Dvoufaktorové ověřování (2FA)

Dvoufaktorové ověřování (2FA), někdy označované jako dvoufázové ověřování nebo dvoufaktorové ověřování, je bezpečnostní proces, při kterém uživatelé poskytují dva různé ověřovací faktory pro své ověření. Tento proces se provádí za účelem lepší ochrany pověření uživatele i zdrojů, ke kterým má uživatel přístup. Dvoufaktorové ověřování poskytuje vyšší úroveň zabezpečení než metody ověřování závislé na jednofaktorovém ověřování (SFA), při němž uživatel poskytuje pouze jeden faktor – obvykle heslo nebo přístupový kód. Metody dvoufaktorového ověřování se spoléhají na to, že uživatel poskytne heslo a také druhý faktor, obvykle buď bezpečnostní token, nebo biometrický faktor, například otisk prstu nebo sken obličeje.

Dvoufaktorové ověřování přidává do procesu ověřování další úroveň zabezpečení tím, že útočníkům ztěžuje získání přístupu k zařízením nebo online účtům dané osoby, protože samotná znalost hesla oběti nestačí k tomu, aby prošla kontrolou ověření. Dvoufaktorové ověřování se již dlouho používá ke kontrole přístupu k citlivým systémům a datům a poskytovatelé online služeb stále častěji používají ověřování 2FA, aby ochránili přihlašovací údaje svých uživatelů před zneužitím hackery, kteří ukradli databázi hesel nebo použili phishingové kampaně k získání uživatelských hesel.

Co jsou to ověřovací faktory?

Existuje několik různých způsobů, jak lze někoho ověřit pomocí více než jedné metody ověřování. V současné době se většina metod ověřování spoléhá na znalostní faktory, jako je například tradiční heslo, zatímco dvoufaktorové metody ověřování přidávají buď faktor vlastnictví, nebo faktor dědičnosti.

Mezi ověřovací faktory, uvedené v přibližném pořadí přijetí pro výpočetní techniku, patří následující:

1. Znalostní faktor je něco, co uživatel zná, například heslo, PIN (osobní identifikační číslo) nebo jiný typ sdíleného tajemství.
2. Faktor vlastnictví je něco, co uživatel má, například průkaz totožnosti, bezpečnostní token, mobilní telefon, mobilní zařízení nebo aplikaci chytrého telefonu, aby mohl schvalovat žádosti o ověření.
3. Faktor dědičnosti, častěji nazývaný biometrický faktor, je něco, co je vlastní fyzickému já uživatele. Mohou to být osobní atributy mapované z fyzických charakteristik, například otisky prstů ověřované prostřednictvím čtečky otisků prstů. Mezi další běžně používané inherenční faktory patří rozpoznávání obličeje a hlasu. Patří mezi ně také behaviorální biometrie, například dynamika stisku kláves, vzorce chůze nebo řeči.
4. Faktor polohy, obvykle označovaný místem, z něhož je prováděn pokus o ověření, může být vynucen omezením pokusů o ověření na konkrétní zařízení v určité lokalitě nebo, častěji, sledováním geografického zdroje pokusu o ověření na základě zdrojové adresy internetového protokolu (IP) nebo jiné geolokační informace, jako jsou údaje globálního polohového systému (GPS), získané z mobilního telefonu nebo jiného zařízení uživatele.
5. Časový faktor omezuje ověřování uživatele na určité časové okno, ve kterém je povoleno přihlášení, a omezuje přístup do systému mimo toto okno.

Je třeba poznamenat, že naprostá většina metod dvoufaktorového ověřování se spoléhá na první tři ověřovací faktory, ačkoli systémy vyžadující vyšší zabezpečení je mohou použít k implementaci vícefaktorového ověřování (MFA), které se může spoléhat na dvě nebo více nezávislých pověření pro bezpečnější ověřování.

Jak funguje dvoufaktorové ověřování?

Takto funguje dvoufaktorové ověřování:

1. Uživatel je aplikací nebo webovou stránkou vyzván k přihlášení.
2. Uživatel zadá to, co zná – obvykle uživatelské jméno a heslo. Server webu pak najde shodu a uživatele rozpozná.
3. U procesů, které nevyžadují hesla, vygeneruje web pro uživatele jedinečný bezpečnostní klíč. Ověřovací nástroj tento klíč zpracuje a server webu jej ověří.
4. Web pak vyzve uživatele, aby zahájil druhý krok přihlášení. Ačkoli tento krok může mít řadu podob, uživatelé musí prokázat, že mají něco, co by mohli mít pouze oni, například bezpečnostní token, průkaz totožnosti, chytrý telefon nebo jiné mobilní zařízení. Jedná se o faktor vlastnictví.
5. Poté uživatel zadá jednorázový kód, který byl vygenerován během čtvrtého kroku.
6. Po zadání obou faktorů je uživatel ověřen a získá přístup k aplikaci nebo webové stránce.

Elementy dvoufaktorového ověřování

Dvoufaktorové ověřování je formou MFA. Z technického hlediska se používá vždy, když jsou k získání přístupu do systému nebo služby vyžadovány dva faktory ověření. Použití dvou faktorů ze stejné kategorie však nepředstavuje 2FA; například vyžadování hesla a sdíleného tajemství je stále považováno za SFA, protože oba patří do stejného typu faktoru ověřování: znalosti.

Jako služby SFA nejsou uživatelské ID a heslo nejbezpečnější. Jedním z problémů ověřování pomocí hesla je, že vyžaduje znalosti a pečlivost při vytváření a zapamatování si silných hesel. Hesla vyžadují ochranu před mnoha vnitřními hrozbami, jako jsou nedbale uložené lepicí papírky s přihlašovacími údaji, staré pevné disky a zneužití sociálním inženýrstvím. Hesla jsou také kořistí vnějších hrozeb, jako jsou hackeři používající útoky hrubou silou, slovníkové útoky nebo útoky pomocí duhové tabulky.

Pokud má útočník dostatek času a prostředků, může obvykle prolomit bezpečnostní systémy založené na heslech a ukrást firemní data včetně osobních údajů uživatelů. Hesla zůstala nejrozšířenější formou SFA z důvodu nízkých nákladů, snadné implementace a známosti. Otázky s vícenásobnou výzvou k odpovědi mohou poskytnout větší bezpečnost v závislosti na způsobu jejich implementace a samostatné metody biometrického ověřování mohou také poskytnout bezpečnější metodu SFA.

Typy produktů dvoufaktorového ověřování

Existuje mnoho různých zařízení a služeb pro implementaci 2FA – od tokenů přes karty radiofrekvenční identifikace (RFID) až po aplikace pro chytré telefony.

Produkty dvoufaktorového ověřování lze rozdělit do dvou kategorií: tokeny, které se dávají uživatelům k použití při přihlašování, a infrastruktura nebo software, který rozpoznává a ověřuje přístup uživatelů, kteří správně používají své tokeny.

Ověřovací tokeny mohou být fyzická zařízení, jako jsou klíčenky nebo čipové karty, nebo mohou existovat v softwaru jako mobilní nebo desktopové aplikace, které generují kódy PIN pro ověření. Tyto ověřovací kódy, známé také jako jednorázová hesla (OTP), jsou obvykle generovány serverem a mohou být rozpoznány jako autentické ověřovacím zařízením nebo aplikací. Ověřovací kód je krátká sekvence spojená s konkrétním zařízením, uživatelem nebo účtem a lze jej použít jednorázově v rámci ověřovacího procesu.

Organizace potřebují nasadit systém, který bude přijímat, zpracovávat a povolovat – nebo zamítat – přístup uživatelům ověřujícím se pomocí svých tokenů. Ten může být nasazen ve formě serverového softwaru, vyhrazeného hardwarového serveru nebo poskytován jako služba dodavatelem třetí strany.

Důležitým aspektem 2FA je zajistit, aby ověřovaný uživatel měl přístup ke všem zdrojům, které má schváleny — a pouze k těmto zdrojům. V důsledku toho je jednou z klíčových funkcí 2FA propojení autentizačního systému s autentizačními údaji organizace. Společnost Microsoft poskytuje část infrastruktury potřebné k tomu, aby organizace mohly podporovat 2FA v systému Windows 10 prostřednictvím funkce Windows Hello, která může pracovat s účty Microsoft, a také ověřování uživatelů prostřednictvím služby Microsoft Active Directory, Azure AD nebo Fast IDentity Online (FIDO 2.0).

Jak fungují hardwarové tokeny 2FA

K dispozici jsou hardwarové tokeny pro 2FA podporující různé přístupy k ověřování. Jedním z populárních hardwarových tokenů je YubiKey, malé zařízení USB (Universal Serial Bus), které podporuje OTP, šifrování a ověřování pomocí veřejného klíče a protokol U2F (Universal 2nd Factor) vyvinutý aliancí FIDO. Tokeny YubiKey prodává společnost Yubico Inc. se sídlem v kalifornském Palo Altu.

Když se uživatelé s YubiKey přihlásí k online službě, která podporuje OTP – například Gmail, GitHub nebo WordPress – vloží svůj YubiKey do portu USB svého zařízení, zadají heslo, kliknou do pole YubiKey a dotknou se tlačítka YubiKey. YubiKey vygeneruje OTP a zadá ho do pole.

OTP je 44znakové heslo na jedno použití; prvních 12 znaků je jedinečné ID, které identifikuje bezpečnostní klíč registrovaný k účtu. Zbývajících 32 znaků obsahuje informace, které jsou zašifrovány pomocí klíče známého pouze zařízení a serverům společnosti Yubico a vytvořeného během počáteční registrace účtu.

Heslo OTP je odesláno z online služby společnosti Yubico ke kontrole ověření. Jakmile je OTP ověřeno, autentizační server Yubico odešle zpět zprávu potvrzující, že se jedná o správný token pro tohoto uživatele. 2FA je dokončeno. Uživatel poskytl dva faktory ověření:

Dvoufaktorové ověřování pro ověřování mobilních zařízení

Chytré telefony nabízejí řadu možností pro 2FA, takže společnosti mohou použít to, co jim nejlépe vyhovuje. Některá zařízení jsou schopna rozpoznávat otisky prstů, vestavěný fotoaparát lze použít pro rozpoznávání obličeje nebo skenování duhovky a mikrofon lze využít pro rozpoznávání hlasu. Chytré telefony vybavené GPS mohou jako další faktor ověřit polohu. Jako kanál pro mimopásmové ověření lze použít také hlas nebo krátkou textovou zprávu (SMS).

Důvěryhodné telefonní číslo lze použít pro příjem ověřovacích kódů prostřednictvím textové zprávy nebo automatického telefonního hovoru. Uživatel musí ověřit alespoň jedno důvěryhodné telefonní číslo, aby se mohl zaregistrovat do 2FA.

Apple iOS, Google Android a Windows 10 mají aplikace podporující 2FA, což umožňuje, aby samotný telefon sloužil jako fyzické zařízení splňující faktor držení. Společnost Duo Security se sídlem v Ann Arbor v Michiganu, kterou v roce 2018 koupila společnost Cisco za 2,35 miliardy dolarů, je dodavatelem platformy 2FA, jejíž produkt umožňuje zákazníkům používat pro 2FA jejich důvěryhodná zařízení. Platforma Duo nejprve zjistí, že uživatel je důvěryhodný, a teprve poté ověří, že mobilní zařízení může být důvěryhodné i pro ověření uživatele.

Autentizační aplikace nahrazují nutnost získat ověřovací kód prostřednictvím textové zprávy, hlasového hovoru nebo e-mailu. Například pro přístup k webové stránce nebo webové službě, která podporuje Google Authenticator, zadají uživatelé své uživatelské jméno a heslo – faktor znalosti. Poté jsou uživatelé vyzváni k zadání šestimístného čísla. Místo toho, aby museli čekat několik vteřin na textovou zprávu, vygeneruje za ně číslo Authenticator. Tato čísla se mění každých 30 sekund a při každém přihlášení jsou jiná. Zadáním správného čísla uživatelé dokončí proces ověření a prokáží vlastnictví správného zařízení – faktor vlastnictví.

Tyto a další produkty 2FA nabízejí informace o minimálních systémových požadavcích nutných k implementaci 2FA.

Je dvoufaktorové ověřování bezpečné?

Přestože dvoufaktorové ověřování zvyšuje bezpečnost – protože právo na přístup již nezávisí pouze na síle hesla – jsou schémata dvoufaktorového ověřování tak bezpečná, jak bezpečná je jejich nejslabší součást. Například hardwarové tokeny závisí na bezpečnosti vydavatele nebo výrobce. Jeden z nejznámějších případů kompromitace dvoufaktorového systému se odehrál v roce 2011, kdy bezpečnostní společnost RSA Security oznámila, že její autentizační tokeny SecurID byly hacknuty.

Samotný proces obnovení účtu může být také podvržen, pokud je použit k překonání dvoufaktorového ověřování, protože často resetuje aktuální heslo uživatele a pošle e-mailem dočasné heslo, aby se uživatel mohl znovu přihlásit, čímž obejde proces 2FA. Tímto způsobem byly hacknuty služební účty Gmail šéfa společnosti Cloudflare.

Ačkoli je systém 2FA založený na SMS levný, snadno implementovatelný a považovaný za uživatelsky přívětivý, je zranitelný vůči mnoha útokům. Národní institut pro standardy a technologie (NIST) ve své zvláštní publikaci 800-63-3: Digital Identity Guidelines nedoporučuje používání SMS ve službách 2FA. NIST dospěl k závěru, že OTP zasílané prostřednictvím SMS jsou příliš zranitelné kvůli útokům na přenositelnost mobilních telefonních čísel, jako je například Signaling System 7 hack, proti síti mobilních telefonů a malwaru, jako je Eurograbber, který lze použít k zachycení nebo přesměrování textových zpráv.

Vyšší úrovně ověřování

Většina útoků pochází ze vzdálených internetových připojení, takže 2FA činí tyto útoky méně hrozivými. Získání hesla k přístupu nestačí a je nepravděpodobné, že by útočník dokázal získat i druhý ověřovací faktor spojený s uživatelským účtem.

Útočníci však někdy prolomí ověřovací faktor ve fyzickém světě. Například při vytrvalé prohlídce cílových prostor může být ID zaměstnance a heslo nalezeno v koši nebo v nedbale odhozených paměťových zařízeních obsahujících databáze hesel. Pokud jsou však pro ověření vyžadovány další faktory, útočník by čelil přinejmenším jedné další překážce. Protože jsou faktory nezávislé, kompromitace jednoho z nich by neměla vést ke kompromitaci ostatních.

Proto některá vysoce zabezpečená prostředí vyžadují náročnější formu MFA, například třífaktorovou autentizaci (3FA), která obvykle zahrnuje vlastnictví fyzického tokenu a hesla používaného ve spojení s biometrickými údaji, jako jsou skeny otisků prstů nebo otisky hlasu. K určení, zda má být uživatel ověřen, nebo zablokován, se používají také faktory, jako je zeměpisná poloha, typ zařízení a denní doba. Kromě toho lze v reálném čase diskrétně sledovat také behaviorální biometrické identifikátory, jako je délka stisku kláves, rychlost psaní a pohyby myši, a zajistit tak průběžnou autentizaci namísto jednorázové autentizační kontroly při přihlášení.

Tlačítková oznámení pro 2FA

Tlačítkové oznámení je ověřování bez hesla, které ověřuje uživatele odesláním oznámení přímo do zabezpečené aplikace v zařízení uživatele a upozorňuje ho, že probíhá pokus o ověření. Uživatel si může zobrazit podrobnosti pokusu o ověření a buď schválit, nebo odmítnout přístup – obvykle jediným klepnutím. Pokud uživatel žádost o ověření schválí, server tuto žádost přijme a přihlásí uživatele do webové aplikace.

Push oznámení ověřují uživatele potvrzením, že zařízení registrované v systému ověřování — obvykle mobilní zařízení — je v držení uživatele. Pokud útočník kompromituje zařízení, jsou kompromitována i push oznámení. Oznámení push eliminují možnosti útoků typu man-in-the-middle (MitM), neoprávněného přístupu a útoků typu phishing a sociální inženýrství.

Ačkoli jsou oznámení push bezpečnější než jiné formy metod ověřování, stále existují bezpečnostní rizika. Uživatelé by například mohli omylem schválit podvodnou žádost o ověření, protože jsou zvyklí při obdržení oznámení push klepnout na tlačítko schválit.

Budoucnost ověřování

Spoléhání se na hesla jako na hlavní způsob ověřování již nenabízí bezpečnost ani uživatelský komfort (UX), který uživatelé požadují. A přestože se starší bezpečnostní nástroje, jako je správce hesel a MFA, pokoušejí vypořádat s problémy uživatelských jmen a hesel, jsou závislé na v podstatě zastaralé architektuře: databázi hesel.

Organizace, které chtějí v budoucnu zlepšit zabezpečení, proto zkoumají možnosti využití technologií ověřování bez hesla, aby zlepšily UX.

Ověřování bez hesla umožňuje uživatelům bezpečně se ověřit v aplikacích, aniž by museli zadávat hesla. Ve firmách to znamená, že zaměstnanci mohou přistupovat ke své práci, aniž by museli zadávat hesla – a IT oddělení si stále zachovává plnou kontrolu nad každým přihlášením.

Biometrie a zabezpečené protokoly jsou několika příklady bezheslových ověřovacích technologií.

Použití biometrie jako metody bezheslového ověřování na úrovni uživatele, aplikace i zařízení může firmám lépe zajistit, že zaměstnanci, kteří se přihlašují do systémů, jsou ti, za které se tam vydávají.

Protokoly jsou dalším příkladem bezheslových technologií. Protokoly jsou standardy, jejichž cílem je usnadnit komunikaci mezi poskytovatelem identit a poskytovatelem služeb. Zaměstnanec, který je ověřen u poskytovatele identit, je také ověřen u přidělených poskytovatelů služeb, aniž by musel zadávat heslo.

Přechod na bezheslovou komunikaci je pro organizace výhodný, protože odstranění hesla vede k lepšímu uživatelskému rozhraní pro jejich zaměstnance. Bezheslové ověřování zavádí nové způsoby, jak se zaměstnanci mohou snadno a bezpečně přihlašovat ke své práci, aniž by se museli spoléhat na hesla. Odpadá tak nutnost obnovy účtu, žádostí o obnovení hesla a ručního střídání hesel.

.