Artykuł pochodzi z wydania: Lipiec-Sierpień 2023
Uwierzytelnianie wyłącznie za pomocą hasła pozostawia otwarty wektor ataku. Gdy hasło jest słabej jakości lub wykorzystujemy je do autoryzacji w kilku usługach lub aplikacjach, jeszcze bardziej zwiększa to ryzyko uzyskania nieuprawnionego dostępu do naszych danych. Uruchomienie drugiej lub kolejnej formy autoryzacji w postaci dodatkowych elementów wymaganych do uwierzytelnienia znacząco zwiększa bezpieczeństwo i może ustrzec przed utratą prywatnych danych czy nieuprawnionym dostępem do naszych kont.
Uwierzytelnianie dwuskładnikowe (2FA, Two-Factor Authentication) i wieloskładnikowe (MFA, Multi-Factor Authentication) to dwie metody, które stanowią dodatkowe zabezpieczenie dostępu do konta użytkownika poprzez wykorzystanie dodatkowych składników wymaganych do potwierdzenia tożsamości. Różnica polega na tym, że 2FA umożliwia autoryzację przy użyciu dwóch składników uwierzytelnienia – czymś, co użytkownik zna, oraz czymś, co użytkownik ma. Przykładem oprogramowania zapewniającego uwierzytelnianie dwuetapowe jest Google Authenticator. Z kolei uwierzytelnianie MFA umożliwia autoryzację z wykorzystaniem co najmniej dwóch lub więcej składników i rozszerza rodzaj czynników o coś, czym użytkownik „jest”, czyli o czynniki biometryczne jak odciski palców czy unikalne cechy twarzy. Możemy zatem powiedzieć, że MFA to ogólny termin odnoszący się do sposobów ochrony dostępu do zasobów cyfrowych, a 2FA jest jedną z jego form. W tym artykule postaramy się odpowiedzieć na pytania, czy warto je stosować i jakie korzyści z tego płyną.
> WARSTWY OCHRONY
Technologie weryfikacji, które muszą połączyć użytkownicy w przypadku MFA, dzielą się na trzy kategorie czynników – wiedzy, posiadania i dziedziczenia (więcej na ten temat w ramce Składniki MFA). Aby uwierzytelnienie przebiegło pomyślnie, użytkownicy muszą połączyć technologie weryfikacji z co najmniej dwóch różnych grup lub czynników uwierzytelniania. Z tego powodu logowanie kodem PIN i hasłem (oba należą do kategorii „coś, co wiesz”) nie byłoby uważane za uwierzytelnianie wieloczynnikowe, podczas gdy używanie kodu PIN i rozpoznawania twarzy (z kategorii „coś, czym jesteś”) już tak. Rozwiązania całkowicie pozbawione haseł również mogą kwalifikować się do MFA. Dopuszczalne jest również stosowanie więcej niż dwóch metod uwierzytelniania. Jednak większość użytkowników chce uwierzytelniania bez tarcia (możliwość bycia zweryfikowanym bez konieczności przeprowadzania weryfikacji).
Wdrożenie 2FA lub MFA wprowadza dodatkową warstwę zabezpieczeń, ponieważ nawet jeśli hasło zostanie skradzione lub przechwycone, to ono samo nie wystarczy do uzyskania dostępu do konta użytkownika, ponieważ wymagane będzie również potwierdzenie tożsamości z wykorzystaniem dodatkowych składników.
Zastosowanie 2FA lub MFA wymaga od użytkownika skonfigurowania odpowiednich ustawień w usłudze lub aplikacji. Popularne usługi internetowe i aplikacje jak Microsoft365, Google czy systemy bankowości oferują możliwość konfiguracji uwierzytelniania dwuskładnikowego lub wieloskładnikowego poprzez powiązanie konta z aplikacją uwierzytelniającą na telefonie komórkowym lub generowanie jednorazowych kodów przesyłanych poprzez SMS lub e-mail.
Korzystanie z MFA znacznie zwiększa bezpieczeństwo konta, ponieważ zdecydowanie utrudnia atakującym uzyskanie nieuprawnionego dostępu, nawet w przypadku wycieku hasła. Stosowanie 2FA/MFA jest szczególnie istotne dla kont bankowych, e-mailowych czy usług, w których przechowywane są nasze dane osobiste.
Jest wiele powodów, dla których stosowanie MFA znacząco zwiększa bezpieczeństwo konta użytkownika, a oto kilka z nich:
- Ochrona przed wykorzystaniem skradzionego hasła – wiele ataków polega na przechwyceniu lub złamaniu hasła użytkownika. Jeśli hasło wspólne dla wielu usług czy aplikacji zostanie skradzione, atakujący uzyska dostęp do wszystkich aplikacji, gdzie zastosowano jedno hasło. Wprowadzenie dodatkowych składników uwierzytelniających oznacza, że samo posiadanie hasła nie wystarczy do uzyskania dostępu do konta.
- Dodatkowa warstwa zabezpieczająca – użycie drugiego czynnika, takiego jak kod generowany na urządzeniu mobilnym, klucz fizyczny lub dane biometryczne, wprowadza dodatkową barierę dla potencjalnych atakujących. Nawet jeśli hasło zostanie skradzione lub złamane, atakujący nie będzie miał dostępu do dodatkowych składników uwierzytelniających.
- Odporność na phishing – podszycie się pod instytucję lub usługę w celu nakłonienia użytkownika do podania swojego hasła jest mniej skuteczne, ponieważ nawet jeśli użytkownik poda swoje hasło na fałszywej stronie, konieczne jest również podanie dodatkowego czynnika uwierzytelniającego.
- Większa kontrola – użytkownicy mają większą kontrolę nad swoim kontem lub systemem, ponieważ wymagane jest ich fizyczne zaangażowanie lub posiadanie dodatkowego urządzenia do uwierzytelnienia. To oznacza, że nawet jeśli atakujący ma dostęp do informacji uwierzytelniających, bez fizycznego dostępu np. do tokenu lub telefonu komórkowego nie będzie w stanie uzyskać pełnego dostępu.
Stosowanie uwierzytelniania wieloskładnikowego w znacznym stopniu podnosi poziom bezpieczeństwa i jest zdecydowanie rekomendowane do ochrony kont i systemów przed nieuprawnionym dostępem. Należy jednak pamiętać, że stosowanie 2FA i MFA nie daje absolutnej gwarancji bezpieczeństwa. Istnieją takie rodzaje zagrożeń jak zaawansowane kampanie phishingowe, zmęczenie MFA lub inne formy ataków socjotechnicznych, przy użyciu których cyberprzestępcy mogą wyłudzić dane dostępowe. Dlatego ważne jest zachowanie ostrożności podczas korzystania z usług online i regularne aktualizowanie oprogramowania oraz zabezpieczeń.
To, czy użyjemy 2FA, czy MFA, zależy od możliwości technicznych, a często również od podejścia organizacji do kwestii zapewnienia wygody korzystania kosztem mniejszego bezpieczeństwa. Co do zasady MFA może zapewniać lepszy poziom bezpieczeństwa niż 2FA, ponieważ umożliwia wykorzystanie więcej niż dwóch składników do uwierzytelnienia. Jeśli zatem maksymalne zabezpieczenie jest priorytetem, MFA powinno być preferowanym rozwiązaniem. 2FA jest często wygodniejsze w użyciu niż MFA, ponieważ wymaga tylko dwóch składników, co sprawia, że proces uwierzytelniania jest prostszy i szybszy. W niektórych przypadkach nie wszystkie usługi lub systemy obsługują MFA. Jeśli nie można skorzystać z MFA, warto pamiętać, że 2FA jest nadal skutecznym narzędziem do poprawy bezpieczeństwa dostępu do kont użytkowników.
[…]
Piotr Maziakowski
Autor od 2004 r. jest związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.