CZYM JEST UWIERZYTELNIENIA DWUSKŁADNIKOWE?
Uwierzytelnienie dwuskładnikowe (ang: two-factor authentication, dalej „2FA”) to dodatkowa metoda zarządzania tożsamością i dostępem, która wymusza stosowanie, poza loginem i hasłem, kolejnego czynnika weryfikującego użytkownika. Jej dodatkowym atutem jest funkcja, która wymusza konieczność dodatkowego potwierdzenia tożsamości gdy użytkownik loguje się z nowego, nieznanego urządzenia. Obecnie stosowane metody 2FA to między innymi: kod sms, kod email, autoryzacja poprzez zainstalowaną aplikację na telefonie, fizyczne tokeny generujące kody czy fizyczne tokeny podłączane przez port USB.
DLACZEGO WARTO STOSOWAĆ 2FA?
Obecnie jednym z największych i najbardziej popularnych zagrożeń jest podszywanie (ang: phishing). Poza kradzieżą tożsamości, próbami wyłudzenia pieniędzy, bardzo często phishing jest wektorem ataku hakerskiego na organizacje. Z uwagi rozwój technologii wspierających bezpieczeństwo oraz
dynamiczny rozwój produktów wspierających ochronę sieci informatycznych, człowiek stał się najsłabszym ogniwem w łańcuchu bezpieczeństwa. W przypadku przejęcia lub złamania hasła użytkownika, 2FA jest czynnikiem, który uniemożliwia zalogowanie się do systemu – o ile użytkownik nie padnie ofiarą ataku phishingowego i nie przekaże kodu atakującemu. Dlatego warto wdrożyć którykolwiek
z wymienionych powyżej środków niż stosować tylko klasyczne uwierzytelnienie.
CZY WSZYSTKIE METODY 2FA SĄ TAK SAMO BEZPIECZNE?
Naturalną sytuacją w procesie bezpieczeństwa jest scenariusz, w którym po pojawieniu się nowych metod uwierzytelnienia lub zabezpieczeń przestępcy próbują szukać sposobów na ich „obejście”.
W przypadku 2FA bardzo trudne lub nawet niemożliwe jest zdalne przejęcie fizycznego tokena lub przełamanie aplikacji zainstalowanej na telefonie.
Sytuacja wygląda nieco inaczej w przypadku kodów sms lub email. Ten rodzaj 2FA uznawany jest
za najsłabszy, ponieważ przy pomocy socjotechniki (przy użyciu podszywania się pod firmy lub osoby) atakujący może nakłonić ofiarę do udostępnienia kodu sms/email. Taki kod może być użyty na dowolnym urządzeniu, podczas gdy fizyczne klucze USB, muszą zostać użyte dokładnie na tym samym urządzeniu, które użyło loginu i hasła do logowania.
DLACZEGO SAMO KLIKNIĘCIE TO ZA MAŁO?
Ciekawym aspektem rozwoju technologii 2FA jest modyfikacja procesu logowania przy użyciu telefonów. W początkowej fazie stosowania 2FA, jako potwierdzenie logowania na telefonie, wymagane było tylko kliknięcie w pojawiający się komunikat, który potwierdzał tożsamość właściciela. W związku
z próbami ręcznego lub automatycznego łamania zabezpieczeń przez przestępców, coraz częściej wymagana jest dodatkowa czynność. W najprostszych wariantach jest to świadomy wybór jednego
z kilku symboli lub przepisanie kodu autoryzującego. Wszystko po to aby wymusić na użytkowniku dodatkową akcję, która nie będzie możliwa do wykonania poprzez, np.: złośliwe oprogramowanie
zainstalowane na urządzeniu ofiary.
W 2022 roku miało bardzo miejsce włamanie do sieci informatycznej znanej, międzynarodowej firmy świadczącej usługi przewozu osób oraz dostaw jedzenia z restauracji. Pomimo stosowania uwierzytelnienia dwuskładnikowego (aplikacji na telefonie), atakujący, który zdobył wcześniej login i hasło
pracownika, przekonał przy pomocy tricku socjotechnicznego swoją ofiarę aby potwierdziła logowanie do systemu z nowego urządzenia. W ten sposób pracownik, przy pomocy swojego telefonu,
który służył jako drugi składnik logowania, zezwolił na dostęp do wewnętrznej sieci organizacji. Efektem tego błędu była kompromitacja zabezpieczeń i udany atak, który naraził organizację na poważne problemy, które zablokowały działanie wielu systemów. Ten przykład pokazuje, że różne metody 2FA, mają różne poziomy bezpieczeństwa i za każdym razem, poza wdrożeniem środka technicznego
konieczne jest prowadzenie szkoleń dla pracowników z rozpoznawania ataków socjotechnicznych.
ROZWÓJ 2FA
Kilka lat temu 2FA było mechanizmem, który był związany głównie ze wzmocnieniem logowania
dla zdalnego dostępu do organizacji. Wraz z rozwojem technologii chmurowych, dostępu do zasobów z wielu różnych urządzeń (laptop, tablet, telefon) koniecznością stało się wzmocnienie mechanizmu logowania. Obecnie najbardziej skutecznym sposobem zarządzania dostępem do komputerów i systemów są klucze USB, które są podłączane do komputera i służą jako główny sposób logowania. Brak konieczności stosowania loginu i hasła (rekomendowany jest PIN, który chroni przed użyciem klucza przez osoby niepowołane) sprawia, że taki sposób logowania jest szybszy niż klasyczna metoda oparta o konieczność wpisania loginu i hasła. Z uwagi na coraz większą ilość stosowanych haseł oraz
ich skomplikowanie, takie klucze sprzętowe powinny w najbliższych latach stać się standardem w wielu organizacjach. Popularność tego rozwiązania, które jest wspierane przez coraz większą ilość systemów (szczególnie chmurowych) spowodowała, że koszty implementacji nawet w dużych firmach są coraz niższe. Klucze sprzętowe to także bardzo skuteczne narzędzia dla zabezpieczenia dostępu
i tożsamości dla administratorów IT, programistów i pracowników technicznych, którzy na co dzień logują się do kluczowych zasobów, a używają loginów i haseł jako podstawowego środka ochrony.