóch metod uwierzytelniania. Jednak większość użytkowników chce uwierzytelniania bez tarcia (możliwość bycia zweryfikowanym bez konieczności przeprowadzania weryfikacji).
Jakie czynniki uwierzytelniające są wykorzystywane w MFA?
Poniżej przedstawiamy trzy główne kategorie:
- Coś, co znasz (czynnik wiedzy)
Jest to zazwyczaj hasło, kod PIN lub hasło lub zestaw pytań bezpieczeństwa i odpowiadających im odpowiedzi, które zna tylko dana osoba. Aby wykorzystać czynnik wiedzy do MFA, użytkownik końcowy musi poprawnie wprowadzić informacje odpowiadające danym, które zostały wcześniej zapisane w aplikacji online. - Coś, co posiadasz (czynnik posiadania)
Przed smartfonami użytkownicy nosili przy sobie tokeny lub karty elektroniczne, które generowały jednorazowe hasło lub kod dostępu (OTP), który można było wprowadzić do aplikacji online. Obecnie większość użytkowników instaluje na swoim smartfonie aplikację uwierzytelniającą, która generuje klucze bezpieczeństwa OTP. - Coś, czym jesteś (czynnik dziedziczenia)
Dane biometryczne dotyczące danej osoby obejmują odciski palców, skany siatkówki oka, rozpoznawanie twarzy i głosu oraz zachowania (takie jak siła lub szybkość pisania lub machania na ekranie).
Aby uzyskać uwierzytelnianie wieloczynnikowe, do procesu uwierzytelniania muszą być użyte co najmniej dwie różne technologie z co najmniej dwóch różnych grup technologicznych. W rezultacie stosowanie kodu PIN w połączeniu z hasłem nie byłoby uznawane za uwierzytelnianie wieloczynnikowe, podczas gdy stosowanie kodu PIN z rozpoznawaniem twarzy jako drugiego czynnika - tak. Dopuszczalne jest również stosowanie więcej niż dwóch form uwierzytelniania. Jednak większość użytkowników coraz częściej chce uwierzytelniania bez tarcia (możliwość bycia zweryfikowanym bez konieczności przeprowadzania weryfikacji)
Jaka jest różnica między uwierzytelnianiem dwuskładnikowym a wieloczynnikowym?
Aby uznać dane rozwiązanie za uwierzytelnianie dwuskładnikowe (2FA), zawsze wymaga ono od użytkownika przedstawienia dwóch czynników uwierzytelniających z dwóch różnych kategorii, takich jak czynnik posiadania i czynnik wiedzy, w celu zweryfikowania jego tożsamości. Uwierzytelnianie wieloczynnikowe ma szerszy zakres niż uwierzytelnianie dwuskładnikowe. Wymaga on od organizacji wykorzystania dwóch lub więcej czynników w procesie uwierzytelniania.
Jakie są różne rodzaje technologii uwierzytelniania wieloczynnikowego?
Poniżej przedstawiono typowe technologie MFA:
- Uwierzytelnianie biometryczne
Technologie biometryczne są formą uwierzytelniania, która dokładnie i bezpiecznie uwierzytelnia użytkowników za pomocą ich urządzeń mobilnych. Najczęściej stosowanymi metodami biometrycznymi są skanowanie linii papilarnych i rozpoznawanie twarzy. Uwierzytelnianie biometryczne obejmuje również biometrię behawioralną, która zapewnia niewidzialną warstwę bezpieczeństwa poprzez ciągłe uwierzytelnianie osoby na podstawie unikalnych sposobów interakcji z komputerem lub urządzeniem mobilnym: naciśnięcia klawiszy, wzór machnięcia palcem, ruchy myszy i inne. - Sprzętowe tokeny sprzętowe
Sprzętowe urządzenia uwierzytelniającetomałe, łatwe w użyciu urządzenia, które właściciel nosi przy sobie w celu autoryzacji dostępu do usługi sieciowej. Dzięki obsłudze silnego uwierzytelniania za pomocą kodów jednorazowych (OTP), tokeny fizyczne stanowią czynnik posiadania dla uwierzytelniania wieloczynnikowego, zapewniając jednocześnie większe bezpieczeństwo bankom i dostawcom aplikacji, którzy muszą zabezpieczyć wiele aplikacji za pomocą jednego urządzenia. - Uwierzytelnianiemobilne
Uwierzytelnianie mobilne to proces weryfikacji użytkownika za pomocą jego urządzenia z systemem Android lub iOS lub weryfikacji samego urządzenia. Technologia ta pozwala użytkownikom logować się do bezpiecznych lokalizacji i uzyskiwać dostęp do zasobów z dowolnego miejsca przy zachowaniu zwiększonego bezpieczeństwa. - Uwierzytelnianie pozapasmowe
Ten typ uwierzytelniania wymaga zastosowania dodatkowej metody weryfikacji poprzez oddzielny kanał komunikacyjny, zazwyczaj połączenie internetowe danej osoby oraz sieć bezprzewodową, w której działa jej telefon komórkowy. Są to przykłady technologii pozapasmowych:- Kod Cronto®
Ten kolorowy kod przypominający QR może uwierzytelnić lub autoryzować transakcję finansową. Osoba widzi ten kolorowy kod QR wyświetlany przez przeglądarkę internetową. Tylko urządzenie zarejestrowane przez daną osobę może odczytać i odszyfrować kod. Zawiera on szczegóły transakcji, które użytkownik może zweryfikować przed jej dokonaniem, co czyni go bardzo bezpiecznym. - Powiadomienie Push
Powiadomienia Push dostarczają kod uwierzytelniający lub jednorazowy kod dostępu na urządzenie mobilne użytkownika. W przeciwieństwie do wiadomości SMS, powiadomienie pojawia się na ekranie blokady urządzenia. - Wiadomość tekstowa SMS lub wiadomość głos
owa Kody jednorazowe są dostarczane do urządzenia mobilnego użytkownika za pośrednictwem wiadomości tekstowej SMS lub wiadomości głosowej. - Soft token
Oprogramowanie uwierzytelniające lub "tokeny oparte na aplikacji" generują jednorazowy kod PIN do logowania. Często te tokeny programowe są wykorzystywane w przypadkach użycia MFA, w których urządzenie użytkownika - w tym przypadku smartfon - zapewnia czynnik posiadania.
- Kod Cronto®
Dlaczego organizacje potrzebują uwierzytelniania wieloczynnikowego?
Oszustwa polegające na przejęciu konta (ATO) są rosnącym zagrożeniem cyberbezpieczeństwa, napędzanym przez wyrafinowaną inżynierię społeczną (np. ataki phishingowe), mobilne złośliwe oprogramowanie i inne ataki. Prawidłowo zaprojektowane i wdrożone metody MFA są bardziej niezawodne i skuteczne w walce z wyrafinowanymi atakami niż przestarzałe uwierzytelnianie jednoczynnikowe za pomocą nazwy użytkownika/hasła, które może być łatwo skompromitowane przez cyberprzestępców za pomocą powszechnie dostępnych narzędzi hakerskich.
Jakie są kluczowe korzyści z MFA?
Jako część strategii bezpieczeństwa, organizacje wykorzystują MFA, aby osiągnąć:
-
Większe bezpieczeństwo U
wierzytelnianie wieloczynnikowe zapewnia większe bezpieczeństwo w porównaniu z hasłami statycznymi i procesami uwierzytelniania jednoczynnikowego. -
Zgodność z przepisami prawnymi
Uwierzytelnianie wieloczynnikowe może pomóc organizacjom w zachowaniu zgodności z przepisami branżowymi. Na przykład MFA jest niezbędna do spełnienia wymogu silnego uwierzytelniania określonego w dyrektywie PSD2 dla silnego uwierzytelniania klienta (SCA). -
Lepsze doświadczenie użytkownika
Zniesienie zależności od haseł może poprawić doświadczenie klienta. Skupiając się na wyzwaniach uwierzytelniania o niskim współczynniku tarcia, organizacje mogą zwiększyć bezpieczeństwo i poprawić doświadczenia użytkowników.
W jaki sposób cloud computing wpływa na MFA?
Banki, instytucje finansowe i inne organizacje świadczące usługi finansowe zaczynają odchodzić od aplikacji hostowanych wewnętrznie na rzecz aplikacji opartych na chmurze, takich jak Office 365, Salesforce, Slack i OneSpan Sign. W rezultacie, ilość wrażliwych danych i plików przechowywanych w chmurze rośnie, zwiększając ryzyko naruszenia bezpieczeństwa danych osobowych (PII), które napędza przejęcia kont. Dodatkowym zagrożeniem dla bezpieczeństwa jest fakt, że użytkownicy aplikacji SaaS mogą znajdować się w dowolnym miejscu, nie tylko w sieci korporacyjnej. Dodatkowe warstwy bezpieczeństwa zapewniane przez MFA w porównaniu z prostą ochroną hasłem mogą pomóc w przeciwdziałaniu tym zagrożeniom. Oprócz wiedzy, posiadania i czynników dziedziczenia, niektóre technologie MFA wykorzystują czynniki lokalizacyjne, takie jak adresy MAC (Media Access Control) urządzeń, aby zapewnić, że zasób jest dostępny tylko z określonych urządzeń.
Innym sposobem, w jaki chmura wpływa na MFA, jest hosting rozwiązań MFA w chmurze, które są zazwyczaj bardziej opłacalne we wdrożeniu, mniej skomplikowane w administrowaniu i bardziej elastyczne niż rozwiązania dostępne lokalnie. Produkty oparte na chmurze mogą oferować więcej opcji skierowanych do użytkowników mobilnych, takich jak mobilne aplikacje uwierzytelniające, powiadomienia push, analiza kontekstowa, np. geolokalizacja, oraz biometria.
Jak banki mogą zacząć korzystać z uwierzytelniania wieloczynnikowego?
Rozwiązania OneSpan w zakresie uwierzytelniania wieloczynnikowego zostały zaprojektowane od podstaw w celu zabezpieczenia kont i transakcji poprzez oferowanie wielu czynników uwierzytelniania przy jednoczesnym spełnieniu wymagań dotyczących prostego procesu logowania. Firma OneSpan zainwestowała wiele czasu i zasobów, aby stworzyć łatwe w użyciu, skalowalne i niezawodne rozwiązania, które zapewniają silne uwierzytelnianie przy użyciu szeregu łatwych opcji weryfikacji - takich jak kolorowe kody QR i Bluetooth. Obejmują one:
- Uwierzytelnianie oprogramowania
- Mobilne tokeny uwierzytelniające
- Dostarczanie SMS-ów
- Uwierzytelnianie sprzętowe
- Uwierzytelniacze USB
- Czytniki kart inteligentnych
- Uwierzytelnianie biometryczne
- Powiadomienia typu push
- Cronto
Dlaczego konsumenci usług finansowych powinni korzystać z MFA?
Konsumenci powinni korzystać z MFA zawsze, gdy mają dostęp do wrażliwych danych. Dobrym przykładem jest korzystanie z bankomatu w celu uzyskania dostępu do konta bankowego. Właściciel konta korzysta z MFA łącząc coś, co zna (PIN) z czymś, co posiada (karta bankomatowa). Podobnie, logując się do konta Facebook, Google lub Microsoft z nowego miejsca lub urządzenia, konsumenci korzystają z MFA, wprowadzając coś, co znają (hasło) oraz drugi czynnik, czyli coś, co posiadają (aplikacja mobilna, która otrzymuje powiadomienie push lub SMS).