La Višefaktorska autentifikacija postala je osnovni zahtjev bilo koje moderne strategije kibernetičke sigurnosti. Prilično dobra lozinka više nije dovoljna: s obzirom na količinu povreda podataka, sve sofisticiraniji phishing i automatizirane napade, oslanjanje isključivo na "ono što znate" gotovo je kao da ostavite ulazna vrata odškrinuta.
Posljednjih godina pojavili su se Nove metode autentifikacije, smjernice organizacija kao što je PCI SSC i standarde poput FIDO2 ili WebAuthn koji su potpuno promijenili pejzaž. Rezultat je da danas postoji mnogo različitih načina za provjeru identiteta korisnika, s vrlo različitim nivoima sigurnosti i praktičnosti. Problem više nije samo omogućavanje MFA, već odaberite pravu kombinaciju faktora koju ćete koristiti ovisno o riziku, kontekstu i vrsti usluge.
Osnove identifikacije, autentifikacije i autorizacije
Prije poređenja metoda, vrijedi imati na umu da Autentifikacija nije isto što i identifikacija ili autorizacija.iako je u praksi sve dio istog toka pristupa.
Prvo, Identifikacija je jednostavno dodjeljivanje jedinstvenog identiteta. osobi, sistemu ili računu: korisničko ime, broj zaposlenika, certifikat itd. To je pitanje "ko ste vi?" bez prethodne provjere da ste zaista ta osoba, sistem ili račun.
La Autentifikacija je proces provjere da li je taj identitet validan.Da bi to uradio, sistem vas traži da navedete jedan ili više faktora autentifikacije koje samo vi trebate znati, posjedovati ili biti. Ako je ova provjera uspješna, sistem potvrđuje vaš identitet.
Napokon Autorizacija definiše čemu korisnik zapravo može pristupiti Nakon autentifikacije: koje aplikacije on/ona vidi, kojim podacima može pristupiti, da li može upravljati drugim korisnicima itd. Ovo se može dopuniti alatima koji vam omogućavaju da znate ko ima pristup vašim datotekama i time revidirati dozvole i dijeljenje.
Koherentno upravljanje ova tri elementa formira ono što je poznato kao Upravljanje identitetom i pristupom (IAM)A u okvirima poput PCI DSS-a, detaljno se pregleda u smislu specifičnih zahtjeva za kontrolu pristupa. U Windows okruženjima ovo se obično upravlja pomoću Uređivač politika grupe.
Faktori autentifikacije: nešto što znate, imate ili jeste
Svaki moderni sistem autentifikacije se vrti oko tri glavne porodice faktorakoji se mogu kombinovati za izgradnju dvostrukih ili višefaktorskih shema:
S jedne strane je "nešto što znaš"Lozinke, PIN-ovi, pristupne fraze ili sigurnosna pitanja. Njihova glavna prednost je što se lako primjenjuju i vrlo su poznati svakom korisniku, ali su također i preferirana meta napadača, bilo putem grube sile, phishinga, curenja baze podataka ili krpanja podataka o akreditivima.
Drugo nalazimo "nešto što imaš"To može biti mobilni telefon na koji se šalje SMS, aplikacija za autentifikaciju, pametna kartica, fizički token ili FIDO ključ. U ovom slučaju, napadač bi trebao ukrasti ili klonirati taj element kako bi zaobišao filter, što teoretski značajno povećava sigurnost.
Treća kategorija je "nešto što jesi"To jest, biometrijski faktori poput otisaka prstiju, prepoznavanja lica, skeniranja šarenice ili čak karakteristika ponašanja (stil kucanja, hod, obrasci glasa). Vrlo su praktični i teško ih je replicirati, ali predstavljaju ozbiljne izazove za privatnost i upravljanje: ne možete lako "promijeniti svoj otisak prsta" ako je kompromitovan.
Nadalje, kontekstualni ili bihevioralni faktori postaju sve važniji, ponekad grupirani kao „nešto što radite“ ili „nešto što se dešava oko vas“Lokacija, uređaj s kojeg se povezujete, uobičajeno doba dana, poznata IP adresa itd. Sami po sebi, ovi faktori se obično ne smatraju "jakim" faktorima, ali su osnova adaptivne autentifikacije zasnovane na riziku.
Lozinke, PIN-ovi i autentifikacija zasnovana na znanju
Poziv Autentifikacija zasnovana na znanju (KBA) To je tradicionalni model: unosite korisničko ime i lozinku ili odgovarate na pitanje poput "U kojem ste gradu rođeni?". Izuzetno je jeftin za implementaciju, podržan od strane bilo koje platforme, a korisnici već znaju kako funkcioniše.
Problem je u tome što, u praksi, Lozinke se ponovo koriste u velikim razmjerima između servisa i često su slabi. Različite studije pokazuju da ogroman postotak ljudi koristi istu lozinku na desetinama web stranica, tako da ako samo jedna web stranica ima ranjivost, ostali računi su ugroženi napadima krađe podataka.
u Tradicionalna sigurnosna pitanja su još gora.Mnogi odgovori se mogu pronaći malo pretraživanja na društvenim mrežama ili u javnim izvorima, a druge je relativno lako pogoditi. Stoga se sada preporučuje da se ograniče na vrlo specifične slučajeve ili da se zamijene drugim mehanizmima pretraživanja.
u PIN-ovi su zanimljiv poseban slučajNa papiru, četverocifreni PIN ima vrlo malo entropije i ne bi ispunio zahtjeve složenosti koje obično tražimo od lozinki. Međutim, nedavne PCI SSC smjernice pojašnjavaju da se PIN može prihvatiti kao faktor "nešto što znate" sve dok je kombinovan s dodatnim kontrolama kao što su zaključavanje nakon više neuspjelih pokušaja, progresivno istekanje vremena i sigurna pohrana.
Kada nije moguće osigurajte taj PIN mjerama protiv grube sileStoga, mora ispunjavati iste kriterije kao i jaka lozinka: dovoljno visoku minimalnu dužinu, zabranu trivijalnih obrazaca, historiju itd. U suprotnom, postaje lako iskoristiva slabost.
Jednokratni kodovi: SMS, e-pošta i unaprijed generirane liste
Jedna od najraširenijih metoda MFA i dalje je upotreba jednokratni kodovi (OTP) poslani putem različitih kanala ili unaprijed odštampani. Ovo je drugi faktor koji je korisniku vrlo jednostavan za razumjeti i koji mnoge usluge nude po zadanim postavkama.
U slučaju OTP putem SMS-a ili glasovnog pozivaProces je jednostavan: nakon unosa korisničkog imena i lozinke, sistem šalje višecifreni kod na registrovani broj. Korisnik unosi kod i ako se podudara, pristup je odobren. U suštini, sistem potvrđuje da i dalje imate kontrolu nad tim brojem telefona.
Takođe možemo pronaći Jednokratni lozi poslani e-poštomOvo je rjeđe, ali i dalje prisutno. Rizik ovdje je očit: ako je vaša lozinka za e-poštu ista kao i lozinka za račun koji pokušavate zaštititi, dodatna sigurnost nestaje jer napadač prvo može pristupiti vašem inboxu i lako pročitati kod.
Klasičniji pristup je onaj koji unaprijed generirane liste kodovaOve kodove neke banke daju u štampanom obliku ili ih određene usluge (kao što su velike online platforme) mogu preuzeti za oporavak računa. Svaki kod se koristi samo jednom, a za sljedeće pokušaje morate koristiti drugi kod s popisa.
Ove liste su prilično sigurne od napada presretanja jer Generiraju se i isporučuju u vrlo određeno vrijeme.Kritična tačka je skladištenje: ako list držite u otključanoj ladici ili snimite fotografiju i ostavite je u galeriji nešifrovanu, svako ko ima fizički pristup vašim stvarima mogao bi vam oteti račune ili sredstva.
Za dobro upravljanje ovim listama, preporučljivo je da pohranite ih na sigurnoj fizičkoj lokaciji ili u šifriranom digitalnom spremnikukao što su sigurne bilješke u upravitelju lozinki. Međutim, one imaju jasan problem skalabilnosti: ako obavljate mnogo transakcija ili imate mnogo računa, brzo se istroše i postaju teške za upravljanje, pa se sve manje koriste kao primarna metoda, a više kao mehanizam za hitne slučajeve.
Autentifikacija i TOTP aplikacije
Najnovije smjernice i praktično iskustvo slažu se da Aplikacije za autentifikaciju zasnovanu na vremenu (TOTP) Nude vrlo dobru ravnotežu između sigurnosti i udobnosti, zbog čega se preporučuju kao "standardna" opcija kad god je to moguće.
Princip je jednostavan: tokom pražnjenja drugog faktora, Servis i vaša aplikacija za autentifikaciju dijele tajni ključ (obično skeniranjem QR koda). Odatle, i aplikacija i server generiraju isti 6- ili 8-cifreni kod svakih 30 sekundi bez potrebe za vezom, zahvaljujući standardnom algoritmu.
Alati poput Google autentifikator, Microsoft autentifikator, Authy, Aegis ili Duo Mobile Omogućavaju vam registraciju više računa i centralizirano čuvanje svih vaših kodova. Neki uključuju šifrirane sigurnosne kopije u oblaku ili sinhronizaciju na različitim uređajima, što je vrlo praktično, ali treba pažljivo konfigurirati kako bi se izbjeglo uvođenje novih rizika.
Takođe postoje Upravitelji lozinki koji integriraju TOTP (1Password, Bitwarden, Dashlane i drugi). U tim slučajevima, isti proizvod pohranjuje lozinku i generira privremeni kod, što prijavu čini izuzetno praktičnom. Međutim, sa čisto sigurnosnog stanovišta, gubi se određena nezavisnost između faktora, jer se oba oslanjaju na jednu tačku kvara.
U svakom slučaju, u poređenju sa SMS-om ili e-poštom, TOTP-ovi imaju jasne prednosti: Ne zavise od mobilne mreže ili operatera.Manje su podložni napadima zamjene SIM kartica, rade bez pokrivenosti i ne otkrivaju kod na lako presretljivim kanalima.
Biometrija: otisak prsta, lice, glas i druge karakteristike
La Biometrijska autentifikacija više nije naučna fantastika da postanu dio svakodnevnog života: gotovo svaki trenutni pametni telefon omogućava otključavanje otiskom prsta ili licem, a mnogi laptopi integrišu čitače otiska prsta ili kamere kompatibilne sa sigurnim prepoznavanjem lica.
Biometrija se oslanja na fizičke ili bihevioralne karakteristike koje je teško repliciratiOtisci prstiju, crte lica, šarenica, glas, dinamika kucanja, hod itd. Sa stanovišta korisnika, to je izuzetno praktično jer izbjegava potrebu za pamćenjem bilo čega i smanjuje trenje pri pristupu.
Međutim, postoje važne nijanse. Prva je da Biometrijski podaci su po svojoj prirodi osjetljiviNe možete "poništiti" svoje lice ili otiske prstiju ako su kompromitovani, a oni služe ne samo za autentifikaciju već i za pravnu identifikaciju. To znači da njihovo snimanje, pohranjivanje i obrada moraju biti obavljeni uz vrlo visok nivo zaštite.
Zbog toga, većina modernih arhitektura ograničava biometriju na lokalni procesi autentifikacije na samom uređajuNa primjer, kada koristite Face ID ili čitač otiska prsta, podaci se pohranjuju i obrađuju u sigurnoj enklavi na telefonu i ne šalju se udaljenoj usluzi. Ono što se prenosi je "da" ili "ne" od operativnog sistema, što ukazuje da je legitimni korisnik otključao uređaj.
U slučaju čiste udaljene biometrijske autentifikacije, servis koji prima te podatke Mora implicitno vjerovati proizvođaču uređaja ili dobavljaču sistemaOvo je nešto što je malo organizacija spremno učiniti osim u vrlo zatvorenim ekosistemima. Odličan primjer je Apple, koji ima potpunu kontrolu nad hardverom i softverom i nudi mehanizme poput Face ID-a integriranog s pristupnim ključevima.
Iako ima nedostataka, biometrijski podaci nude Ključna prednost: drastično smanjuje trenjeKorisnik koji otključava svoj mobilni telefon prstom ili licem stotine puta dnevno mnogo je spremniji da prihvati višestruku autentifikaciju (MFA) ako je to dodatna "neugodnost" koju mora pretpostaviti, umjesto da svaki put kada mu pristupi kuca lozinke duge kilometar.
Autentifikacija na osnovu lokacije, konteksta i rizika (RBA)
Pored klasičnih faktora, primjenjuju se mnogi moderni sistemi autentifikacija zasnovana na riziku (RBA)dinamički prilagođavajući zahtjeve na osnovu onoga što uoče u realnom vremenu.
U suštini, sistem analizira kontekstualne varijable kao što su lokacija, uređaj, IP adresa, doba dana ili obrazac korištenjaAko neko pokuša da se prijavi sa svog uobičajenog laptopa, u svoje uobičajeno vrijeme i iz kancelarijske mreže, rizik se smatra niskim i od njega se možda neće tražiti ništa dodatno osim lozinke ili SSO sesije.
Međutim, ako Prijavljivanje iz druge države, u neuobičajeno vrijeme ili s nepoznatog uređajaMehanizam za provjeru rizika može podići nivo zahtjeva i zahtijevati drugi dodatni faktor, kao što je OTP, odobrenje aplikacije ili biometrijska provjera.
Ovaj pristup ima veliku prednost balansiranje sigurnosti i upotrebljivostiNe kažnjava korisnika nepotrebnim koracima kada se čini da je sve u redu, ali podiže oprez kada nešto izgleda čudno. Za banke, velike online platforme ili kompanije sa hiljadama zaposlenih, to je praktično standard.
Njegova glavna mana je to što Nije lako dizajnirati ili prilagoditiAko su pragovi rizika nepravilno kalibrirani, mogli biste završiti sa stalnim zahtjevima za višestrukom faznom autentifikacijom (MFA) od legitimnih korisnika ili, u suprotnom ekstremu, previđanjem sumnjivog ponašanja. Ovdje napredna analitika i, sve više, vještačka inteligencija igraju ključnu ulogu u otkrivanju anomalija i neobičnih obrazaca.
Višefaktorska autentifikacija: višefaktorska vs. višekoračna
Kada kombinujemo dva ili više različitih faktora, govorimo o višefaktorska autentifikacija (MFA)Ideja je da, čak i ako napadač uspije probiti jedan od faktora (na primjer, lozinku), i dalje će morati savladati drugi nezavisni filter (kao što je OTP ili fizički ključ).
Sa stanovišta usklađenosti, okviri poput PCI DSS-a povezuju koncept MFA sa vrlo specifičnim zahtjevima: daljinski pristup do internih mreža, pristup okruženjima s podacima o karticama, računi s povećanim privilegijamaitd. U ovim slučajevima, oslanjanje isključivo na korisničko ime i lozinku više nije prihvatljivo.
Godinama je vladala prilična zbrka oko razlike između Višestepena autentifikacija i PCI kompatibilna MFAStarije smjernice su zahtijevale da se svi faktori procjenjuju bez da korisnik dobije djelomičnu povratnu informaciju, odnosno da mu se ne kaže je li lozinka ispravna prije nego što se zatraži drugi faktor.
Najnovije verzije vodiča pojašnjavaju kriterije: Prihvatljivo je naznačiti uspjeh jednog faktora prije zahtjeva za sljedećim.pod uslovom da pristup nije odobren dok se svi uspješno ne verifikuju. To znači da su tokovi poput "prvo lozinka, zatim OTP" usklađeni, čak i ako je korisniku potvrđeno da je njegova lozinka važeća.
Uprkos tome, ostaje kao dobra praksa za smanjenje te detaljne povratne informacijeili neotkrivanje validnosti bilo kojeg faktora dok se svi faktori ne predstave, ili prva autentifikacija pomoću jednokratnog faktora sesije (OTP, ključ otporan na phishing) prije validacije drugih statičkih faktora kao što je lozinka.
FIDO U2F / FIDO2 hardverski ključevi i lozinke
Suočeni s problemima phishinga i napada "čovjek u sredini" iz mnogih tradicionalnih metoda, pojavila su se rješenja poput sljedećih: FIDO U2F/FIDO2 sigurnosni ključevipopulariziran uređajima kao što su YubiKey, Google Titan ili modelima kompanija Feitian i SoloKeys.
Ovi ključevi implementiraju kriptografiju javnog ključa i, tokom registracije, Oni generiraju jedinstveni ključ povezan sa svakom uslugomPrilikom ponovne autentifikacije, server šalje izazov da ključ potpiše samo ako se domena i kontekst podudaraju s onima koji su registrovani. Ako neko pokuša da vas prevari lažnom web stranicom, ključ detektuje da to nije legitimna stranica i ne potpisuje ništa. Mnoge platforme koriste ovo. TPM 2.0 kako bi zaštitili ključeve povezane s uređajem.
Dakle, ova vrsta autentifikacije ne samo da verificira korisnika, već i Takođe verifikuje samu uslugu.Nude vrlo visoku otpornost na phishing, replay i relay napade. Zato ih mnoge organizacije smatraju zlatnim standardom za zaštitu kritičnih računa, administratorskih podataka i pristupa korporativnoj e-pošti.
Sa stanovišta korisnika, proces je iznenađujuće jednostavan: Povežite ključ na USB priključak ili ga približite putem NFC-a. Jednostavno dodirnite kapacitivni senzor na telefonu i gotovi ste. Iza toga se krije složena kriptografija, ali je gesta lakša od kucanja OTP-a.
Na istoj osnovi, FIDO Alijansa je promovisala pristupni ključevi ili lozinkeOvi sistemi idu korak dalje direktnom zamjenom lozinki. Privatni ključ se pohranjuje na uređaju (ili je šifriran i sinhroniziran putem clouda provajdera), a korisnik se autentifikuje otključavanjem tog uređaja pomoću biometrije ili PIN-a.
Lozinke ostaju višefaktorske po svom dizajnu, jer se kombinuju nešto što imate (uređaj) u kombinaciji s nečim što jeste ili znate (biometrijski podaci ili PIN)Ali oni eliminišu tradicionalnu lozinku iz jednačine. Sve više i više velikih servisa počinje da ih nudi, iako ekosistem ostaje donekle fragmentiran i svaka platforma implementira različite nijanse.
SSO, autentifikacija zasnovana na tokenima i digitalni certifikati
U korporativnim okruženjima, uobičajeno je kombinovati ove faktore sa mehanizmima kao što su Jednokratna prijava (SSO)što vam omogućava da se jednom prijavite preko pouzdanog provajdera identiteta (npr. Azure AD, Okta, Google Workspace) i pristupite više aplikacija bez stalnog ponavljanja akreditiva.
U ovim shemama, pružatelj identiteta izdaje sigurnosni tokeni (kao što je JWT) Nakon snažne početne autentifikacije (idealno s MFA), ovi tokeni se predstavljaju integriranim aplikacijama kako bi dokazale vaš identitet bez potrebe za ponovnim unosom lozinke pri svakom pokušaju.
Autentifikacija zasnovana na tokenima smanjuje opterećenje servera i omogućava arhitekture bez stanja Široko se koristi u modernim API-jima i aplikacijama. Međutim, upravljanje istekom, obnovom i opozivom tokena mora biti vrlo dobro osmišljeno kako bi se spriječilo da ukradeni token postane neograničena propusnica.
Još jedna vrlo robusna metoda, posebno za interne mreže i VPN pristup, je autentifikacija zasnovana na digitalnim certifikatimaUmjesto lozinke, korisnik predstavlja certifikat koji je izdalo korporativno certifikacijsko tijelo, a server kriptografski provjerava njegovu valjanost.
Ovaj pristup je izuzetno otporan na mnoge uobičajene napade, ali uključuje održavati dobro upravljanu infrastrukturu javnih ključeva (PKI)Izdavanje, obnavljanje, opoziv, politike korištenja, upravljanje uređajima itd. Zato je obično rezerviran za okruženja s visokom sigurnošću gdje se trud isplati.
Upravljanje sesijama i nulto povjerenje
Nakon što je završen početni proces autentifikacije, gotovo svi sistemi uspostavljaju sesija koja predstavlja odnos povjerenja između korisnika i servisa. Umjesto zahtjeva za MFA pri svakom kliku - što je nepraktično - ta sesija se ponovo koristi za autorizaciju narednih zahtjeva.
Zbog toga se mnogi napadači fokusiraju na krađa ili otimanje aktivnih sesija putem kolačića, tokena ili sličnih mehanizama, umjesto pokušaja direktnog zaobilaženja višefaktorske autentifikacije. Zato je toliko važno dopuniti MFA dobrim praksama upravljanja sesijama.
Među uobičajenim preporukama nalazimo povezivanje sesija s određenim korisnicima i uređajima Da biste spriječili ponovnu upotrebu s različitih uređaja, primijenite razumna vremenska ograničenja neaktivnosti, prisilite MFA ponovnu autentifikaciju u posebno osjetljivim operacijama i uvijek koristite šifrirane kanale poput TLS-a.
Svi ovi elementi se odlično uklapaju u pristup Arhitektura nultog povjerenja (ZTA)gdje se implicitno povjerenje ne pretpostavlja samo zbog prisustva "unutar" korporativne mreže. Svaki relevantni zahtjev se procjenjuje na osnovu konteksta, statusa uređaja i identiteta, smanjujući utjecaj potencijalno kompromitovane sesije.
Praktično poređenje MFA metoda i preporuka
S obzirom na sve navedeno, razumno je pitati Koje su metode višefaktorske autentifikacije najbolje? i kako odabrati pravu kombinaciju za svaki slučaj upotrebe, a da se pritom korisnik ne izludi.
Ako faktore poredamo od najslabijih do najrobustnijih, možemo ih postaviti na dno SMS, e-pošta i sigurnosna pitanjaIspunjavaju formalni uslov "nešto što imate/znate", ali su veoma ranjivi na zamjenu SIM kartica, prosljeđivanje, phishing i ponovnu upotrebu lozinki.
Na srednjem nivou su TOTP aplikacije, jednostavni fizički tokeni i određene biometrijske metode Dobro su implementirani, nude dobru ravnotežu između sigurnosti i upotrebljivosti te su standardna preporuka za zaštitu većine ličnih računa i mnogih korporativnih računa.
Iznad nalazimo FIDO U2F/FIDO2 ključevi i šifre otporne na phishingOve metode kombiniraju robusnu kriptografiju, povezivanje domena i autentifikaciju povezanu s uređajem. Za račune visoke vrijednosti - finansije, administracija sistema, pristup kritičnim kontrolnim pločama - one su preferirana metoda.
Od ovog trenutka nadalje, izbor određenog poslovanja treba uzeti u obzir Koju vrstu podataka štiti, koji nivo trenja mogu tolerisati njegovi korisnici i koji budžet ima? za implementaciju i održavanje infrastrukture. Većina organizacija na kraju kombinira nekoliko pristupa: snažnu MFA za osjetljivi pristup, SSO za svakodnevnu udobnost i RBA za uravnoteženje sigurnosti i korisničkog iskustva.
U svakom slučaju, postoje jasne tačke konsenzusa: Omogućite MFA kad god je to moguće i dajte prioritet metodama otpornim na phishing Kada rizik to opravdava, vrlo dobro zaštitite oporavak računa, na primjer. Ponovo ostvarite pristup Windowsui obučiti korisnike da razumiju zašto se od njih traži taj "drugi korak" i kako otkriti pokušaje prevare.
U okruženju u kojem krađa identiteta čini veliki dio incidenata, jačanje autentifikacije odgovarajućim metodama omogućava drastično smanjuju šanse za kompromitaciju računa bez žrtvovanja razumnog korisničkog iskustva, te je postao osnovni zahtjev i za pojedinačne korisnike i za svaku organizaciju koja želi sigurnost shvatiti barem minimalno ozbiljno.
