Two-Factor Authentication (2FA), to rodzaj uwierzytelniania wieloskładnikowego, które wymaga dwa oddzielne składniki identyfikujące, które wskazują na jego tożsamość. Zamiast dotychczasowego standardowego pojedynczego identyfikatora, zwykle hasła, wymaganego w wielu systemach.
2FA znacznie poprawia bezpieczeństwo, ponieważ atakujący musiałby wejść w posiadanie obu identyfikatorów.
2FA był standardem w wielu publicznych i wewnętrznych systemach komputerowych wykorzystujących wiadomości SMS lub e-mail jako sposób wysyłania drugiego składnika, ale metody te są obecnie zastępowane przez bardziej zaawansowaną technologię MFA, ze względu na rosnące wyrafinowanie atakujących i lepsze, bardziej przyjazne opcje uwierzytelniania wieloskładnikowego .
Kategorie identyfikatorów używane do uwierzytelniania użytkowników zazwyczaj obejmują:
- Coś, co użytkownik wie (np. hasło, PIN lub wzór)
- Co użytkownik posiada (np. fizyczny token OTP (jednorazowe hasło) lub klucz bezpieczeństwa USB
- Oraz coś, co jest nieodłącznie związane z użytkownikiem (zazwyczaj podpis biometryczny).
Uwaga: w niektórych przypadkach wskaźniki lokalizacji i sieci są również wykorzystywane jako dodatkowe czynniki uwierzytelniające.
Przepływ 2FA zwykle wygląda tak:
- Dostęp jest wymagany przez standardowy interfejs logowania
- Przesłano nazwę użytkownika i hasło
- Jeśli nazwa użytkownika i hasło są akceptowane, mechanizm uwierzytelniania poprosi o ustalony drugi czynnik, np kod OTP.
- Użytkownik wprowadzi kod jednorazowy i uzyska dostęp.
Można użyć wielu innych kombinacji identyfikatorów, w tym hasła i kodu SMS do zarejestrowanego urządzenia mobilnego. Można użyć hasła i identyfikatora biometrycznego z czytnika odcisków palców, tokena fizycznego i odpowiedzi na wcześniej ustalone pytania uwierzytelniające itp.
JAK DZIAŁA UWIERZYTELNIANIE DWUSKŁADNIKOWE?
2FA to schemat uwierzytelniania, który wymaga od strony żądającej dostępu (zazwyczaj użytkownika, ale może to być również oprogramowanie lub maszyna) wytworzenia dwóch identyfikatorów – dwóch składników – w celu uwierzytelnienia. W typowym przypadku, gdy użytkownik jest uwierzytelniany za pomocą 2FA, usługa uwierzytelniająca żąda pierwszego składnika uwierzytelnienia, którym zwykle jest hasło. Następnie żąda drugiego składnika, którym często jest jednorazowy kod (OTP), zazwyczaj wymagający, aby użytkownik był w posiadaniu urządzenia – generatora OTP. Drugim składnikiem uwierzytelniania może być również podpis biometryczny, kod SMS wysyłany do zarejestrowanego urządzenia mobilnego, pytania uwierzytelniające oparte na wiedzy i inne.