Uwierzytelnianie wieloskładnikowe – co to jest MFA?

Co to jest uwierzytelnianie wieloskładnikowe?

Uwierzytelnianie wieloskładnikowe (skr. MFA, z ang. Multi-factor authentication) to metoda weryfikacji użytkownika, która wymaga co najmniej dwóch elementów identyfikacyjnych, aby umożliwić dostęp do internetowych kont lub do zasobów firmy. Elementy, których MFA używa do uwierzytelniania, mieszczą się w różnych kategoriach i zazwyczaj obejmują:

• Coś, co użytkownik zna (np. hasło lub kod PIN);
• Coś, co ma (np. aplikacje uwierzytelniające lub konta e-mail);
• Coś, czym jest (np. odcisk palca lub skan twarzy).

Dzięki wielu elementom uwierzytelniania użytkowników MFA tworzy warstwowy mechanizm bezpieczeństwa, który zmniejsza ryzyko nieautoryzowanego dostępu. Nawet jeśli sprawca zagrożenia naruszy pierwszy element weryfikacyjny (hasło), prawdopodobnie nie będzie w stanie spełnić pozostałych wymagań uwierzytelniania i uzyskać dostępu do konta.

Wiele przedsiębiorstw dostrzegło również korzyści z korzystania z systemu uwierzytelniania, który dynamicznie dostosowuje się do zaangażowanych czynników ryzyka, zwanego adaptacyjnym MFA. Wykorzystuje on informacje kontekstowe i wzorce zachowań użytkownika, aby określić poziom ryzyka związanego z połączeniem i które czynniki uwierzytelniania zastosować.

Informacje kontekstowe używane przez adaptacyjne uwierzytelnianie mogą obejmować:

• Lokalizację, z której użytkownik próbuje się połączyć
• Urządzenia używane do logowania
• Pora dnia, w której użytkownik próbuje się połączyć
• Czy użytkownik łączy się przez sieć prywatną czy publiczną
• Liczba nieudanych prób logowania.

Adaptacyjne uwierzytelnianie wieloskładnikowe opiera się o określoną metodę weryfikacji, porównując kontekst, w którym użytkownik próbuje się połączyć i normalne okoliczności połączenia. Jeśli próba połączenia wydaje się zbyt ryzykowna, system może nie zezwolić użytkownikowi na zalogowanie się lub poprosić o dodatkowe informacje.

Jak działa uwierzytelnianie wieloskładnikowe?

Uwierzytelnianie wieloskładnikowe wymaga od użytkownika podania określonych informacji w celu spełnienia co najmniej dwóch próśb, które różnią się charakterem. Prośby te dzielą się na różne kategorie: pierwszą jest zazwyczaj hasło tworzone przez użytkownika, po którym następuje na przykład prośba o podanie jednorazowego hasła (OTP) wysyłana za pośrednictwem wiadomości SMS lub skanu odcisku palca. Udowodnienie tożsamości użytkownika za pomocą wielu dowodów zmniejsza szanse na podszywanie się pod niego przez osoby atakujące i uzyskiwanie dostępu do zasobów prywatnych lub firmowych.

Przyjrzyjmy się bliżej działaniu MFA, zaczynając od jego początkowych etapów.

1. Gdy użytkownik aktywuje na swoim koncie metodę MFA, musi utworzyć nazwę użytkownika i hasło oraz podać dowolny inny możliwy element uwierzytelniania, na przykład numer telefonu, adres e-mail lub odcisk palca.
2. Zawsze, gdy użytkownicy chcą uzyskać dostęp do kont online lub danych zabezpieczonych przez MFA, muszą podać swoją nazwę użytkownika, hasło i spełnić dodatkową metodę weryfikacji ustawioną na początkowych etapach tworzenia konta. Może to być kod uwierzytelniający wysyłany za pośrednictwem wiadomości SMS, skan twarzy lub odcisk palca.
3. Po przejściu wszystkich etapów weryfikacji użytkownik uzyskuje dostęp do systemu.

Dlaczego uwierzytelnianie wieloskładnikowe jest ważne?

Uwierzytelnianie wieloskładnikowe jest ważne, ponieważ dodaje kolejną warstwę ochrony i zmniejsza szanse na uzyskanie dostępu do poufnych danych przez nieupoważnione podmioty. Ponieważ coraz więcej informacji jest przechowywanych na różnych platformach w chmurze, zabezpieczanie ich tylko za pomocą hasła nie jest już rozsądne. Po pierwsze, użytkownicy mogą tworzyć słabe hasła, które hakerzy mogą łatwo złamać podczas ataków brute force lub za pomocą złośliwego oprogramowania.

Złamanie hasła przez hakerów może mieć jeszcze poważniejsze konsekwencje, jeśli korzystasz z tego samego hasła na wielu kontach, narażając je na atak. Tymczasem dodatkowy czynnik MFA może pomóc zablokować nieautoryzowany dostęp do Twoich kont, nawet jeśli Twoje hasło zostało skradzione.

Korzyści z uwierzytelniania wieloskładnikowego

MFA może przynieść korzyści zarówno firmom, jak i osobom prywatnym, zapewniając wielowarstwowe podejście do dostępu i bezpieczeństwa. Przyjrzyjmy się jego głównym zaletom:

• Zwiększone bezpieczeństwo. Wykorzystując wiele czynników uwierzytelniania, MFA może zabezpieczyć konta, nawet jeśli pierwsza warstwa weryfikacji – czyli hasło – została naruszona. Jest to skuteczne narzędzie do zmniejszania potencjalnych szkód spowodowanych atakami phishingowymi. Nawet jeśli oszust nakłoni użytkownika do ujawnienia hasła, dodatkowe warstwy uwierzytelniania ograniczą oszustowi dostęp do konta. MFA minimalizuje ryzyko związane z wyciekami haseł, błędem ludzkim lub cyberatakami wymierzonymi w poufne dane.
• Elastyczność. MFA zapewnia szereg metod weryfikacji użytkowników, które różnią się charakterem, takich jak kody uwierzytelniające lub dane biometryczne. Firmy mogą wybrać, które metody uwierzytelniania MFA najlepiej odpowiadają ich potrzebom i zasobom oraz co jest najwygodniejsze dla ich użytkowników. To główny powód, dla którego wdrożyliśmy zabezpieczenia MFA na NordKoncie. Inne firmy i organizacje mogą również wdrożyć MFA w różnych aplikacjach i punktach dostępu, zabezpieczając zasoby swoje i użytkowników.
• Zaufanie klientów. Korzystanie z MFA może zwiększyć zaufanie klientów i atrakcyjność produktu/usługi, ponieważ jego metoda weryfikacji kładzie mniejszy nacisk na hasła, a większy na inne formy uwierzytelniania. Dzięki temu system MFA jest bardziej wyrozumiały dla błędów ludzkich.

Główne typy metod uwierzytelniania wieloskładnikowego

Metody uwierzytelniania MFA można klasyfikować w zależności od czynników, których użytkownik używa do uzyskania dostępu do konta. Przyjrzyjmy się najpopularniejszym czynnikom uwierzytelniania.

Czynnik wiedzy

Czynnik wiedzy odnosi się do informacji, które zna tylko użytkownik, a jego przykładami są:

• Hasło lub kod PIN utworzony przez użytkownika.
• Pytanie bezpieczeństwa, takie jak imię pierwszego w życiu zwierzaka użytkownika lub krewnego.

Po wprowadzeniu tej informacji do systemu MFA użytkownik jest kierowany do kolejnych kroków uwierzytelniania.

Czynnik własności

Ta metoda uwierzytelniania dotyczy posiadania fizycznego przedmiotu lub wirtualnej własności, a użytkownicy identyfikują się za pomocą czegoś, co mają. Mogą to być:

• Urządzenia fizyczne, takie jak telefony komórkowe, tablety lub inne gadżety.
• Aktywa cyfrowe, w tym konta e-mail lub usługa SMS.
• Aplikacje uwierzytelniające, takie jak Google Authenticator lub Authy, które generują jednorazowe kody czasowe (TOTP).

W momencie uwierzytelniania użytkownik otrzymuje tymczasowy kod do wprowadzenia w aplikacji MFA lub powiadomienie push, które musi potwierdzić. Po wykonaniu przez użytkownika polecenia zostanie on wpuszczony na konto lub wyświetli mu się kolejna prośba o weryfikację.

Czynnik wrodzony

Czynnik inherencji wskazuje na coś, z czego zbudowany jest użytkownik. Oto kilka przykładów:

• Odcisk palca lub skan oka.
• Rozpoznawanie głosu lub twarzy.
• Dynamika uderzeń klawiszy, w tym szybkość pisania lub konkretne użycie urządzenia.

MFA musi zbierać i przechowywać dane biometryczne użytkownika podczas rejestracji, aby móc korzystać z tego trybu uwierzytelniania. Czynniki biometryczne są unikalne i zawsze powiązane z użytkownikiem, co sprawia, że ​​ta kategoria inherencji jest jedną z najistotniejszych barier wejścia na konto.

Lokalizacja

Czynnik lokalizacji zależy od fizycznej lokalizacji użytkownika, w tym:

• Geolokalizacji, w której użytkownik znajduje się w momencie logowania.
• Adresu IP urządzenia, przez które użytkownik próbuje się połączyć.

Metoda uwierzytelniania lokalizacji wykorzystuje współrzędne GPS i parametry sieciowe, aby określić, czy lokalizacja użytkownika nie wydaje się podejrzana. Parametry lokalizacji zazwyczaj działają w tle. Jeśli system MFA podejrzewa nietypową aktywność, może zablokować użytkownikom dostęp do konta lub poprosić o podjęcie dodatkowych kroków weryfikacyjnych.

Czas

Czynnik czasu śledzi, kiedy użytkownik próbuje się zalogować. Określa, czy użytkownik może uzyskać dostęp do konta na podstawie:

• Konkretnego okresu, w którym użytkownik ma dostęp do zasobów.

Jeśli użytkownik próbuje zalogować się do systemu o nietypowych porach, na przykład w środku nocy, MFA może zablokować próbę połączenia lub poprosić o dodatkową weryfikację.

Czy uwierzytelnianie wieloskładnikowe ma jakieś wady?

Mimo że MFA jest świetnym narzędziem do zwiększania bezpieczeństwa kont użytkowników i zasobów firm, ma też pewne wady. Oto wady MFA, które należy wziąć pod uwagę:

• Blokady. Jeśli użytkownik zgubi lub uszkodzi swój telefon czy inny sprzęt służący do weryfikacji tożsamości, MFA zablokuje mu dostęp do konta. Może to spowodować znaczne opóźnienia i wymagać zewnętrznej pomocy, aby odzyskać dostęp do konta. Czasem nawet odzyskanie dostępu do konta jest niemożliwe.
• Wydłużony czas logowania. Spełnianie próśb ze strony MFA może zająć trochę czasu, szczególnie jeśli system zidentyfikuje Twoje połączenie jako ryzykowne.
• Zależność od osób trzecich. Niektóre kroki weryfikacji mogą wymagać zainstalowania dodatkowych aplikacji w celu wysyłania użytkownikom TOTP lub powiadomień push, wykorzystując miejsce na ich urządzeniach.
• Podatność na ukierunkowane ataki. Chociaż MFA jest skutecznym systemem przeciwko zautomatyzowanym cyberatakom, jest mniej odporny na hakerów z określonymi celami. Hakerzy mogą wykorzystywać zachowania użytkowników lub stosować skomplikowane techniki phishingu, aby nakłonić użytkowników do współpracy podczas uzyskiwania dostępu do kont.

Czym różni się MFA od 2FA?

Uwierzytelnianie wieloskładnikowe (MFA) i uwierzytelnianie dwuskładnikowe (2FA) to metody weryfikacji, które wymagają od użytkowników wielokrotnego potwierdzania swojej tożsamości przed uzyskaniem dostępu do konta. Główna różnica między nimi polega na liczbie wymaganych kroków uwierzytelniania.

Uwierzytelnianie dwuskładnikowe (2FA) wymaga dwóch odrębnych form identyfikacji, które zazwyczaj obejmują czynnik wiedzy (hasło) w połączeniu z czynnikiem własności (urządzenie mobilne) lub wrodzonym (dane biometryczne). Na przykład podczas korzystania z uwierzytelniania dwuskładnikowego (2FA) zostaniesz poproszony o podanie hasła i wprowadzenie kodu wysłanego do Ciebie SMS-em lub użycie odcisku palca.

Tymczasem uwierzytelnianie wieloskładnikowe (MFA) może poprosić o co najmniej dwie metody identyfikacji, które idą w parze z hasłem. Na przykład, gdy użytkownik zostanie poproszony o zaakceptowanie powiadomień push wysyłanych na jego urządzenie mobilne, system MFA może również sprawdzić lokalizację, z której użytkownik próbuje się połączyć, i ocenić ryzyko.

Uwierzytelnianie dwuskładnikowe (2FA) jest podzbiorem uwierzytelniania wieloskładnikowego (MFA), przy czym MFA zapewnia bardziej elastyczne i solidne rozwiązania, które pomagają ustalić, czy żądanie logowania rzeczywiście pochodzi od właściciela.

Wnioski

MFA może zapewnić solidną warstwę zabezpieczeń wykraczającą poza tradycyjne systemy dostępu oparte na hasłach. Technologia MFA wykorzystuje metody uwierzytelniania, które są spersonalizowane i oparte na okolicznościach w czasie rzeczywistym, co znacznie utrudnia atakującym włamanie się na konta. Ta funkcja pomaga znacznie obniżyć ryzyko nieautoryzowanego dostępu do kont i zasobów przy minimalnym kompromisie w zakresie potencjalnych niedogodności dla użytkownika.