Vícefázové ověření
Vícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informatice proces, pomocí kterého se uživatel může bezpečně přihlásit k webové stránce nebo aplikaci tím, že při autentizaci poskytne dva nebo více důkazů (faktorů) potvrzujících jeho identitu: znalost (něco, co ví pouze uživatel), vlastnictví (něco, co má pouze uživatel) a charakteristika (něco, čím je pouze daný uživatel). Vícefázové ověření chrání uživatele před krádeží digitální identity (osobních údajů, peněz nebo jiného majetku).
Dvoufázové ověření (též dvoufaktorové nebo 2FA, anglicky two-factor authentication) je podmnožinou vícefázového ověření. Vyžaduje od uživatele prokázání dvou faktorů (prvním je obvykle uživatelské jméno a heslo, druhým pak například PIN, otisk prstu, snímek sítnice oka, elektronický token a podobně). Dvoufázové přihlášení uživatelů podporují například Google, Facebook, Steam, internetové bankovnictví, mobilní bankovnictví.
Charakteristika
Většina služeb na internetu používá nejjednodušší jednofázové ověření identity uživatele pomocí uživatelského jména a hesla, který je nejméně spolehlivý, protože spoléhá jen na „faktor znalostí“. Pokud dojde k odcizení přihlašovacích údajů, může se pomocí nich za uživatele vydávat kdokoliv. Existence druhé (případně i další) fáze zajistí, že i při odcizení přihlašovacích údajů se nebude k uživatelskému účtu možné přihlásit, protože bude chybět druhá (nebo další) fáze nutná k přihlášení, což může být:[1][2][3]
- co víte: znalost, kterou ví jen uživatel, například heslo, PIN, TAN, ...
- co máte: fyzický objekt ve vlastnictví uživatele, například bezpečnostní token (USB zařízení, občanský průkaz s čipem, mobilní telefon, platební karta, ...)
- čím jste: biometrická charakteristika uživatele (otisk prstu, snímek oční duhovky, sítnice nebo obličeje, DNA, ...)
- kde jste: připojení k určité počítačové síti (tj. IP adresa) nebo k určitému zařízení, určitá GPS pozice, ...
Přičemž informace „čím jste“ a „kde jste“ jsou osobní údaje. Osobní údaj ale nesmí být použit k identifikaci, ale jen k autentizaci.[4] Navíc systém pro rozpoznávání tváře či hlasu jde obejít.[5] I poloha je falšovatelná, především s širokou dostupností nástrojů jako je softwarově definované rádio. Autentizaci lze obejít i pomocí přístupu k HTTP cookie například pomocí viru.[6]
Podmínky ověřování
Hlavní podmínkou dvou a vícefázového ověřování je, aby byla jednotlivá ověření nezávislá. To znamená, aby každá fáze ověření probíhala jinou komunikační cestou. Například ověřování pomocí uživatelského jména a hesla není dvoufázové, ale jen dvoukrokové ověřování. V tomto případě se obě informace přenášející stejnou cestou a to internetem. Jinou komunikační cestou se rozumí například přihlášení pomocí hesla, které přijde uživateli na mobil jako SMS, nebo například bezpečnostním tokenem. Toto jsou fyzická zařízení, která majitel má u sebe.
Bezpečnostní tokeny se rozdělují do několika typů:
- nepřipojitelné (např. přívěsek) – bezpečností kód se musí opisovat
- připojitelné (USB, 3,5 mm jack, Wi-Fi, Bluetooth)
Omezení ověřování pomocí SMS
SMS zprávy jsou pro ověřování důležitých činností nevhodné. Jsou nedostatečně zabezpečené (lze je odposlechnout) a obsluhu telefonu je možné pomocí sociálního inženýrství zmanipulovat, aby kód předala útočníkovi. Evropský regulátor proto nejprve uložil bankám povinnost ukončit ověřování pomocí SMS kódů do poloviny roku 2019, ale kvůli pomalé změně tuto povinnost následně odložil na začátek roku 2021.[7] Banky proto od ověřování pomocí SMS přecházejí na potvrzování operací klientem pomocí aplikací v chytrých telefonech (tzv. smart klíč, mobilní klíč atp.), které mohou v telefonu využívat ochranu pomocí otisku prstu, rozpoznání tváře (Face ID), znaku a podobně. Banky postupně integrují aplikace ke generování klíče do bankovních aplikací,[8] čímž nedávají uživatelům jinou možnost, než souhlasit s podmínkami získávání údajů pomocí bankovních aplikací. Mobilní bankovnictví může být podvodná aplikace.[9]
V Česku banky motivují klienty k opuštění SMS kódů jejich zpoplatněním. Některé banky už možnost používat SMS kódy ani nenabízejí. ČSOB dostala v roce 2022 od České národní banky pokutu kvůli včasnému nesplnění pravidel pro silné ověření uživatelů (SCA).[7]
Příklady
Bankomat
Bankomaty vyžadují dvoufázové ověření. Aby klient dokázal, že je tím, co tvrdí, systém vyžaduje dvě položky. Platební kartu – faktor vlastnictví a dále osobní identifikační číslo (PIN) – faktor znalostí. V případě ztráty karty je účet v bezpečí, protože zloděj nezná PIN. Totéž platí v opačném případě. Zloději je PIN bez karty k ničemu.
Firma Google byla jednou z prvních internetových společností, která zavedla dvoufázové ověřování. Aktivace se provádí v uživatelském nastavení v záložce bezpečnost. Kde se aktivuje položka Dvoufázové ověření. Pro aktivaci je třeba znát heslo a poté zadat telefonní číslo, na které budou přicházet vygenerovaná hesla. V případě aktivace tohoto ověřování uživatel projde následujícími dvěma fázemi:
- Prvním krokem je přihlášení uživatelským jménem a heslem (faktor znalosti)
- Druhý stupeň vyžaduje mobilní telefon nebo aplikaci Google Authenticator
- Při použití mobilního telefonu musí uživatel zaregistrovat svoje telefonní číslo u Google. Pokud se bude uživatel přihlašovat, tak po správném zadání uživatelského jména a hesla bude uživateli poslána SMS, která bude obsahovat jedinečný identifikační klíč. Tímto dojde k ověření, že přihlašovaný uživatel je majitel telefonu, který je spojen s jeho účtem. Místo SMS lze použít Bluetooth.
- Při použití aplikace Google Authenticator uživatel opíše kód, který aplikace každých 30 sekund mění.
Pro případ, že dojde k ztracení, odcizení, nebo poškození zařízení, je možné vytisknout sadu statických záložních jednorázových kódů. Google spolu s tímto zabezpečením dále umožňuje používat takzvaný bezpečnostní klíč, což je fyzické zařízení. Po zaregistrování bezpečnostního klíče již není nutné na zařízení zadávat ověřovací klíč, ale jen vložit bezpečnostní klíč (např. do USB počítače). Ten může být uložen například na USB flash zařízení.
Použití mobilního telefonu
Hlavní nevýhodou ověřování prováděné pomocí zařízení, které uživatel vlastní, je, že použitý token (USB flash disk, bankovní karta, klíč nebo něco obdobného) musí mít uživatel stále u sebe. Pokud je tento token odcizen nebo ztracen, nebo pokud ho uživatel prostě nemá u sebe, je připojení znemožněno. Jsou tu také náklady spojené s pořízením a následným nahrazením tokenu stejného druhu v případě ztráty.
Navíc, jsou tam také vlastní konflikty a nevyhnutelné kompromisy mezi použitelností a bezpečností (viz trade-offs).
Dvoufázová autentizace pomocí mobilního telefonu byla vyvinuta s cílem poskytnout alternativní způsob, který by vyřešil tyto problémy. Tento přístup používá mobilní zařízení, jako jsou mobilní telefony a smartphony, aby sloužily jako "něco, co má uživatel". Pokud uživatelé chtějí ověřit sami sebe, mohou využít své osobní přístupové licence (tj. něco, co jen jednotlivý uživatel ví) plus jednorázový, dynamický kód skládající se z číslic. Kód může být odeslán na jejich mobilní zařízení prostřednictvím SMS nebo prostřednictvím speciální aplikace.
Výhodou této metody je využití zařízení, které má uživatel v dnešní době vždy při sobě a není tedy třeba pořizovat nová zařízení. Některá profesionální řešení dvoufázové autentizace také zajišťují, že mají pro uživatele vždy k dispozici validní přístupový kód. Pokud uživatel již použil posloupnost číslic (přístupový kód), je tato kombinace automaticky smazána a systém odešle nový kód do mobilního zařízení. A pokud nový kód není zadán ve stanovené lhůtě, systém ji automaticky nahradí. To zajistí, aby se stará uložená hesla v telefonu stala bezcennými. Pro zvýšení bezpečnosti je možné určit, kolik nesprávných čísel může uživatel zkusit zadat, než mu systém zablokuje přístup.
Výhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:
- Nejsou nutné žádné další tokeny, protože se používá mobilní přístroj, které jsou (obvykle) k dispozici po celou dobu.
- Díky neustálému dynamicky generovanému heslu je bezpečnost větší než při použití pevné (statické) přihlašovací informace. (možné i bez mobilního telefonu)
- V závislosti na řešení, jsou hesla, která byla již použita, automaticky nahrazena, aby se zajistilo, že je k dispozici vždy platný kód. V případě, že vznikne problém při přenosu např. informace do mobilního telefonu, je možné vygenerovat nový kód, který nahradí starší a není tak znemožněno přihlášení.
- Možnost zadat maximální povolený počet chybných záznamů snižuje riziko útoků neoprávněnými osobami. (možné i bez mobilního telefonu)
Nevýhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:
- Mobilní telefon musí být k dispozici kolem uživatele po celou dobu.
- Baterie mobilního telefonu musí být nabitá.
- Mobilní telefon musí mít dostatečný mobilní signál.
- Uživatel musí sdílet své osobní mobilní číslo s poskytovatelem, což znamená snížení osobního soukromí.
- Je-li mobilní telefon odcizen nebo ztracen, nebo uživatel nemá mobilní telefon při sobě, je autentizace nemožná.
- Ne každý uživatel má mobilní telefon, což znamená, že někteří uživatelé nemohou využívat tohoto systému a je nutné pro ně vytvořit zvláštní řešení s některým tokenem, nebo mobilní zařízení pořídit.
- Moderní smartphone používají internet i SMS zprávy[10] jako dvě fáze autentizace, což může dohromady obstarat i jedna mobilní aplikace (single-app authentication, 1AA) či dvě (two-app authentication, 2AA). Dvoufázová autentizace pak probíhá na jednom zařízení, takže jednou napadený smartphone (například přes IMSI CATCHER) zvyšuje riziko útoku rovnou na obě fáze autentizace. Mobilní (bankovní) aplikace totiž může být napadená[11] či zranitelná.[12] Dva nezávislé kanály využívá tzv. Out-of-band authentication (OOBA), která je bezpečnější. Dvě nezávislá zařízení (two-device authentication, 2DA) jsou pak navíc potřeba, aby vše bylo odděleno a autentizace nemohla být redukována.
- Zprávy zaslané na mobilní telefon mohou být nákladné, což odrazuje použití.
- Textové zprávy na mobilní telefony jsou nešifrované a mohou být zachyceny. Token tak může být ukraden a využíván třetí osobou.
Další služby, které nabízejí dvoufázové přihlašování
Dalšími službami nabízejícími dvoufázové ověřování jsou například:[13]
- Amazon Web Services
- App.net
- Apple ID
- Dropbox
- eBay
- GitHub
- LocalBitcoins
- Microsoft
- PayPal
- WordPress
- Yahoo! Mail
Reference
V tomto článku byl použit překlad textu z článku Two-factor authentication na anglické Wikipedii.
- ↑ ALEX COLON. What is two-step authentication? [online]. [cit. 2013-10-23]. Dostupné online.
- ↑ Two-Step Authentication [online]. Stanford University [cit. 2013-10-23]. Dostupné online.
- ↑ JAMES TARALA. Two-Step Verification [online]. Brown University [cit. 2013-10-23]. Dostupné online.
- ↑ Docházkový systém s použitím biometriky - otisky prstů zaměstnanců. Co na to GDPR? [online]. [cit. 2023-07-03]. Dostupné online.
- ↑ Podvodníci vás zkopírují jako loutku. Klon zavolá babičce nebo do banky. www.seznamzpravy.cz [online]. [cit. 2023-09-03]. Dostupné online.
- ↑ Bypassing 2FA With Cookies!. infosecwriteups.com [online]. [cit. 2023-10-18]. Dostupné online.
- ↑ a b SKALKOVÁ, Olga. Konec potvrzovacích SMS? Podmínky zpřísnily i dvě největší banky. Peníze.cz [online]. NextPage Media, 2022-08-03 [cit. 2022-08-03]. Dostupné online.
- ↑ Spořitelna zruší samostatný George klíč. Je čas na změnu, říká. www.penize.cz [online]. [cit. 2023-09-03]. Dostupné online.
- ↑ Obavy expertů se naplnily, Českem se opět šíří bankovní trojský kůň. www.novinky.cz [online]. [cit. 2024-03-28]. Dostupné online.
- ↑ https://www.inverse.com/culture/android-security-risk-online - CYBERSECURITY EXPERTS REVEAL HOW TO STOP HACKERS ACCESSING YOUR ANDROID
- ↑ Anatsa banking Trojan hits UK, US and DACH with new campaign. www.threatfabric.com [online]. [cit. 2023-07-03]. Dostupné online.
- ↑ Popular Banking Apps Found Vulnerable to Man-in-the-Middle Attacks. www.trendmicro.com [online]. [cit. 2023-09-03]. Dostupné online.
- ↑ WHITSON GORDON. Here's Everywhere You Should Enable Two-Factor Authentication Right Now [online]. Lifehacker [cit. 2013-10-24]. Dostupné online.
Média použitá na této stránce
An RSA SecurID SID700 token without USB connector