Vícefázové ověření

Vícefázové ověření (též vícefaktorové, anglicky multi-factor authentication) je v informatice proces, pomocí kterého se uživatel může bezpečně přihlásit k webové stránce nebo aplikaci tím, že při autentizaci poskytne dva nebo více důkazů (faktorů) potvrzujících jeho identitu: znalost (něco, co ví pouze uživatel), vlastnictví (něco, co má pouze uživatel) a charakteristika (něco, čím je pouze daný uživatel). Vícefázové ověření chrání uživatele před krádeží digitální identity (osobních údajů, peněz nebo jiného majetku).

Dvoufázové ověření (2FA, anglicky two-factor authentication) je podmnožinou vícefázového ověření. Vyžaduje od uživatele prokázání dvou faktorů (prvním je obvykle uživatelské jméno a heslo, druhým pak například PIN, otisk prstu, snímek sítnice oka, elektronický token a podobně. Dvoufázové přihlášení uživatelů podporují například Google, Facebook, Steam, internetové bankovnictví, mobilní bankovnictví, ...

Ověření ve dvou krocích (anglicky two-step authentication) je metoda, kdy uživatel poskytuje při autentizaci něco jiného (než znalost, vlastnictví, charakteristiku), například opsání kódu ze SMS nebo kliknutí v mobilu na číslo předané přes webovou stránku (tedy to, co sám předem nezná/nemá).

Charakteristika

RSA SecurID token, příklad offline generátoru klíčů.

Většina služeb na internetu používá nejjednodušší jednofázové ověření identity uživatele pomocí uživatelského jména a hesla, který je nejméně spolehlivý, protože spoléhá jen na „faktor znalostí“. Pokud dojde k odcizení přihlašovacích údajů, může se pomocí nich za uživatele vydávat kdokoliv. Existence druhé (případně i další) fáze zajistí, že i při odcizení přihlašovacích údajů se nebude k uživatelskému účtu možné přihlásit, protože bude chybět druhá (nebo další) fáze nutná k přihlášení, což může být:[1][2][3]

co víte: znalost, kterou ví jen uživatel, například heslo, PIN, TAN, ...
co máte: fyzický objekt ve vlastnictví uživatele, například bezpečnostní token (USB zařízení, občanský průkaz s čipem, mobilní telefon, platební karta, ...)
čím jste: biometrická charakteristika uživatele (otisk prstu, snímek oční duhovky, sítnice nebo obličeje, DNA, ...)
kde jste: připojení k určité počítačové síti (tj. IP adresa) nebo k určitému zařízení, určitá GPS pozice, ...

Podmínky vícefázového ověřování

Hlavní podmínkou dvou a vícefázového ověřování je, aby byla jednotlivá ověření nezávislá. To znamená, aby každá fáze ověření probíhala jinou komunikační cestou. Například ověřování pomocí uživatelského jména a hesla není dvoufázové, ale jen dvoukrokové ověřování. V tomto případě se obě informace přenášející stejnou cestou a to internetem. Jinou komunikační cestou se rozumí například přihlášení pomocí hesla, které přijde uživateli na mobil jako SMS, nebo například bezpečnostním tokenem. Toto jsou fyzická zařízení, která majitel má u sebe.

Bezpečnostní tokeny se rozdělují do několika typů:

nepřipojitelné (např. přívěsek) – bezpečností kód se musí opisovat
připojitelné (USB, 3,5 mm jack, Wi-Fi, Bluetooth)

Příklady

Bankomat

Bankomaty vyžadují dvoufázové ověření. Aby klient dokázal, že je tím, co tvrdí, systém vyžaduje dvě položky. Platební kartu – faktor vlastnictví a dále osobní identifikační číslo (PIN) – faktor znalostí. V případě ztráty karty je účet v bezpečí, protože zloděj nezná PIN. Totéž platí v opačném případě. Zloději je PIN bez karty k ničemu.

Google

Firma Google byla jednou z prvních internetových společností, která zavedla dvoufázové ověřování. Aktivace se provádí v uživatelském nastavení v záložce bezpečnost. Kde se aktivuje položka Dvoufázové ověření. Pro aktivaci je třeba znát heslo a poté zadat telefonní číslo, na které budou přicházet vygenerovaná hesla. V případě aktivace tohoto ověřování uživatel projde následujícími dvěma fázemi:

Prvním krokem je přihlášení uživatelským jménem a heslem (faktor znalosti)
Druhý stupeň vyžaduje mobilní telefon nebo aplikaci Google Authenticator
- Při použití mobilního telefonu musí uživatel zaregistrovat svoje telefonní číslo u Google. Pokud se bude uživatel přihlašovat, tak po správném zadání uživatelského jména a hesla bude uživateli poslána SMS, která bude obsahovat jedinečný identifikační klíč. Tímto dojde k ověření, že přihlašovaný uživatel je majitel telefonu, který je spojen s jeho účtem. Místo SMS lze použít Bluetooth.
- Při použití aplikace Google Authenticator uživatel opíše kód, který aplikace každých 30 sekund mění.

Pro případ, že dojde k ztracení, odcizení, nebo poškození zařízení, je možné vytisknout sadu statických záložních jednorázových kódů. Google spolu s tímto zabezpečením dále umožňuje používat takzvaný bezpečnostní klíč, což je fyzické zařízení. Po zaregistrování bezpečnostního klíče již není nutné na zařízení zadávat ověřovací klíč, ale jen vložit bezpečnostní klíč (např. do USB počítače). Ten může být uložen například na USB flash zařízení.

Použití mobilního telefonu

Hlavní nevýhodou ověřování prováděné pomocí zařízení, které uživatel vlastní, je, že použitý token (USB flash disk, bankovní karta, klíč nebo něco obdobného) musí mít uživatel stále u sebe. Pokud je tento token odcizen nebo ztracen, nebo pokud ho uživatel prostě nemá u sebe, je připojení znemožněno. Jsou tu také náklady spojené s pořízením a následným nahrazením tokenu stejného druhu v případě ztráty.

Navíc, jsou tam také vlastní konflikty a nevyhnutelné kompromisy mezi použitelností a bezpečností (viz trade-offs).

Dvoufaktorová autentizace pomocí mobilního telefonu byla vyvinuta s cílem poskytnout alternativní způsob, který by vyřešil tyto problémy. Tento přístup používá mobilní zařízení, jako jsou mobilní telefony a smartphony, aby sloužily jako "něco, co má uživatel". Pokud uživatelé chtějí ověřit sami sebe, mohou využít své osobní přístupové licence (tj. něco, co jen jednotlivý uživatel ví) plus jednorázový, dynamický kód skládající se z číslic. Kód může být odeslán na jejich mobilní zařízení prostřednictvím SMS nebo prostřednictvím speciální aplikace.

Výhodou této metody je využití zařízení, které má uživatel v dnešní době vždy při sobě a není tedy třeba pořizovat nová zařízení. Některá profesionální řešení dvoufaktorové autentizace také zajišťují, že mají pro uživatele vždy k dispozici validní přístupový kód. Pokud uživatel již použil posloupnost číslic (přístupový kód), je tato kombinace automaticky smazána a systém odešle nový kód do mobilního zařízení. A pokud nový kód není zadán ve stanovené lhůtě, systém ji automaticky nahradí. To zajistí, aby se stará uložená hesla v telefonu stala bezcennými. Pro zvýšení bezpečnosti je možné určit, kolik nesprávných čísel může uživatel zkusit zadat, než mu systém zablokuje přístup.

Výhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:

Nejsou nutné žádné další tokeny, protože se používá mobilní přístroj, které jsou (obvykle) k dispozici po celou dobu.
Díky neustálému dynamicky generovanému heslu je bezpečnost větší než při použití pevné (statické) přihlašovací informace.
V závislosti na řešení, jsou hesla, která byla již použita, automaticky nahrazena, aby se zajistilo, že je k dispozici vždy platný kód. V případě že vznikne problém při přenosu např. Informace do mobilního telefonu, je možné vygenerovat nový kód, který nahradí starší a není tak znemožněno přihlášení
Možnost zadat maximální povolený počet chybných záznamů snižuje riziko útoků neoprávněnými osobami,

Nevýhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:

Mobilní telefon musí být k dispozici kolem uživatelem po celou dobu.
Baterie mobilního telefonu musí být nabitá.
Mobilní telefon musí mít dostatečný mobilní signál.
Uživatel musí sdílet své osobní mobilní číslo s poskytovatelem, což znamená snížení osobního soukromí.
Je-li mobilní telefon odcizen nebo ztracen, nebo uživatel nemá mobilní telefonu při sobě, je autentizace nemožná.
Ne každý uživatel má mobilní telefon, což znamená, že někteří uživatelé nemohou využívat tohoto systému a je nutné pro ně vytvořit zvláštní řešení s některým tokenem, nebo mobilní zařízení pořídit.
Zprávy zaslané na mobilní telefon mohou být nákladné, což odrazuje použití.
Textové zprávy na mobilní telefony jsou nešifrované a mohou být zachyceny. Token tak může být ukraden a využíván třetí osobou.

Další služby, které nabízejí dvoufázové přihlašování

Dalšími službami nabízejícími dvoufázové ověřování jsou například:[4]

Budoucnost dvoufázového ověřování

Tento druh zabezpečení se bude i nadále rozšiřovat, protože dnes je bezpečnost na internetu životně důležitá, a klasická bezpečnostní ověřování přestávají stačit. Dále se bude také rozvíjet třetí typ autentizace. Například přihlašování s pomocí otisku prstu.

Reference

V tomto článku byl použit překlad textu z článku Two-factor authentication na anglické Wikipedii.

ALEX COLON. What is two-step authentication? [online]. [cit. 2013-10-23]. Dostupné online. (anglicky)
Two-Step Authentication [online]. Stanford University [cit. 2013-10-23]. Dostupné online. (anglicky)
JAMES TARALA. Two-Step Verification [online]. Brown University [cit. 2013-10-23]. Dostupné online. (anglicky)
WHITSON GORDON. Here's Everywhere You Should Enable Two-Factor Authentication Right Now [online]. Lifehacker [cit. 2013-10-24]. Dostupné online. (anglicky)

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] ALEX COLON. What is two-step authentication? [online]. [cit. 2013-10-23]. Dostupné online. (anglicky)

[2] Two-Step Authentication [online]. Stanford University [cit. 2013-10-23]. Dostupné online. (anglicky)

[Tarala-3] JAMES TARALA. Two-Step Verification [online]. Brown University [cit. 2013-10-23]. Dostupné online. (anglicky)

[4] WHITSON GORDON. Here's Everywhere You Should Enable Two-Factor Authentication Right Now [online]. Lifehacker [cit. 2013-10-24]. Dostupné online. (anglicky)