facebook LinkedIN LinkedIN - follow
IT SYSTEMS 6/2013 , IT Security

Dvoufaktorová autentizace: mýty a realita



ESET SoftwareZatímco na bezpečnost databází IT oddělení je kladen důraz dlouhodobě, firmy se čím dál častěji poohlížejí i po nových bezpečnostních vrstvách, které zamezí neoprávněnému přístupu do sítě ze strany zaměstnanců nebo úplně cizích lidí. To ovšem v době nárůstu práce mimo kancelář a fenoménu BYOD (přines si vlastní zařízení) není zrovna jednoduchý úkol. Častou a efektivní odpovědí na tyto problémy se zdá být tzv. dvoufaktorová autentizace (2FA).


Volitelnou dvoufaktorovou autentizaci používá řada velkých hráčů na internetu, mimo jiné Yahoo, Microsoft nebo Google. Na druhé straně barikády se pak nachází sociální sítě, které si vystačí se zadáním e-mailu a hesla. Elektronickou adresu (v případě Facebooku i telefonní číslo) přitom zjistíte velice jednoduše. Pak už stačí jakýmkoli způsobem získat příslušné heslo, a s ukradeným účtem si můžete dělat, co chcete. I zde se ale situace postupně mění. Twitter, který v tomto roce čelil několika vážným bezpečnostním incidentům, po fázi interního testování spustil v některých zemích dvoufaktorovou autentizaci založenou na využití mobilního telefonu a posílání SMS. Je třeba si ale uvědomit, že i když tento systém jednoznačně pomáhá předcházet podvodům a útokům ze strany kyberzločinců, rozhodně se nejedná o všelék na všechny hrozby. Mnohé služby 2FA používají dlouhodobě a v daném segmentu se jedná o standard. Přesto jsou tímto způsobem chráněné sítě a data stále zranitelná, o čemž svědčí neustálé a často úspěšné útoky hackerů. Proto byste neměli podléhat mýtům, které tuto dosud poměrně novou metodu provázejí a před tím, než se rozhodnete tento systém ve firmě využívat, byste si měli uvědomit, co všechno jeho zavedení pro firmu znamená a jakou úroveň bezpečnosti dat dokážete zajistit, respektive nabídnout svým zákazníkům.

Co je to vlastně dvoufaktorová autentizace?

Stále ještě nejčastějším způsobem, jak se na internetu přihlásit k vlastnímu účtu na internetové stránce nebo službě, je kombinace jména a hesla. Samotný název účtu se často odvíjí přímo od vašeho jména, případně běžně používané e-mailové adresy. Zadání tohoto údaje tedy zdaleka nedokazuje, že se jedná opravdu o vás, neboť jde o velice jednoduše zjistitelnou informaci. Před tím, aby se za vás vydával někdo jiný, vás může ochránit tajné heslo. Samozřejmě ale pouze v případě, že důsledně dodržujete bezpečnostní pravidla. Procedura zadání uživatelského jména a hesla se nazývá autentizace. Jako ověřovací faktor zde slouží jediný faktor – heslo. Problém je v tom, že běžnému zaměstnanci je často jedno, jak bezpečné jeho přihlašovací údaje jsou. Pokud se pak objeví útočník, kterého bude zajímat, jaké informace a data se v počítači uživatele nacházejí, zjistit nebo odhadnout uživatelské jméno nebývá bohužel nic složitého. Aby se předešlo problémům spojeným s únikem a krádeží dat zapříčiněných prolomením nebo únikem hesla, prosazuje se čím dál častěji právě dvoufaktorová autentizace. Ta ke standardnímu heslu přidá jeden faktor navíc, který podstatně sníží riziko bezpečnostního incidentu.

Tři typy nezávislých faktorů

Nezávislé autentizační faktory můžeme rozdělit do třech kategorií, které se liší způsobem, jakým ověřují totožnost uživatele. Jednotlivé varianty lze pak kombinovat s celou řadou technologií lišících se uživatelským pohodlím a spolehlivostí, s jakou dokážou přesně určit, koho do systému pustit, a koho ne. Mezi metody přihlášení pak patří nejčastěji kombinace:

  • něco vím – něco, co uživatel musí znát. Typická jsou přístupová hesla, správná kombinace znaků, pro bankomaty nebo mobilní telefony PIN kódy a také správné odpovědi na „bezpečnostní otázky“.
  • něco jsem – tato třída zahrnuje využívání biometrických senzorů pro snímání otisků prstů, sítnice a duhovky nebo algoritmy pro měření charakteristiky chování, jako rytmus psaní nebo identifikace hlasu.
  • něco mám – něco, co uživatel vlastní. Patří mezi ně fyzické klíče, průkazy totožnosti a také komunikační zařízení, například hardwarový token, standardní mobilní telefon nebo smartphone.

Nejčastějším a neznámějším příkladem využití dvoufaktorové autentizace v internetových službách je kombinace faktoru „něco vím“ ve formě hesla se zasíláním SMS zpráv na mobilní telefon (něco mám) nebo využitím aplikace pro tvorbu jednorázových hesel ve smartphonech. Hlavní výhoda tohoto systému spočívá v tom, že mobilní telefon vlastní skoro každý, a odpadá tak nutnost koupit si nebo instalovat novou platformu, která by sama o sobě plnila pouze funkci dalšího autentizačního faktoru. Ke svému profilu se tedy přihlásíte pouze v případě, že znáte heslo a máte u sebe svůj mobilní telefon, jehož prostřednictvím získáte jednorázové heslo umožňující přístup k vašemu účtu. Útočník, který by chtěl zneužít vaši identitu, by musel nejen získat vaše heslo, ale také mobil, bez něhož by neměl šanci se k vašemu účtu přihlásit.

Mýtus č. 1: Dvoufaktorová autentizace ochrání vaši stránku a uživatele před kybernetickými útoky

Aby vaše stránky mohly nabídnout dvoufaktorovou autentizaci, musí nejprve umět zacházet s hardwarovými tokeny nebo posílat šifrovací klíče na zařízení uživatelů. Využitím 2FA navíc vyžaduje aktivní zapojení uživatele, což je pomalé a složité na implementaci. Pokud tuto možnost zpřístupníte na stávající stránce, řada uživatelů ji pravděpodobně nebude chtít akceptovat, zahltí vaší servisní podporu nebo to vzdají a půjdou jinam. Mnohem častěji ji proto webové stránky nabízejí pouze jako volitelnou možnost. Uživatelé si totiž nechtějí zvykat na funkci, jejíž smysl dostatečně nechápou a která je „zdržuje“. A to i v případě, že jde o jejich bezpečnost.

Mýtus č. 2: Hackeři dosud nikdy neprolomili webové stránky, do nichž byla implementována dvoufaktorová autentizace

Na webu není nic úplně bezpečné. Stránky zabezpečené dvoufaktorovou autentizací pak hackery lákají vysoce hodnotným obsahem. Implementace 2FA dozajista zvýší bezpečnost, stále však zůstává celá řada významných slabin. Úroveň zabezpečení se totiž také může u jednotlivých dodavatelů technologie velmi lišit. Potenciální hrozbou může být kromě útočníka také dodavatel služby, jak dokazuje mj. případ hardwarových tokenů SA SecurID z roku 2011. U varianty na bázi SMS, která je zdaleka nejčastější, se bezpečnost liší u jednotlivých mobilních operátorů a je zranitelná, pokud například změníte telefonní číslo. Kyberzločinci také dokážou nainstalovat malware na mobilní zařízení a sledovat textové zprávy obsahující dvoufaktorový autentizační kód.

Mýtus č. 3: Dvoufaktorová autentizace vyžaduje dvě nezávislá zařízení, například notebook a smartphone

Nejedná se o podmínku, spíše jde o trend. Mobilní zařízení jsou oblíbená proto, že je vlastní skoro každý a jsou schopna jednoduše ověřit identitu uživatele propojením skryté informace a zapamatovaného hesla v rámci jednoho přístroje. Dvoufaktorová autentizace může být ale nasazena na jakýchkoliv zařízeních, která jsou schopna ukládat a zadávat klíčové údaje. Aplikaci můžete používat ve spojení s něčím, čím se uživatel může prokázat jako něčím, co má (smartphone) a zároveň zná (např. jednorázové heslo). Tato aplikace pak může uživatele vyzvat k autentizaci a využít k tomu šifrovacích technik. Uživatel v tomto případě má k dispozici šifrovací klíč a zná heslo, díky němuž se zločinci nestačí k prolomení ochrany zařízení ukrást.

Mýtus č. 4: Řešení dvoufaktorové autentizace je prakticky stejné jako před lety

2FA se vyvíjí zejména v posledních několika letech. Původní varianta využívala technologii hardwarových tokenů, které nabízely jednorázová hesla. V poslední době se začalo využívat častěji zpráv SMS a dalších mobilních technologií. Dnešní dvoufaktorová autentizace typicky využívá mobilních aplikací obsahující šifrované tajné informace, které jsou uloženy na serveru uživatele. Jednotlivé nástroje pak závisejí také na službách mobilních operátorů.

Mýtus č. 5: Dvoufaktorová autentizace je implementována jako reakce na narušení bezpečnosti, popřípadě na nátlak zákazníka

Některé společnosti nabízejí dvoufaktorovou autentizaci jen proto, že se to od nich požaduje. Často jde přitom o způsob, který nesplňuje současné požadavky na bezpečnost, případně od uživatelů vyžaduje nadměrné úsilí potřebné k přihlášení ke službě, které může být kontraproduktivní. Přitom dnes existují flexibilní metody autentizace, které uživatelům zajistí pohodlný přístup a zároveň přijatelně nízké riziko. Je samozřejmě nutné si uvědomit, že pokaždé jde o kompromis mezi uživatelským pohodlím a bezpečností.

Petr Šnajdr
Autor působí jako pre-sales engineer ve společnosti Eset software.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.