Uwierzytelnianie wieloskładnikowe (inaczej MFA), to metoda uwierzytelniania, która wymaga od strony uwierzytelniającej (osoby, oprogramowania lub modułu sprzętowego) wytworzenia kilku oddzielnych identyfikatorów (lub „czynników”), które wskazują na jej tożsamość, zamiast wcześniejszego standardu – pojedynczego identyfikatora, zwykle hasła, wymaganego domyślnie w wielu systemach.
Wysoka zależność naszych czasów od usług cyfrowych, zarówno biznesowych, jak i osobistych, zmieniła sposób, w jaki firmy i organy regulacyjne postrzegają uwierzytelnianie użytkowników. Ponieważ zagrożenie cyberatakami wymierzonymi w mechanizmy uwierzytelniania stale rośnie (większość ataków na dane biznesowe obecnie wykorzystuje w pewnym stopniu skradzione lub słabe hasła, a niezliczone przypadki przejęcia kont i naruszeń danych są zgłaszane co roku) wszystkie strony zdają sobie sprawę, że standardowe uwierzytelnianie zależne od hasła stanowi ogromne zagrożenie bezpieczeństwa i wymaga od użytkowników i klientów korzystania z pewnego rodzaju usługi MFA.
MFA radykalnie poprawia bezpieczeństwo, ponieważ atakujący musiałby jednocześnie wejść w posiadanie wielu identyfikatorów. Jest to znacznie trudniejszym wyzwaniem niż uzyskanie pojedynczej kombinacji nazwy użytkownika i hasła. Zestaw identyfikatorów używanych do uwierzytelniania użytkowników składa się zazwyczaj z co najmniej dwóch różnych typów czynników:
- Coś, co użytkownik wie (np. hasło, PIN lub wzór)
- Co użytkownik posiada (np. fizyczny token OTP (jednorazowe hasło) lub klucz bezpieczeństwa USB
- Lub coś, co jest nieodłącznie związane z użytkownikiem (zazwyczaj podpis biometryczny)
Uwaga: w niektórych przypadkach wskaźniki lokalizacji i sieci są również wykorzystywane jako dodatkowe czynniki uwierzytelniające.
Typowy scenariusz uwierzytelniania oparty na MFA wyglądałby podobnie do tego:
- Użytkownik prosi o dostęp za pomocą standardowego interfejsu logowania, podając nazwę użytkownika i hasło.
- Mechanizm uwierzytelniania akceptuje dane uwierzytelniające użytkownika i prosi o kod OTP widoczny na jego tokenie lub aplikacji mobilnej.
- Użytkownik wprowadza dodatkowy kod efemeryczny i uzyska dostęp.
Można użyć wielu innych kombinacji identyfikatorów, w tym hasła i kodu SMS do zarejestrowanego urządzenia mobilnego, hasła i identyfikatora biometrycznego z czynnika odcisków palców, tokena fizycznego i odpowiedzi na wcześniej ustalone pytania uwierzytelniające itp.
Ponieważ hasła są uważane za stosunkowo wrażliwy składnik uwierzytelniania ze względu na ich powszechną prostotę, możliwość udostępniania i ponownego użycia, bardziej zaawansowane implementacje 2FA/MFA mogą obejmować kombinację składników uwierzytelniania, które w ogóle nie zawierają haseł. Mamy więc uwierzytelnianie bez hasła, które neguje potrzebę MFA, ponieważ, gdy jest wykonane poprawnie, jest z natury wieloczynnikowe i usuwa wrażliwą część – tj. hasło.
Wdrożenie mechanizmów MFA radykalnie zwiększa bezpieczeństwo w dowolnych systemach komputerowych, zarówno tych w pełni wewnętrznych, jak i zewnętrznych. W rzeczywistości większość firm nakazuje (lub przynajmniej zdecydowanie zaleca) korzystanie z MFA zarówno pracownikom, jak i klientom.
Mimo to, hasła pozostają najpopularniejszą formą uwierzytelniania pomimo swoich wyraźnych wad – opierają się na ludzkiej pamięci, są często ponownie używane, zapisywane, udostępniane, skradzione lub po prostu zapomniane. To ostatnie jest szczególnie ważne, gdy polityka organizacji wymaga długiego i złożonego hasła.
Typy składników uwierzytelniania zwykle używane w MFA:
- Tokeny sprzętowe – mogą to być oldschoolowe tokeny OTP ze zsynchronizowanym kodem zmieniającym się okresowo lub bardziej zaawansowane klucze bezpieczeństwa USB używane w połączeniu ze standardowymi danymi uwierzytelniającymi. „Twarde tokeny”, jak się je czasami nazywa, są bardzo przydatne, gdy nie ma zasięgu komórkowego lub smartfony są zakazane. Są to jednak rozwiązania kosztowne, trudne do rozpowszechniania i zastępowania w przypadku zgubienia oraz powodują oczywiste problemy z wrażeniami użytkownika.
- Tokeny programowe – są to moduły oprogramowania zaimplementowane w aplikacjach mobilnych lub stacjonarnych, które zawierają wspólny sekret lub z góry określony kod, podobny do tych umieszczanych w kluczach sprzętowych. Tokeny programowe są łatwiejsze do wdrożenia lub wymiany, ale także podatne na duplikowanie i ataki złośliwego oprogramowania.
- SMS – Łatwo realizowane jako drugi składnik, który wymaga użycia telefonu i sieci. SMS-y były używane, dopóki nie zostały uznane za niebezpieczne z powodu powszechnych ataków na sieć komórkową.
- Cyfrowy certyfikat kryptograficzny — podpisany cyfrowo plik wydany przez urząd certyfikacji, który jest zapisywany na urządzeniach użytkownika.
- Inne czynniki uwierzytelniające, które są częściej integrowane niż używane oddzielnie, to podpisy biometryczne, uwierzytelnianie behawioralne, sygnały lokalizacji lub dane sieciowe .
CO TO JEST UWIERZYTELNIANIE WIELOSKŁADNIKOWE?
MFA to schemat uwierzytelniania, który wymaga od strony wnioskującej o dostęp (zazwyczaj użytkownika, ale może to być również oprogramowanie lub maszyna) wygenerowania wielu identyfikatorów – wielu czynników – w celu uwierzytelnienia.
JAKIE CZYNNIKI MOGĄ BYĆ UŻYWANE JAKO UWIERZYTELNIANIE WIELOSKŁADNIKOWE?
Identyfikatory używane do uwierzytelniania użytkowników mogą obejmować coś, co użytkownik wie (np. hasło, pytania uwierzytelniające oparte na wiedzy itp.), coś, co użytkownik posiada (np. urządzenie generujące fizyczne hasła jednorazowe (OTP), zarejestrowane urządzenie mobilne lub komputer , itp.) lub coś, czym jest użytkownik (dane biometryczne, takie jak odcisk palca, twarz, unikalne wzorce zachowań itp.).
JAKA JEST NAJSILNIEJSZA FORMA UWIERZYTELNIANIA WIELOSKŁADNIKOWEGO?
Najsilniejsze składniki to te, które najtrudniej ukraść lub podrobić. Fizyczne formy uwierzytelnienia są trudne do kradzieży i podrobienia. Sygnatury biometryczne są trudne do sfałszowania, a gdy są prawidłowo zaimplementowane, mogą być trudne do kradzieży. Z drugiej strony hasła są notorycznie podatne na ataki i w wielu przypadkach są uważane za łatwe do kradzieży i sfałszowania.