Vícefaktorová autentizace

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 20. listopadu 2019; kontroly vyžadují 11 úprav .

Vícefaktorová autentizace ( MFA , anglicky multi-factor authentication , MFA ) - pokročilá autentizace , metoda řízení přístupu k něčemu ( počítač , stránka atd.), při které musí uživatel předložit více než jeden „důkaz o mechanismu autentizace“. ", abyste získali přístup k informacím.

Kategorie takových důkazů zahrnují:

Znalosti jsou informace, které subjekt zná. Například heslo , PIN kód , kód , řídicí slovo a tak dále.
Vlastnictví je věc, kterou má subjekt. Například elektronická nebo magnetická karta, token, flash paměť.
Vlastnost, kterou má entita. Například biometrie, přirozené jedinečné rozdíly: obličej, otisky prstů (papilární vzory), duhovka, sekvence DNA.

Faktory autentizace

Hlavní článek: Autentizace

Ještě před příchodem počítačů se používaly různé charakteristické rysy předmětu, jeho charakteristiky. Nyní závisí použití té či oné charakteristiky v systému na požadované spolehlivosti, bezpečnosti a nákladech na implementaci. Existují tři faktory ověřování:

Faktor znalostí: něco, co známe, je heslo . Jedná se o tajnou informaci, kterou by měl mít pouze oprávněný subjekt. Heslo může být řečené slovo, textové slovo, kombinace pro zámek nebo osobní identifikační číslo ( PIN ). Mechanismus hesel lze implementovat poměrně snadno a má nízkou cenu. Má však značné nevýhody: často je obtížné udržet heslo v tajnosti, útočníci neustále vymýšlejí nové způsoby, jak heslo ukrást, prolomit a uhodnout (viz kryptoanalýza banditů , metoda hrubé síly ). Díky tomu je mechanismus hesla slabě bezpečný. Mnoho tajných otázek, jako například „Kde jsi se narodil?“, jsou elementárními příklady faktoru znalostí, protože mohou být známy široké skupině lidí nebo mohou být zkoumány.
Faktor vlastnictví: To, co máme, je autentizační zařízení . Zde je důležitá okolnost, že subjekt vlastní nějaký jedinečný předmět. Může to být osobní pečeť, klíč k zámku , u počítače je to datový soubor obsahující charakteristiku. Tato funkce je často zabudována do specifického ověřovacího zařízení, jako je plastová karta , čipová karta . Dostat se k takovému zařízení je pro útočníka obtížnější než prolomit heslo a v případě odcizení zařízení může subjekt okamžitě nahlásit. Díky tomu je tato metoda bezpečnější než mechanismus hesel, ale náklady na takový systém jsou vyšší.
Feature factor: něco, co je naší součástí – biometrie . Charakteristika je fyzický rys subjektu. Může to být portrét, otisk prstu nebo dlaně , hlas nebo rys oka . Z pohledu subjektu je tato metoda nejjednodušší: nemusíte si pamatovat heslo ani s sebou nosit autentizační zařízení. Biometrický systém však musí být vysoce citlivý, aby mohl potvrdit oprávněného uživatele, ale odmítnout útočníka s podobnými biometrickými parametry. Také náklady na takový systém jsou poměrně vysoké. Ale i přes své nedostatky zůstává biometrie docela slibným faktorem.

Zabezpečení

Podle odborníků vícefaktorová autentizace drasticky snižuje možnost krádeže identity online, protože ke spáchání podvodu nestačí znát heslo oběti. Mnoho přístupů vícefaktorové autentizace však zůstává zranitelných vůči útokům phishing , man-in-the-browser a man-in-the- midth .

Hlavní článek: Autentizace

Při volbě toho či onoho faktoru či způsobu autentizace pro systém je nutné vycházet především z požadovaného stupně zabezpečení, nákladů na vybudování systému a zajištění mobility subjektu.

Zde je srovnávací tabulka:

Míra rizika	Požadavky na systém	Technologie ověřování	Příklady aplikací
Krátký	Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací nebude mít významné důsledky	Doporučeným minimálním požadavkem je použití opakovaně použitelných hesel.	Registrace na portálu na internetu
Průměrný	Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí malé škody	Doporučeným minimálním požadavkem je použití jednorázových hesel	Provádění bankovních operací subjektem
Vysoký	Pro přístup do systému je vyžadována autentizace a krádež, hackování, vyzrazení důvěrných informací způsobí značné škody	Doporučený minimální požadavek – použijte vícefaktorové ověření	Provádění velkých mezibankovních transakcí vedoucími pracovníky

Legislativa a regulace

Standard zabezpečení dat odvětví platebních karet (PCI), požadavek 8.3, vyžaduje použití MFA pro veškerý vzdálený síťový přístup mimo síť do prostředí Card Data Environment (CDE). [1] Počínaje PCI-DSS verze 3.2 je použití MFA vyžadováno pro jakýkoli administrativní přístup k CDE, i když je uživatel v důvěryhodné síti.

Dvoufaktorová autentizace

Dvoufaktorová autentizace ( DFA , anglicky two-factor authentication , známá také jako dvoufázové ověření ) je druh vícefaktorové autentizace. DFA je technologie, která umožňuje identifikaci uživatele kombinací dvou různých komponent.

Příklady dvoufaktorové autentizace jsou autorizace Google a Microsoft . Když se uživatel přihlásí z nového zařízení, je kromě ověření uživatelského jména a hesla požádán o zadání šestimístného (Google) nebo osmimístného (Microsoft) ověřovacího kódu. Účastník jej může obdržet prostřednictvím SMS , pomocí hlasového hovoru na svůj telefon, potvrzovací kód lze získat z předem sestaveného registru jednorázových kódů nebo lze ve zkratce vygenerovat nové jednorázové heslo pomocí autentizační aplikace. časová období . Metoda se volí v nastavení účtu Google nebo Microsoft, resp.

Výhoda dvoufaktorové autentizace prostřednictvím mobilního zařízení:

Nejsou potřeba žádné další tokeny , protože mobilní zařízení je vždy po ruce.
Potvrzovací kód se neustále mění, což je bezpečnější než jednofaktorové přihlašovací heslo.

Nevýhody dvoufaktorové autentizace prostřednictvím mobilního zařízení:

Mobil musí při autentizaci chytit síť, jinak se zpráva s heslem prostě nedostane.
Je nutné uvést číslo mobilního telefonu, které může například v budoucnu způsobovat spam.
Textové zprávy (SMS), které lze při přijetí mobilním telefonem zachytit [2] [3] .
Textové zprávy přicházejí s určitým zpožděním, protože ověření trvá nějakou dobu.
Moderní chytré telefony se používají k příjmu pošty i SMS. E-mail na mobilním telefonu je zpravidla vždy zapnutý. Všechny účty, pro které je klíčová pošta, tak mohou být hacknuty (první faktor). Mobilní zařízení (druhý faktor). Závěr: smartphone míchá dva faktory do jednoho.

Nyní mnoho velkých služeb, jako je Microsoft, Google, Dropbox, Facebook, již poskytuje možnost používat dvoufaktorové ověřování. A pro všechny můžete použít jedinou ověřovací aplikaci , která splňuje určité standardy, jako je Google Authenticator, Microsoft Authentificator, Authy nebo FreeOTP.

Praktické provedení

Mnoho produktů vícefaktorové autentizace vyžaduje, aby uživatel měl klientský software, aby systém vícefaktorové autentizace fungoval. Někteří vývojáři vytvořili samostatné instalační balíčky pro přihlášení k síti, přihlašovací údaje pro webový přístup a připojení VPN. Chcete-li s těmito produkty používat token nebo čipovou kartu , budete muset na svůj počítač nainstalovat čtyři nebo pět speciálních softwarových balíčků. Mohou to být balíčky pro správu verzí nebo balíčky pro kontrolu konfliktů s obchodními aplikacemi. Pokud lze přístup provést pomocí webových stránek, nevzniknou žádné neočekávané náklady. S jinými softwarovými řešeními pro vícefaktorovou autentizaci, jako jsou „virtuální“ tokeny nebo některé hardwarové tokeny, žádný ze softwaru nemohou instalovat přímí uživatelé.

Vícefaktorové ověřování není standardizováno. Existují různé formy jeho implementace. Problém tedy spočívá v jeho schopnosti interakce. Existuje mnoho procesů a aspektů, které je třeba vzít v úvahu při výběru, vývoji, testování, implementaci a údržbě kompletního systému správy identit zabezpečení, včetně všech příslušných autentizačních mechanismů a souvisejících technologií: všechny tyto popsal Brent Williams v kontextu „Identity Životní cyklus" [1]

Vícefaktorová autentizace má řadu nevýhod, které brání její distribuci. Zejména pro člověka, který této oblasti nerozumí, je těžké sledovat vývoj hardwarových tokenů nebo USB klíčů. Mnoho uživatelů není schopno nainstalovat certifikovaný klientský software sami, protože nemají odpovídající technické dovednosti. Obecně platí, že vícefaktorová řešení vyžadují dodatečné náklady na instalaci a provoz. Mnoho hardwarových komplexů založených na tokenech je patentováno a někteří vývojáři účtují uživatelům roční poplatek. Z logistického hlediska je umístění hardwarových tokenů obtížné, protože se mohou poškodit nebo ztratit. Vydávání tokenů ve velkých organizacích, jako jsou banky a další velké podniky, by mělo být regulováno. Kromě nákladů na instalaci vícefaktorové autentizace se značná částka platí také za údržbu. V roce 2008 provedl hlavní mediální zdroj Credit Union Journal průzkum mezi více než 120 americkými družstevními záložnami. Účelem průzkumu je ukázat náklady na údržbu spojené s dvoufaktorovou autentizací. Nakonec se ukázalo, že nejvyšší náklady stojí certifikace softwaru a přístup k nástrojové liště.

Patenty

V roce 2013 Dotcom, Kim tvrdil, že vynalezl dvoufaktorovou autentizaci patentovanou v roce 2000 [4] a krátce pohrozil žalobou na všechny hlavní webové služby. Evropský patentový úřad však jeho patent [5] zrušil ve světle dřívějšího amerického patentu z roku 1998, který vlastnila AT&T. [6]

Viz také

Poznámky

↑ Oficiální stránka Rady pro bezpečnostní standardy PCI – ověřte shodu s PCI, stáhněte si zabezpečení dat a standardy zabezpečení kreditních karet . www.pcisecuritystandards.org . Získáno 25. července 2016. Archivováno z originálu 27. prosince 2021. (neurčitý)
↑ NIST se připravuje na postupné zrušení přihlašovacích bezpečnostních kódů založených na SMS. Čas se krátí pro tuto oblíbenou online bezpečnostní techniku (anglicky) , Fortune (26. července 2016). Archivováno z originálu 20. dubna 2018. Získáno 13. srpna 2016. „Vzhledem k riziku, že SMS zprávy mohou být zachyceny nebo přesměrovány, měli by implementátoři nových systémů pečlivě zvážit alternativní autentizátory,“ NIST.“
↑ Durov oznámil zapojení speciálních služeb do hackování Telegramu opozice . RosBusinessConsulting (2. května 2016, 20:18). - „... v pátek večer mu (Oleg Kozlovsky) oddělení technologického zabezpečení MTS vypnulo službu doručování SMS, načež o 15 minut později někdo z unixové konzole na IP adrese na jednom z anonymizačních serverů Tor odeslal na Telegram žádost o autorizaci nového zařízení s Kozlovského telefonním číslem. Byla mu zaslána SMS s kódem, který nebyl doručen, protože pro něj byla služba deaktivována. Útočník poté zadal autorizační kód a získal přístup k aktivistovu účtu Telegram. „Hlavní otázkou je, jak se neznámí lidé dostali ke kódu, který byl zaslán SMS, ale nebyl doručen. Bohužel mám jen jednu verzi: přes systém SORM nebo přímo přes oddělení technického zabezpečení MTS (například na výzvu „příslušných orgánů“),“ zdůraznil aktivista. Staženo 11. 5. 2017. Archivováno z originálu 17. 6. 2018. (Ruština)
↑ Schmitz, Kim, "Metoda pro autorizaci v systémech přenosu dat", US 6078908
↑ Brodkin, Jon Kim Dotcom tvrdí, že vynalezl dvoufaktorové ověřování – ale nebyl první (html). Ars Technica (23. května 2013). Získáno 25. července 2019. Archivováno z originálu dne 9. července 2019. (neurčitý)
↑ Blonder a kol., "Transaction Authorization and Warning System", US 5708422

Odkazy

Eric Grosse, Mayank Upadhyay, autentizace v měřítku. IEEE Security and Privacy, leden/únor 2013 , IEEE Computer and Reliability Societies. (Angličtina)
NÁVRH speciální publikace NIST 800-63B. Pokyny pro digitální ověřování. Autentizace a správa životního cyklu // NIST, 2016 (anglicky)
Vícefaktorové ověřování jednoduchými slovy