Hesla nejsou bezpečná, 2FA – dvoufaktorová autentizace
V minulém článku jsem, nastínil důvod, proč si myslím, že hesla resp. autentizace pouze heslem není bezpečná. Zmínil jsem, že vhodnější může být celý proces autentizace rozšířit o další možnost neboli faktor. Tím se dostáváme k obecně známému označení 2FA (two factor authentication), česky k dvoufaktorové autentizaci.
Jaké faktory, možnosti autentizace rozlišujeme
-
dvoufaktorová autentizace, faktor něco co vím
Hádejte, co asi patří do této skupiny. Jasně náš dobře známý přihlašovací pár: jméno (login) a heslo. Ale jedná se zde i kódy pro platební karty, PIN kód pro SIM karty atd.. Faktor něco co vím je postaven na faktu, že ono “tajemství” zná jen a pouze uživatel, který si ho zvolil. Platnost údajů může být nastavena systémově a mnohdy záleží na nastavení uživatele. Nejedná se o jednorázové přihlašovací údaje, prozrazení může mít fatální následky.
-
dvoufaktorová autentizace, faktor něco co jsem
Do této skupiny můžeme zařadit různé biometrické senzory jako jsou snímače otisku prstu(ů), skenery oční sítnice nebo senzory pro detekci a měření hlasu. Dají se očekávat další a další možné formy využití biometrie. Faktor něco co jsem využívá nějakou unikátní, neopakovatelnou vlastnost uživatele k pozdější identifikaci při autorizaci (přihlášení). Nevýhodou je, že pro autentizaci uživatele musíme mít požadovaný biometrický skener přístupný všude tam, kde se chceme autentizovat. Z tohoto titulu se tato metoda spíše používá jako přístupová metoda k autentizace uživatele v objektech, oproti možnosti autentizace do IT systémů.
-
dvoufaktorová autentizace, faktor něco co mám
Do této poslední skupiny něco co mám můžeme zařadit veškerá zařízení a předměty, které uživatel vlastní. Do této skupiny tak můžeme zařadit různé tokeny, mobilní telefon (SMS zpráva s tokenem, nebo mobilní aplikace na generování tokenů), certifikáty atd. Mimo naše IT pak zde zařazujeme veškeré identifikační karty a například i klíče. Ztráta uvedených předmětů může mít fatální následek a tak se tento faktor autentizace pro IT systémy zpravidla kombinuje s jiným faktorem.
Zvýšení úrovně bezpečnosti při autentizaci dosáhneme kombinací výše uvedených faktorů
Dvoufaktorová autentizace je pak kombinací dvou faktorů z uvedených skupin. Právě ona kombinace dvou faktorů zvyšuje míru bezpečnosti procesu autentizace uživatele. My se zaměříme na nejvíce používaný 2FA a to v kombinaci něco vím a něco mám. Jedná se tak o klasické přihlašovací jméno a heslo s kombinací například zaslané SMS zprávy na mobil uživatele (metoda je např. hodně používaná při autentizaci do bankovní aplikace).
Výhodou této 2FA je fakt, že mobilní telefon je běžně dostupný a opsání zaslaného tokenu v SMS zprávě není nikterak složité. Pravda, je to o něco méně komfortní než zadání samotného jména a hesla. Velkou výhodou v procesu přihlášení je nesporně fakt, že zaslaný token má omezenou dobu platnosti, čímž je splněna podmínka jednorázového hesla. Znamená to, že pokud útočník získá heslo a token, díky omezené době platnosti tokenu jeho přihlášení nebude pravděpodobně úspěšné.
V následujícím příspěvku se pak už budeme bavit o konkrétní podobě autentizace pro Google Apps prostředí.