Vícefaktorová autentizace jako mainstream

Stále více uživatelů používá pro svou identifikaci spíše otisk prstu než zadání hesla. Vícefaktorová autentizace (MFA, Multifactor Authentication) se totiž jeví jako jednodušší a bezpečnější. A navíc u ní neexistuje uložený seznam hesel, který by mohli útočníci ukrást. Jsou ale MFA už natolik propracované, aby se staly hlavním proudem?

Vícefaktorová autentizace jako mainstream


V roce 2014 se USAA stala první finanční institucí, která zavedla rozpoznávání obličejů a hlasu do mobilní aplikace, prohlašuje Gary McAlum, tamější ředitel zabezpečení této společnosti. Rozpoznávání otisků prstů následovalo o pár měsíců později. A rok poté už měla USAA mezi svými pěti miliony uživatelů mobilní bankovní aplikace 1,1 milionu těch, kteří nativně využívali vícefaktorovou autentizaci.

„Současný model zabezpečení internetu je zastaralý a umírající. Je založen na informaci, která je známá (například vaše heslo nebo maskot na střední škole), ale vše už lze snadno zjistit – třeba pomocí úniků dat z Facebooku,“ poznamenává McAlum. „Odklon od ‚známé informace‘ je tedy naprosto nezbytný.“

„Téměř každá banka na světě používá jako alternativu vícefaktorovou autentizaci,“ tvrdí Avivah Litanová, analytička Gartneru. Po celá desetiletí se vícefaktorová autentizace využívala v podobě „bezpečnostního tokenu“, malého zařízení, které zobrazovalo jednorázové heslo, jež se každých několik minut měnilo. Bezpečnostní server banky měl stejný algoritmus a dokázal nejnovější správné heslo poznat.

„Vícefaktorová autentizace byla vždy příliš složitá a pro široké použití drahá,“ říká Jon Oltsik, bezpečnostní analytik společnosti Enterprise Strategy Group. „Co se nyní mění, je použití spotřebitelských technologií, především chytrých telefonů a rostoucí použití biometrických faktorů, jako jsou čtečky otisků prstů v chytrých telefonech.“

 

Definice faktorů

„Vícefaktorová autentizace je něco, co víte, něco, co máte, a něco, co jste, a používá přitom více než jeden z těchto faktorů,“ vysvětluje Michael Lynch, šéf strategií ve firmě InAuth, která se specializuje na problematiku autentizace.

„Něco, co víte, jsou přihlašovací údaje jako heslo. Něco, co máte, může být bezpečnostní token, avšak v případě mobilních telefonů jsou bezpečnostním tokenem právě tyto přístroje. Nebo to také může být počítač. Něco, co jste, je biometrie, například rozpoznávání otisku prstu, oční duhovky, hlasu nebo pulzu,“ vysvětlujeLynch.

Mezi další biometrické faktory, které se používají nebo se o nich uvažuje, patří srdeční tep, rychlost psaní na klávesnici, rozložení cév v bělmu oka nebo v kůži, způsob chůze, lokalita a vzorce dlouhodobého chování. Rozpoznávání oční duhovky ale vyžaduje kameru s funkcí infračerveného snímání.

V některých případech se využívá dvoufaktorové zabezpečení. Tradiční kombinace jména a hesla se obvykle počítá za jeden faktor a příslušné zařízení za ten druhý, popisuje Lynch. Novým trendem ale je (jako u USAA) použití mobilního zařízení jako jednoho z faktorů a biometrické vlastnosti detekované tímto zařízením jako druhého faktoru, aniž se musí použít heslo.

Lynch vysvětluje, že pro desktop lze použít tzv. otisk prohlížeče jako druhý faktor, který se vytvoří získáním informací o písmu, jazyku, aplikaci a typu prohlížeče.

„Tzv. otisk počítače se v průběhu času mění, jak se aplikace aktualizují a dochází k instalaci oprav, takže obvykle vydrží 60 dnů nebo i méně,“ což je důvodem, proč se mohou přihlašovací požadavky banky pro uživatele desktopu náhle změnit, vysvětluje Lynch a dodává, že kombinace souboru cookie a otisku prohlížeče je spolehlivější metodou.

Soubory cookie podle něj mohou vydržet stejně dlouho jako instalace prohlížeče, ale daný počítač je nemusí povolit.

„Druhý faktor však nemusíte vidět – banka téměř vždy kontroluje váš počítač přes soubor cookie,“ poznamenává Litanová. Pokud nerozpozná počítač, často pošle jednorázové heslo na mobilní telefon uživatele nebo na jeho e-mailovou adresu.

Co se týče biometrických faktorů pro mobilní zařízení, je „metoda ID využívající otisk prstu významná, protože už bývá často vestavěná, je pohodlná a uživatelé ji používají, není však lepší nebo horší než jiné metody ID,“ tvrdí Jim Ducharme, viceprezident bezpečnostní firmy RSA, která nově spadá pod Dell EMC.

Nižší popularita metod jako rozpoznávání hlasu či tváře je podle něj způsobovaná tím, že v mnoha případech nefungují – hlas v metru či tvář v nočním klubu.

Ve firmě USAA spoléhá cca 90 % jejích uživatelů na rozpoznávání otisků prstů, přičemž  míra úspěšnosti přihlašování je pro otisky prstů i tváře vyšší než 90 procent, říká McAlum.

Přestože rozpoznávání hlasu více závisí na okolním prostředí, někteří uživatelé ho stále upřednostňují, dodává. (USAA nabízí i přístup pomocí kódu PIN pro případ, že by ostatní metody selhaly.)

Výběr faktoru pro použití však nezávisí vždy jen na technologii. „Na některých místech není přijatelné použít tvář jako identifikátor, protože tomu brání oblečení nebo někteří lidé považují oko za cestu k duši,“ vysvětluje Marc Boroditsky, viceprezident společnosti Authy, která dodává autentizační software.

Nemusejí se jim také z různých důvodů líbit snímače otisků prstů. V Brazílii si podle něj myslí, že to naznačuje kriminalitu. V některých částech Asie jsou zase lidé přesvědčeni, že je nečisté dotýkat se snímače otisků prstů.

„Vaše identita je osobní věc, a když začnete používat části osob pro identifikaci, zasahujete do něčeho s komplexními kulturními důsledky,“ dodává Boroditsky.

„S téměř každým biometrickým faktorem se také pojí otázka špehovanosti. Je zde děsivý aspekt detekce uživatelů bez jejich zapojení do procesu. Musíme být napřed a dát zákazníkům možnost volby. Například aby mohli vypnout zjišťování polohy a přidat další krok do procesu autentizace,“ tvrdí Boroditsky.

Aby však zákaznické řešení fungovalo, musí to být...

 

Tento příspěvek vyšel v Computerworldu 6/2016. Oproti této on-line verzi je obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

 

Úvodní foto: © Sean Gladwell - Fotolia.com



Vyšlo v Computerworldu 6/2016








Komentáře