Hvad er tofaktorautentificering, og hvorfor bruges den?
tofaktorautentificering (2FA), undertiden benævnt totrinsbekræftelse eller dobbeltfaktorautentificering, er en sikkerhedsproces, hvor brugerne leverer to forskellige godkendelsesfaktorer for at verificere sig selv.
2FA er implementeret for bedre at beskytte både en brugers legitimationsoplysninger og de ressourcer, brugeren kan få adgang til. Tofaktorautentificering giver et højere sikkerhedsniveau end godkendelsesmetoder, der afhænger af single-factor authentication (SFA), hvor brugeren kun giver en faktor-typisk en adgangskode eller adgangskode. Tofaktorautentificeringsmetoder er afhængige af, at en bruger giver en adgangskode som den første faktor og en anden, anden faktor-normalt enten et sikkerhedstoken eller en biometrisk faktor, såsom et fingeraftryk eller ansigtsscanning.
tofaktorautentificering tilføjer et ekstra lag af sikkerhed til godkendelsesprocessen ved at gøre det sværere for angribere at få adgang til en persons enheder eller onlinekonti, fordi selv om offerets adgangskode er hacket, er en adgangskode alene ikke nok til at bestå godkendelsescheck.
tofaktorautentificering har længe været brugt til at kontrollere adgangen til følsomme systemer og data. Onlinetjenesteudbydere bruger i stigende grad 2FA til at beskytte deres brugeres legitimationsoplysninger mod at blive brugt af hackere, der stjal en adgangskodedatabase eller brugte phishing-kampagner til at få brugeradgangskoder.
denne artikel er en del af
hvad er identity and access management? Guide til IAM
- som også omfatter:
- Sådan opbygges en effektiv iam-arkitektur
- 4 væsentlige identitets-og adgangsstyrings bedste praksis
- 5 iam-tendenser, der former fremtiden for sikkerhed
Hvad er godkendelsesfaktorer?
der er flere måder, hvorpå nogen kan autentificeres ved hjælp af mere end en godkendelsesmetode. I øjeblikket er de fleste godkendelsesmetoder afhængige af vidensfaktorer, såsom en traditionel adgangskode, mens tofaktorautentificeringsmetoder tilføjer enten en besiddelsesfaktor eller en inherence-faktor.
Godkendelsesfaktorer, der er anført i omtrentlig rækkefølge for vedtagelse til computing, inkluderer følgende:
- en videnfaktor er noget, som brugeren ved, såsom en adgangskode, et personligt identifikationsnummer (PIN) eller en anden type delt hemmelighed.
- en besiddelsesfaktor er noget, som brugeren har, såsom et ID-kort, et sikkerhedstoken, en mobiltelefon, en mobilenhed eller en smartphone-app, for at godkende godkendelsesanmodninger.
- en biometrisk faktor, også kendt som en inherence faktor, er noget iboende i brugerens fysiske selv. Disse kan være personlige egenskaber, der er kortlagt ud fra fysiske egenskaber, såsom fingeraftryk, der er godkendt gennem en fingeraftrykslæser. Andre almindeligt anvendte indlæringsfaktorer inkluderer ansigts-og stemmegenkendelse eller adfærdsbiometri, såsom tastetryk dynamik, gang eller talemønstre.
- en placeringsfaktor betegnes normalt ved det sted, hvorfra der foretages et godkendelsesforsøg. Dette kan håndhæves ved at begrænse godkendelsesforsøg til bestemte enheder på et bestemt sted eller ved at spore den geografiske kilde til et godkendelsesforsøg baseret på source Internet Protocol-adressen eller nogle andre geolokaliseringsoplysninger, såsom GPS-data (Global Positioning System), afledt af brugerens mobiltelefon eller anden enhed.
- en tidsfaktor begrænser brugergodkendelse til et bestemt tidsvindue, hvor det er tilladt at logge på, og begrænser adgangen til systemet uden for dette vindue.
langt størstedelen af tofaktorautentificeringsmetoder er afhængige af de første tre godkendelsesfaktorer, selvom systemer, der kræver større sikkerhed, kan bruge dem til at implementere multifaktor-godkendelse (MFA), som kan stole på to eller flere uafhængige legitimationsoplysninger for mere sikker godkendelse.
Hvordan fungerer tofaktorautentificering?
aktivering af tofaktorautentificering varierer afhængigt af den specifikke applikation eller leverandør. Imidlertid involverer tofaktorautentificeringsprocesser den samme generelle multistep-proces:
- brugeren bliver bedt om at logge ind af applikationen eller hjemmesiden.
- brugeren indtaster det, de ved-normalt brugernavn og adgangskode. Derefter, stedets server finder et match og genkender brugeren.
- for processer, der ikke kræver adgangskoder, genererer hjemmesiden en unik sikkerhedsnøgle til brugeren. Godkendelsesværktøjet behandler nøglen, og sitets server validerer den.
- siden beder derefter brugeren om at starte det andet login-trin. Selvom dette trin kan tage en række former, skal brugeren bevise, at de kun har noget, de ville have, såsom biometri, et sikkerhedstoken, et ID-kort, en smartphone eller anden mobilenhed. Dette er inherence eller besiddelsesfaktoren.
- derefter skal brugeren muligvis indtaste en engangskode, der blev genereret under Trin fire.
- efter at have givet begge faktorer godkendes brugeren og får adgang til applikationen eller hjemmesiden.
elementer af tofaktorautentificering
tofaktorautentificering er en form for MFA. Teknisk set er det i brug, når som helst der kræves to godkendelsesfaktorer for at få adgang til et system eller en tjeneste. Brug af to faktorer fra samme kategori udgør dog ikke 2FA. For eksempel, at kræve en adgangskode og en delt hemmelighed betragtes stadig som SFA, da de begge hører til typen videnautentificeringsfaktor.
hvad angår SFA-tjenester, er brugernavne og adgangskoder ikke de mest sikre. Et problem med adgangskodebaseret godkendelse er, at det kræver viden og flid for at oprette og huske stærke adgangskoder. Adgangskoder kræver beskyttelse mod mange insidertrusler, såsom uforsigtigt lagrede sticky notes med loginoplysninger, gamle harddiske og social engineering-udnyttelser. Adgangskoder er også bytte for eksterne trusler, såsom hackere, der bruger brute-force, ordbog eller regnbue bordangreb.
med tilstrækkelig tid og ressourcer kan en angriber normalt bryde adgangskodebaserede sikkerhedssystemer og stjæle virksomhedsdata. Adgangskoder er forblevet den mest almindelige form for SFA på grund af deres lave omkostninger, nem implementering og fortrolighed.
flere spørgsmål om udfordringsrespons kan give mere sikkerhed, afhængigt af hvordan de implementeres, og selvstændige biometriske verifikationsmetoder kan også give en mere sikker metode til SFA.
typer af tofaktorautentificeringsprodukter
der er mange forskellige enheder og tjenester til implementering af 2FA-fra tokens til radiofrekvensidentifikationskort (RFID) til smartphone-apps.
Tofaktorautentificeringsprodukter kan opdeles i to kategorier:
- tokens, der gives til brugere til at bruge, når de logger ind; og
- infrastruktur eller programmer, der genkender og godkender adgang for brugere, der bruger deres tokens korrekt.
godkendelsestokens kan være fysiske enheder, såsom nøglefob eller smartkort, eller de kan findes i programmer som mobile eller stationære apps, der genererer PIN-koder til godkendelse. Disse godkendelseskoder, også kendt som engangsadgangskoder (OTP ‘ er), genereres normalt af en server og kan genkendes som autentiske af en godkendelsesenhed eller app. Godkendelseskoden er en kort sekvens, der er knyttet til en bestemt enhed, bruger eller konto og kan kun bruges en gang som en del af en godkendelsesproces.
organisationer skal implementere et system til at acceptere, behandle og tillade eller nægte adgang til brugere, der godkender med deres tokens. Dette kan implementeres i form af serverprogram eller en dedikeret server, samt leveres som en service af en tredjepartsleverandør.
et vigtigt aspekt af 2FA er at sikre, at den godkendte bruger får adgang til alle ressourcer, som brugeren er godkendt til, og kun disse ressourcer. Som et resultat forbinder en nøglefunktion af 2FA godkendelsessystemet med en organisations godkendelsesdata. Microsoft leverer noget af den infrastruktur, der er nødvendig for organisationer til at understøtte 2FA i Vinduer 10 gennem vinduer Hej, som kan fungere med Microsoft-konti, samt godkende brugere via Microsoft Active Directory, Active Directory eller fast IDentity Online (FIDO).
Sådan fungerer 2FA-poletter
Udstyrstokener til 2FA er tilgængelige, der understøtter forskellige tilgange til godkendelse. YubiKey, en lille Universal Serial Bus (USB) enhed, der understøtter OTP ‘ er, offentlig nøglekryptering og godkendelse, og Universal 2nd Factor protocol udviklet af FIDO Alliance. YubiKey tokens sælges af Yubico Inc., baseret i Palo Alto, Californien.
når brugere med en YubiKey logger ind på en onlinetjeneste, der understøtter OTP ‘ er-f.eks. YubiKey genererer en OTP og går ind i den i marken.
OTP er en adgangskode til engangsbrug på 44 tegn; de første 12 tegn er et unikt ID, der repræsenterer den sikkerhedsnøgle, der er registreret på kontoen. De resterende 32 tegn indeholder oplysninger, der er krypteret ved hjælp af en nøgle, der kun er kendt for enheden og Yubicos servere, der blev oprettet under den første Kontoregistrering.
OTP sendes fra onlinetjenesten til Yubico til autentifikationskontrol. Når OTP er valideret, sender Yubico-godkendelsesserveren en meddelelse tilbage, der bekræfter, at dette er det rigtige token for denne bruger. 2FA er færdig. Brugeren har givet to godkendelsesfaktorer: adgangskoden er videnfaktoren, og YubiKey er besiddelsesfaktoren.
tofaktorautentificering til mobile enheder
Smartphones tilbyder en række 2FA-funktioner, der gør det muligt for virksomheder at bruge det, der fungerer bedst for dem. Nogle enheder kan genkende fingeraftryk, bruge det indbyggede kamera til ansigtsgenkendelse eller irisscanning og bruge mikrofonen til stemmegenkendelse. Smartphones udstyret med GPS kan verificere placering som en ekstra faktor. Voice eller Short Message Service (SMS) kan også bruges som en kanal til godkendelse uden for båndet.
et betroet telefonnummer kan bruges til at modtage bekræftelseskoder via SMS eller automatisk telefonopkald. En bruger skal verificere mindst et betroet telefonnummer for at tilmelde sig mobile 2FA.
Apple iOS, Google Android og Vinduer 10 har alle apps, der understøtter 2FA, hvilket gør det muligt for selve telefonen at fungere som den fysiske enhed til at tilfredsstille besiddelsesfaktoren. Duo sikkerhed, baseret i Ann Arbor, mig., og købt af Cisco i 2018 for 2,35 milliarder dollars, har en platform, der gør det muligt for kunderne at bruge deres betroede enheder til 2FA. Duos platform fastslår først, at en bruger har tillid til, før man verificerer den mobile enhed, også kan stole på som en godkendelsesfaktor.
Authenticator apps erstatter behovet for at få en bekræftelseskode via tekst, taleopkald eller e-mail. For eksempel for at få adgang til en hjemmeside eller en internetbaseret tjeneste, der understøtter Google Authenticator, indtaster brugerne deres brugernavn og adgangskode-en vidensfaktor. Brugere bliver derefter bedt om at indtaste et sekscifret nummer. I stedet for at skulle vente et par sekunder på at modtage en sms, genererer en autentificering nummeret for dem. Disse tal ændres hvert 30. sekund og er forskellige for hvert login. Ved at indtaste det korrekte nummer fuldfører brugerne verifikationsprocessen og beviser besiddelse af den korrekte enhed-en ejerskabsfaktor.
disse og andre 2FA-produkter tilbyder information om de minimale systemkrav, der er nødvendige for at implementere 2FA.
Push notifikationer for 2FA
en push notifikation er adgangskodeløs godkendelse, der verificerer en bruger ved at sende en notifikation direkte til en sikker app på brugerens enhed, der advarer brugeren om, at der sker et godkendelsesforsøg. Brugeren kan se detaljer om godkendelsesforsøget og enten godkende eller nægte adgang-typisk med et enkelt tryk. Hvis brugeren godkender anmodningen om godkendelse, modtager serveren denne anmodning og logger brugeren ind på appen.
Push-meddelelser godkender brugeren ved at bekræfte, at enheden, der er registreret i godkendelsessystemet-normalt en mobilenhed-er i brugerens besiddelse. Hvis en angriber kompromitterer enheden, kompromitteres push-meddelelserne også. Push-meddelelser eliminerer trusler som man-in-the-middle-angreb, uautoriseret adgang og social engineering-angreb.
mens push-meddelelser er mere sikre end andre former for godkendelsesmetoder, er der stadig sikkerhedsrisici. For eksempel kan brugere ved et uheld godkende en anmodning om svigagtig godkendelse, fordi de er vant til at trykke på Godkend, når de modtager push-meddelelser.
er tofaktorautentificering sikker?
mens tofaktorautentificering forbedrer sikkerheden, er 2FA-ordninger kun så sikre som deres svageste komponent. For eksempel afhænger tokens af udstederens eller producentens sikkerhed. Et af de mest profilerede tilfælde af et kompromitteret tofaktorsystem opstod i 2011, da sikkerhedsfirmaet RSA Security rapporterede, at dets SecurID-godkendelsestokens var blevet hacket.
selve kontogendannelsesprocessen kan også undergraves, når den bruges til at besejre tofaktorautentificering, fordi den ofte nulstiller en brugers nuværende adgangskode og sender en midlertidig adgangskode, så brugeren kan logge ind igen og omgå 2FA-processen. Business Gmail-konti for administrerende direktør for Cloudflare blev hacket på denne måde.
selvom SMS-baseret 2FA er billigt, let at implementere og betragtes som brugervenligt, er det sårbart over for adskillige angreb. National Institute of Standards and Technology (NIST) har afskrækket brugen af SMS i 2FA-tjenester i sin særlige publikation 800-63-3: retningslinjer for Digital identitet. NIST konkluderede, at OTP ‘ er sendt via SMS er for sårbare på grund af angreb på mobilnummerportabilitet, angreb mod mobiltelefonnetværket og ondsindet program, der kan bruges til at opfange eller omdirigere tekstbeskeder.
fremtiden for godkendelse
miljøer, der kræver højere sikkerhed, kan være interesseret i trefaktorautentificering, som typisk involverer besiddelse af et fysisk token og en adgangskode, der bruges sammen med biometriske data, såsom fingeraftryksscanninger eller voiceprints. Faktorer som geolocation, type enhed og tidspunkt på dagen bruges også til at hjælpe med at afgøre, om en bruger skal godkendes eller blokeres. Derudover kan adfærdsmæssige biometriske identifikatorer, såsom en brugers tastetryklængde, skrivehastighed og musebevægelser, også overvåges diskret i realtid for at give kontinuerlig godkendelse i stedet for en enkelt engangsgodkendelseskontrol under login.
at stole på adgangskoder som den vigtigste metode til godkendelse, mens det er almindeligt, tilbyder ofte ikke længere den sikkerhed eller brugeroplevelse, som virksomheder og deres brugere kræver. Og selvom ældre sikkerhedsværktøjer, såsom en adgangskodeadministrator og MFA, forsøger at håndtere problemerne med brugernavne og adgangskoder, afhænger de af en i det væsentlige forældet arkitektur: adgangskodedatabasen.
derfor henvender mange organisationer sig til adgangskodeløs godkendelse. Brug af metoder som biometri og sikre protokoller giver brugerne mulighed for sikkert at godkende sig selv i deres applikationer uden at skulle indtaste adgangskoder. I erhvervslivet betyder det, at medarbejderne kan få adgang til deres arbejde uden at skulle indtaste adgangskoder, og det opretholder stadig total kontrol over hvert login. Brugen af blockchain, for eksempel gennem decentraliseret identitet eller selvsuveræn identitet, får også opmærksomhed som et alternativ til traditionelle godkendelsesmetoder.