O uwierzytelnianiu dwuskładnikowym

Uwierzytelnianie dwuskładnikowe (weryfikacja dwuetapowa, 2 factor autentication, 2FA) dodaje dodatkowy krok do podstawowej procedury logowania do Twoich kont internetowych. Bez 2FA, wpisujesz swoją nazwę użytkownika i hasło, i gotowe. Hasło jest Twoim pojedynczym składnikiem uwierzytelniania. Drugi składnik sprawia, że Twoje konto jest bardziej bezpieczne. Uwierzytelnianie wieloskładnikowe (MFA multi factor autentication, weryfikacja wieloetapowa) to dowolna liczba czynników większa niż jeden.
2FA lub MFA wymaga od użytkownika posiadania dwóch lub więcej rodzajów poświadczeń przed uzyskaniem dostępu do konta. Używanie dwóch takich samych typów uwierzytelniania nie jest uznawane za uwierzytelnianie dwuskładnikowe.
Trzy typy uwierzytelniania to:
  • coś, co wiesz, np. osobisty numer identyfikacyjny (PIN), hasło lub pytanie bezpieczeństwa (jak nazywa się Twoje pierwsze zwierzę domowe?);
  • coś, co masz, np. kartę bankomatową, telefon lub breloczek generujący specjalny kod-token (małe urządzenie zabezpieczające z wbudowaną funkcją uwierzytelniania);
  • coś, czym jesteś, np. odcisk palca, wzór siatkówki lub odcisk głosu. Czynniki te nazywane są biometrią.

Dlaczego uwierzytelnianie dwuskładnikowe jest ważne?

Hasła od samego początku stanowiły podstawową formę uwierzytelniania w dziedzinie informatyki. Niemniej jednak, warto zauważyć, że w dzisiejszych czasach około 90% haseł można złamać w ciągu niewiele ponad sześciu godzin. Co więcej, duża grupa osób używa tego samego hasła we wszystkich swoich kontach. Oznacza to, że wykorzystanie wyłącznie haseł, może się okazać niewystarczającą formą ochrony. Niebezpieczeństwo haseł jest głównym powodem wymagania i stosowania 2FA. Wdrożenie wieloskładnikowego uwierzytelniania uniemożliwi cyberprzestępcom uzyskanie dostępu do Twoich kont, nawet jeśli Twoje hasło zostanie odgadnięte lub skradzione. Dodatkowa warstwa ochrony, jaką oferuje MFA, zapewnia większe bezpieczeństwo Twojego konta i znacząco zmniejsza szanse na oszustwo, utratę danych lub kradzież tożsamości.

Jakie są różne sposoby wdrażania uwierzytelniania wieloskładnikowego?

Wszystkie opisane poniżej metody obejmują metody uwierzytelniania typu „coś, co masz”. Zazwyczaj istnieje proces rejestracji, w którym użytkownik loguje się na stronie internetowej lub w aplikacji za pomocą nazwy użytkownika i hasła, a następnie wykonuje proces, aby włączyć uwierzytelnianie dwuczynnikowe. Następnie dla kolejnych logowań proces poprosi o drugą warstwę uwierzytelnienia.

Kody generowane przez dodatkowe urządzenia lub aplikacje

Rozwiązania te wykorzystują wiedzę, że użytkownik posiada określone urządzenie, aby udowodnić, że jest tym, za kogo się podaje i polega na podaniu specjalnego kodu przy próbie logowania. Może on być generowany przez fizyczne urządzenie, które użytkownik otrzymuje, czyli takie jak specjalny breloczek, klucz USB lub karta (smartcard), które dynamicznie generuje token dla użytkownika. Kod jest ważny tylko przez krótki czas, zwykle do 30 sekund i jest jednorazowy. Innym rozwiązaniem jest uniwersalny klucz FIDO (Fast Identity Online). Urządzenia zawierają klucz kryptograficzny, którego można użyć do uwierzytelnienia do usługi na laptopie lub telefonie przez USB, Bluetooth lub NFC. Jedno urządzenie może być używane jako dodatkowy czynnik dla wielu usług.
Alternatywnie, użytkownik może pobrać i zainstalować aplikację (autentykator) działającą na jego komputerze lub urządzeniu mobilnym, która dynamicznie generuje tokeny dla użytkownika. Tokeny programowe działają podobnie do tokenów sprzętowych w tym sensie, że są generowane losowo i działają przez krótki okres zanim ulegną zmianie.

Usługa krótkich wiadomości tekstowych (SMS)

Prawdopodobnie najbardziej powszechna metoda wdrażania 2FA. Ta metoda wysyła użytkownikowi unikalny token za pośrednictwem wiadomości tekstowej SMS, zwykle 5-10 cyfrowy kod. Użytkownik musi następnie dostarczyć ten unikalny token przed uzyskaniem dostępu.
SMS nie jest najbezpieczniejszym typem MFA, ale nadal każde uwierzytelnianie wieloskładnikowe jest lepsze niż jego brak. Jeśli jednak dostępne są alternatywy, zalecamy użycie ich zamiast SMS.

Powiadomienia push

Zazwyczaj powiadomienia push działają z aplikacjami. Powiadomienie push jest wysyłane do aplikacji na urządzeniu mobilnym użytkownika. Powiadomienie to jest prośbą o zalogowanie i zawiera takie informacje jak nazwa aplikacji, system operacyjny i przeglądarka internetowa, z której korzysta użytkownik, a także lokalizację i datę wysłania prośby. Użytkownik akceptuje prośbę i automatycznie zostaje zalogowany.
Kody 2FA można również otrzymać za pośrednictwem poczty elektronicznej i rozmowy telefonicznej. Niezależnie od charakteru drugiej warstwy, jest ono istotną barierą przed zagrożeniami.

Uwierzytelnianie biometryczne

Biometria lub uwierzytelnianie „czymś, czym jesteś” jest uważane za jedną z bezpieczniejszych i najtrudniejszą do sfałszowania formę 2FA. Jest również bardziej wygodne, ponieważ użytkownicy są tokenem, więc proces logowania jest szybki i łatwy i nie są zobowiązani do posiadania urządzenia mobilnego przy sobie przez cały czas. Identyfikatorami fizycznymi mogą być odciski palców, rysy twarzy, wzory tęczówki lub siatkówki oka czy głos. Identyfikatory behawioralne mogą być analizą pisma ręcznego lub wzorami pisania.
Uwierzytelnianie biometryczne wiąże się jednak z szeregiem problemów związanych z przechowywaniem danych biometrycznych i obawami dotyczącymi prywatności.

Czy 2FA może zostać złamane?

Chociaż uwierzytelnianie dwuskładnikowe zwiększa bezpieczeństwo, żaden system zabezpieczeń nie daje 100% gwarancji bezpieczeństwa.
Im dłużej „nowe” zabezpieczenie jest stosowane, tym lepiej cyberprzestępcy radzą sobie z jego łamaniem. Używanie 2FA oferuje kolejną warstwę bezpieczeństwa i zdecydowanie utrudni atak. Zniechęci to duży odsetek cyberprzestępców i zapewni Ci o wiele większe bezpieczeństwo niż używanie tylko hasła. Wszyscy powinniśmy dążyć do używania 2FA gdziekolwiek i kiedykolwiek jest to możliwe.

Jak włączyć uwierzytelnianie dwuskładnikowe?

Większość Twoich popularnych kont, ma dostępne 2FA do logowania. Wystarczy je włączyć. Więcej informacji na temat włączania MFA dla różnych usług znajdziesz na stronie CERT Polska.

Opcja zapasowa

W przypadku otrzymywania kodów 2FA za pomocą SMS, zaleca się skonfigurowanie co najmniej jednej alternatywnej opcji, na wypadek utraty dostępu do telefonu. Możliwością jest wydrukowanie kilku zapasowych kodów, które należy przechować w bezpiecznym miejscu. Alternatywnie, można także wykorzystać dedykowane aplikacje lub klucze bezpieczeństwa USB.