MFA, czyli Multi-Factor Authentication, daje możliwość uwierzytelnienia do logowania poprzez kilka narzędzi. Standardowo do logowania przyjmuje się, że wystarczy sam login i hasło, aby uzyskać dostęp do konta. Jednakże jest to jedynie podstawowe zabezpieczenie, które nie daje 100% gwarancji ochrony konta przed nieautoryzowanym logowaniem. Obecnie systemy pozwalają na wykorzystanie różnych sposobów uwierzytelniania do logowania się na konto, które zwiększają bezpieczeństwo konta.
MFA – metody uwierzytelnienia
Podstawowe elementy – login i hasło
Uwierzytelnienie logowania do konta może przebiegać na kilka sposobów . Najbardziej powszechną metodą jest posiadanie hasła, najlepiej silnego, który nie będzie łatwy do rozszyfrowania. Nie zaleca się posiadania haseł w postaci “1234”, “1111”, “abcde”, czy też “qwerty”, gdyż łatwo jest je rozpracować. Warto pamiętać, że osoby, które będą próbowały dostać się do konta, mogą zacząć od najłatwiejszych haseł, na które człowiek może wpaść. Z tego powodu warto zarówno stosować trudniejsze hasła, jak i regularnie je zmieniać.
E-mail i telefon
Poza standardowym hasłem, obecnie technologia pozwala na użycie innych narzędzi do identyfikacji osób logujących się do kont. Dostęp do konta można uzyskać poprzez otrzymanie odpowiedniego hasła na mailu, który był podany przy rejestracji. Taki kod również może przyjść na numer telefonu, jeśli został on wybrany jako metoda uwierzytelnienia.
Zaawansowane metody szyfrowania danych w MFA
Wśród kolejnych metod do uwierzytelnienia można wykorzystać bardziej zaawansowane metody szyfrowania danych. Do wsparcia przychodzą w tym przypadku zarówno odpowiednio przygotowane pendrive’y, jak i aplikacje zezwalające na dostępy do kont. Coraz więcej aplikacji umożliwia wykonywanie uwierzytelnienia właśnie poprzez zaawansowane metody, które dzięki temu zyskują na swojej popularności i zarazem utrudniają dostęp do konta przez osoby nieuprawnione. Mogą to być klucze szyfrujące, tokeny, karty inteligentne, a także dodatkowe aplikacje pozwalające na szyfrowanie danych.
Pendrive w formie klucza
W przypadku pendrive’a, to wystarczy zmienić go w klucz poprzez skonfigurowanie przy użyciu narzędzi takich jak chociażby przykładowo: Microsoft BitLocker, TrueCrypt, czy również USB Secure. Microsoft BitLocker umożliwia na zaszyfrowanie danych, które można wykorzystać do zabezpieczenia danych przechowywanych na pendrive’ie informacji TrueCrypt to narzędzie do szyfrowania , które umożliwia tworzenie wirtualnych dysków i szyfrowanie ich za pomocą silnego algorytmu szyfrowania. USB Secure to narzędzie do ochrony danych przechowywanych na pendrive’ie poprzez ich szyfrowanie za pomocą silnego algorytmu szyfrowania. Istnieje również aplikacja Rohos Mini Drive, która umożliwia tworzenie bezpiecznych dysków USB z hasłem i ustawieniami uwierzytelniania.
Aplikacje zezwalające na uwierzytelnienie logowania
Dodatkową opcją identyfikowania osoby logującej się do konta są aplikacje. Niektóre, jak na przykład logowanie do konta Google, wymagają spojrzenia na telefon i wybrania odpowiedniego kody z wyskakującego okna. Istnieją również takie aplikacje, jak chociażby Authenticator, które wymagają potwierdzenia logowania przy każdej próbie zalogowania się.. W przypadku logowania do banku, istnieje też opcja wprowadzenia dodatkowego kodu PIN w aplikacji, aby umożliwić dalsze operacje na koncie. Nawet logowanie na rządowe strony umożliwia uwierzytelnienie poprzez logowanie za pomocą konta bankowego, a nawet także przez mObywatela, który do weryfikacji wykorzystuje kod kreskowy QR.
Aktywacja MFA
Aby aktywować możliwość uwierzytelniania logowania za pomocą co najmniej dwóch lub więcej metod, wystarczy w ustawieniach konta zezwolić na logowanie wieloskładnikowe. Następnie można wybrać, w jaki sposób dodatkowo będzie weryfikowane logowanie do konta.
Najczęściej spotykaną opcją MFA jest uwierzytelnianie dwuskładnikowe (2FA). Polega to na tym, że oprócz hasła, można wykorzystać jedną z metod uwierzytelniania. Może to być przesłanie dodatkowego kodu na maila, smsa lub użycie klucza – wszystko zależy od dostępności tych opcji w danym systemie. Po włączeniu uwierzytelniania, system będzie wymagał walidacji za każdym razem podczas logowania. Będziemy o tym informowani na bieżąco, więc w przypadku próby włamania będziemy mogli szybko zareagować.
Zalety i wady uwierzytelnienia wieloskładnikowego (MFA)
Obecnie MFA jest uznawane za jedną z najlepszych metod weryfikujących dostępu do kont. Łatwo zauważyć sygnały wskazujące na nieautoryzowany dostęp do konta, który może prowadzić do pozyskania wrażliwych danych. Oprócz monitorowania prób logowania, ważne jest również zadbanie o poziom zabezpieczeń konta.
Wśród zalet MFA można wymienić m.in.:
- Wzmocnienie zabezpieczeń konta przed nieautoryzowanym dostępem,
- Stały monitoring w przypadku próby nieautoryzowanego dostępu do konta,
- Nie trzeba pamiętać 15 różnych haseł, aby uzyskać dostęp do konta,
- Możliwość wykorzystania kilku metod autoryzacji dostępu do konta,
- Zwiększenie poziomu bezpieczeństwa danych.
Do wad można zaliczyć:
- Konieczność poniesienia kosztów, jeśli chcemy zakupić odpowiednie narzędzia do uwierzytelniania (np. tokeny, pendrive’y, karty, oprogramowanie do szyfrowania itp.),
- Konieczność ciągłego pilnowania narzędzi do uwierzytelniania.
Ciekawostki
Uwierzytelnienie a autoryzacja
Istotne jest, aby nie mylić tych dwóch pojęć. Uwierzytelnienie polega na identyfikacji osoby, która chce się zalogować do konta. Natomiast autoryzacja polega na weryfikacji uprawnień osoby oraz określeniu, do jakich zasobów osoba będzie miała dostęp.
Rebusy, wpisanie liter i cyfr oraz wybieranie pól
Istnieją jeszcze strony, na których weryfikuje się, czy osoba wpisująca hasło jest botem. Zwykle pojawiają się na nowym ekranie pola, które należy odpowiednio wypełnić lub wybrać. Najczęściej można zaobserwować pole z dziewięcioma kwadratami, na których są ukazane fragmenty zdjęć i należy wybrać te, które odpowiadają głównemu hasłu. Czasem pojawia się również pole, w którym należy wykonać proste zadanie matematyczne, rozwiązać rebus lub wpisać prawidłowo hasło, które będzie lekko zniekształcone graficznie. Ta metoda jedynie potwierdza, że hasło wpisuje człowiek, a nie bot.
Zobacz więcej:
Cyberbezpieczny Samorząd. Jak zrealizować grant?
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Jak przeprowadzić szkolenie z cyberbezpieczeństwa w urzędzie? Zakres i program
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo kanałów zgłoszeniowych dla sygnalisty
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.
2 odpowiedzi
Dziękuję za wyjaśnienie. Nie mieliśmy tego na żądnym szkoleniu. Trudno zrozumieć zachodzące zmiany w bezpieczeństwie oraz coraz trudniej bronić się przed wyłudzeniami.
Maria Kulas
Bardzo proszę p. Mario.
Cieszymy się, że pomogliśmy wyjaśnić nazewnictwo i proces, który za tym się kryje.
Zapraszamy do kolejnych wpisów.
Z poważaniem
Zespół Doering & Partnerzy