Poznejte výhody vícefaktorové autentizace

12. 8. 2018

Sdílet

 Autor: Fotolia © leowolfert
Podniky autentizují uživatele na základě jejich znalostí, vlastnictví nebo důvěryhodnosti některých důkazů o tom, že jsou právě tou osobou s daným právem přístupu. Někteří odborníci považují kontext autentizace uživatele, jako jsou čas, jejich síťová IP adresa, zařízení a jejich lokalita, za čtvrtý faktor autentizace.

Stephen Cobb, expert na zabezpečení ve společnosti Eset, tvrdí, že můžete zajistit větší bezpečnost s každým dalším faktorem autentizace, který přidáte.

Vícefaktorová autentizace (MFA) je důležitější než kdykoli v minulosti, protože se útočníci stále častěji dokážou prolomit do účtů s jednofaktorovou autentizací a někdy dokonce i s autentizací dvoufaktorovou. V jednom případě se útočníci snažili získat druhý faktor pomocí phishingu, který žádal uživatele o odeslání jejich tokenů.

Podívejme se na některé nejnovější technologie a metody vícefaktorové autentizace a na výhody i problémy či na způsob, jak pomáhají v boji s útočníky.

Technologie MFA využívají následující faktory: co znáte, co máte, co jste a váš kontext. Mezi faktory, které musíte znát, patří uživatelská jména, hesla, heslové fráze, kódy PIN a obrázky důvěryhodnosti (obrázek, který jste předem vybrali, jenž vám potvrzuje, že je stránka pravá).

Autentizační faktory, které musíte mít, zahrnují tokeny, jednorázová hesla (systém vám zašle kód, který musíte zadat navíc ke svému heslu) a šifrovací klíče. Mezi faktory, jež charakterizují vás, patří biometrie a autentizace založená na chování.

A konečně mezi kontextové faktory patří vaše ověřitelná poloha, čas autentizace a zařízení či IP adresa, které používáte.

Některé z těchto autentizačních metod zaznamenaly významná zlepšení. Pokroky v šifrování pomocí PKI (infrastruktura veřejného klíče) zahrnují virtuální čipové karty, které používají moduly TPM (Trusted Platform Modules).

Virtuální čipové karty chrání šifrovací klíče a omezují jejich použití na zařízení s modulem TPM. „Virtuální čipové karty jsou dostupné téměř na všech zařízeních,“ tvrdí Joakim Thoren, výkonný ředitel společnosti Versasec.

Autentizace založená na kontextu přidává informace o místu uživatele (s časem, IP adresou a používaným zařízením) jako faktor, při určování, zda autentizaci usnadnit či ztížit. Podnik může k tomuto druhu autentizace využívat technologie, jako jsou smartphony, zásady pro beacony s technologií Bluetooth a GPS.

„Přístup z mobilního telefonu uvnitř sídla firmy může dovolit méně přísnou autentizaci, zatímco při připojování z internetové kavárny v Číně by se při přihlašování vyvolala další bezpečnostní kontrola,“ vysvětluje Thoren.

Podnik může také zohlednit čas, kdy uživatel v minulosti nikdy nebyl připojen, a zařízení či IP adresy, které se k tomu dosud nepoužívaly.

Existují také nové způsoby použití starých biometrických technologií, které zvyšují zabezpečení. „Použití biometrické šablony v zabezpečeném zařízení, jako je například čipová karta, je jednou z možností. Pokud uložíte otisky prstů na server a útočník se do něj prolomí, neexistuje žádný způsob, jak vydat nový otisk prstu, takže se řešení stane překonané,“ popisuje Thoren.

„Behaviorální biometrie identifikuje chování uživatele, například způsob psaní na klávesnici. Autentizace založená na chování je relativně nová metoda vícefaktorové autentizace a kontinuální autentizace využívající nepřetržité monitorování chování může být velmi účinným způsobem detekce narušení,“ upozorňuje Thoren.

Při nepatrném zlepšení způsobu používání jednorázových hesel zasílají dodavatelé tokeny bezpečně přes hlasové hovory, e-maily a zprávy SMS. Tokeny mohou být vygenerovány také aplikacemi.

 

Výhody i komplikace

Každý nový typ autentizace má pro organizace a uživatele své výhody i komplikace. Výhody relativně nové aplikace PKI využívající technologii TPM (virtuální čipové karty) zahrnují zvýšenou bezpečnost ve srovnání se souborovými tokeny, které musíte dále zabezpečit pomocí hesel a šifrování.

Biometrie má své výhody i nevýhody. Používáte-li biometrii k nahrazení hesel, nemusíte se spoléhat na paměť uživatele. Biometrická metoda však může selhat, pokud nedokáže správně rozpoznat nebo přesně potvrdit otisk prstu, zatímco správně zadané heslo vede k úspěchu vždy.

Pokud technologie nerozpozná otisk prstu, musí se uživatel autentizovat jinými způsoby. „Uživatel potřebuje záložní metodu, jako je například bezpečnostní kód, což znamená, že stále musíte mít postupy pro kódy PIN či hesla,“ upozorňuje Thoren.

Použití biometrie rozpoznávání hlasu v kombinaci s rozpoznáváním obličeje umožňuje snadnější identifikaci uživatele, než je skenování otisků prstů, a odstraňuje tak problémy spojené s otisky.

Cobb uvádí, že se s biometrií pojí další komplikace, jako například když mají lidé poškozené otisky prstů, mají ruku v sádře nebo mají výhrady vůči biometrii z náboženských důvodů.

„Biometrie má také nevýhody týkající se rychlosti a nebezpečí falešně pozitivní identifikace,“ upozorňuje Cobb. V každém z těchto případů může podnik dočasně nahradit biometrickou autentizaci jinou metodou.

Každý proces autentizace, který závisí na tom, co si uživatel pamatuje nebo vlastní, může zvýšit míru selhání přístupu a zvýšit bezpečnostní rizika. Při autentizaci založené na kontextu může útočník disponující zařízením uživatele použít tento autentizační faktor k podpoře svého útoku.

Totéž platí pro odesílání tokenů přes hlasové hovory, e-maily nebo zprávy SMS. Když dojde ke zkompromitování zařízení či účtu, dochází tím automaticky také ke kompromitaci této formy autentizace.

Uživatel navíc může považovat za zásah do soukromí, když dochází ke snímání otisků jeho prstů nebo záznamu mapy obličeje pro biometrii.

„Když uživatelé používají svá osobní zařízení k práci, může je podnik požádat o částečný nebo úplný administrativní přístup nebo o vlastnictví hardwaru, což může být mnoha zaměstnancům nepříjemné,“ upozorňuje Thoren.

V podniku představují komplikace u vícefaktorové autentizace přesvědčování lidí, že většina systémů potřebuje vícefaktorovou autentizaci, a následně zajištění více než jednoho faktoru autentizace pro tyto systémy, popisuje Cobb.

„Silným podnětem k řešení těchto problémů je současná exploze obchodování na černém trhu s ověřenými přihlašovacími údaji k účtům, takže útočníci nyní mají jednodušší způsob, jak je prodávat ve snadno zneužitelné formě,“ popisuje Cobb.

Dalším velkým vlivem na růst využívání MFA, zejména v situacích, kde zaměstnanci přistupují k podnikovým datům přes internet, jsou varianty ransomwarových útoků, které začínají být zcela běžné.

„Útočníci se zaměřují na firemní servery s ransomwarem, který implantují přes protokoly vzdálené plochy (RDP). Používají útoky hrubou silou, aby překonali ochranu heslem pro RDP, vypnou ochranu proti malwaru na serveru, zašifrují důležité podnikové soubory a požadují značné finanční částky za klíče. MFA může tyto útoky blokovat,“ připomíná Cobb.

Co znamená MFA pro útočníky? MFA brání uživatelům sdílet hesla. Sdílení hesel vytvořilo v minulosti pro podniky velké riziko. MFA může zabránit mnoha významným útokům vykonaným vlastním personálem a dodavateli z řad třetích stran.

„Dvoufaktorová autentizace přidává další úroveň zabezpečení proti vnitřním hrozbám. Společnost Target mohla předejít úniku dat implementací vícefaktorové autentizace,“ prohlašuje Thoren.

MFA dělá to, co se od této technologie čeká. Cílem systémů MFA je chránit před krádeží pověřovacích údajů. Je velmi těžké ukrást další faktory autentizace. Správný výběr dalších autentizačních opatření může u některých uživatelů snížit náročnost přihlašování a poskytnout více pohodlí pro práci.

„Přidání technologií, jako jsou kontextově citlivá autentizace a behaviorální biometrie, vaší organizaci prospěje, protože pracují na pozadí. Vaše uživatelská zkušenost se vůbec nezmění, ale zlepší se bezpečnostní situace vaší sítě, prohlašuje Vid Sista, ředitel technologické praxe společnosti Accudata Systems.

Použití tří faktorů autentizace eliminuje možnost kompromitace dat pomocí phishingu a zjišťování hesel hrubou silou. „Přidáním dalších přihlašovacích faktorů zajistíte nepoužitelnost ukradených přihlašovacích údajů,“ tvrdí Sista.

 

Konec phishingu?

„MFA chrání lidi, kteří chápou bezpečnost IT, stejně jako uživatele, jež kliknou na odkazy v neznámých e-mailových zprávách a vyzradí informace o účtech prostřednictvím phishingových scénářů,“ prohlašuje Sista.

Pokud útočníci nenajdou způsob, jak phishingem získat celý váš on-line kontext a všechny vaše způsoby chování v systému, které vás jednoznačně identifikují, měl by tento druh MFA ve své podstatě ukončit využitelnost dosavadní podoby phishingu.

bitcoin_skoleni

 

Tento příspěvek vyšel v Security Worldu 2/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.