Co je to multifaktorová autentizace?
Multifaktorové ověření je bezpečnostní proces, který vyžaduje od uživatele prokázání dvou nebo více nezávislých autentizačních prvků pro přístup k aplikaci, účtu nebo systému. Cílem je zvýšit jistotu, že přístup získává oprávněná osoba, a snížit riziko neoprávněného vstupu.
Zpravidla se nabízejí tři metody multifaktoru:
Něco, co uživatel zná:
-
Heslo nebo PIN: Tajná informace, kterou by měl znát pouze uživatel.
-
Bezpečnostní otázky: Odpovědi na předem stanovené otázky.
Něco, co uživatel má:
-
Mobilní telefon nebo tablet: Zařízení pro přijímání SMS kódů nebo provoz autentizačních aplikací.
-
Hardwarový token: Fyzické zařízení generující jednorázové kódy.
-
Smart karta: Karta s integrovaným čipem pro autentizaci.
Něco, čím uživatel je:
Některé metody jsou lepší, než jiné. K tomu se dostaneme později.
S multifaktorem se nejčastěji setkáte v internetovém bankovnictví, ale velmi vhodné je zařadit jej jako zabezpečení v přístupu k firemním sítím, zabezpečení vzdáleného přístupu zaměstnanců k interním systémům, při ochraně citlivých dat nebo při přístupu ke cloudovým službám.
Čemu vícefaktorové ověření brání?
Nutnost překonání více překážek zpravidla pomáhá bránit:
-
Neoprávněnému přístupu: I když útočník získá heslo, bez druhého faktoru se do systému nedostane.
-
Phishingovým útokům: Je složitější pro útočníky získat všechny potřebné autentizační údaje.
-
Útokům hrubou silou: Kombinace více faktorů velmi ztěžuje prolomení zabezpečení náhodným zkoušením hesel.
-
Zneužití ukradených zařízení: Biometrické ověření nebo další faktory brání přístupu i při fyzické ztrátě zařízení.
Kdy multifaktorové zabezpečení nestačí, nebo jak se obchází?
Jak už jsme zmínili v úvodu, každé zabezpečení je v principu možné obejít. Multifaktor ale dokonale brání plošným a nezacíleným útokům, se kterými se jako jednotlivec i jako firma setkáte nejčastěji. K těžkému kalibru nástrojů, které proti vám útočníci budou muset použít, patří:
-
Pokročilé kybernetické útoky: Útočníci mohou využít techniky jako Man-in-the-Middle (MitM), kde odposlouchávají komunikaci mezi uživatelem a systémem.
-
SIM swapping nebo přesměrovaná komunikace: Útočník převede telefonní číslo oběti na svou SIM kartu a přijímá SMS kódy nebo přesměrovanou komunikací přijme zabezpečovací signál.
-
Malware a keyloggery: Škodlivý software na zařízení může zachytit autentizační údaje.
-
Sociální inženýrství: Bohužel, toto platí při překonání jakékoliv zábrany – člověk přesvědčený s pomocí sociálního inženýrství, že jedná ve svém zájmu nebo ve prospěch firmy, dokáže napáchat nejvíce škod, ale i k tomu, aby se to nestalo, existuje cesta.
-
Nedostatečná implementace MFA: Použití slabých druhých faktorů, jako jsou nezabezpečené SMS kódy, může znamenat snadnější překonání. Ale opět, někdo už musí vyvinout snahu.
-
Phishingové útoky cílené na MFA: Útočníci vytvoří falešné přihlašovací stránky, které zachytí všechny autentizační údaje včetně druhého faktoru.
-
Zranitelnosti v implementaci: Chyby nebo slabiny v samotném systému MFA mohou být využity k neoprávněnému přístupu.
-
Replay útoky: Znovupoužití zachycených autentizačních tokenů, pokud nejsou jednorázové nebo časově omezené.
Proti každé metodě, jak multifaktor obejít, samozřejmě existuje postup, jak tomu bránit. Důležité je zůstat v obraze a komunikovat s odborníky.
Závěrem
Multifaktorové ověření je zásadním prvkem moderní kybernetické bezpečnosti, který výrazně zvyšuje ochranu proti neoprávněným přístupům. Přestože není zcela neomylné, správná implementace a kombinace s dalšími bezpečnostními opatřeními může výrazně snížit riziko úspěšného útoku. Je důležité nezapomenout na neustálé vzdělávání uživatelů a aktualizaci bezpečnostních postupů, aby byla zajištěna co nejvyšší úroveň ochrany.