ce este autentificarea cu doi factori și de ce este utilizată?
autentificarea cu doi factori (2FA), denumită uneori verificare în doi pași sau autentificare cu doi factori, este un proces de securitate în care utilizatorii furnizează doi factori de autentificare diferiți pentru a se verifica.
2FA este implementat pentru a proteja mai bine atât acreditările unui utilizator, cât și resursele pe care utilizatorul le poate accesa. Autentificarea cu doi factori oferă un nivel mai ridicat de securitate decât metodele de autentificare care depind de autentificarea cu un singur factor (SFA), în care utilizatorul furnizează un singur factor-de obicei, o parolă sau o parolă. Metodele de autentificare cu doi factori se bazează pe un utilizator care furnizează o parolă ca primul factor și un al doilea factor diferit-de obicei fie un simbol de securitate, fie un factor biometric, cum ar fi o amprentă sau o scanare facială.
autentificarea cu doi factori adaugă un nivel suplimentar de securitate procesului de autentificare, îngreunând accesul atacatorilor la dispozitivele sau conturile online ale unei persoane, deoarece, chiar dacă parola victimei este piratată, o parolă singură nu este suficientă pentru a trece verificarea autentificării.
autentificarea cu doi factori a fost folosită de mult timp pentru a controla accesul la sisteme și date sensibile. Furnizorii de servicii Online folosesc din ce în ce mai mult 2FA pentru a proteja acreditările utilizatorilor lor de a fi utilizate de hackerii care au furat o bază de date cu parole sau au folosit campanii de phishing pentru a obține parole de utilizator.
acest articol face parte din
ce este gestionarea identității și a accesului? Ghid pentru IAM
- care include, de asemenea:
- cum se construiește o arhitectură iam eficientă
- 4 cele mai bune practici esențiale de gestionare a identității și accesului
- 5 tendințe IAM care modelează viitorul securității
care sunt factorii de autentificare?
există mai multe moduri în care cineva poate fi autentificat folosind mai multe metode de autentificare. În prezent, majoritatea metodelor de autentificare se bazează pe factori de cunoaștere, cum ar fi o parolă tradițională, în timp ce metodele de autentificare cu doi factori adaugă fie un factor de posesie, fie un factor de inherență.
factorii de autentificare, enumerați în ordinea aproximativă de adoptare pentru calcul, includ următoarele:
- un factor de cunoaștere este ceva pe care utilizatorul îl cunoaște, cum ar fi o parolă, un număr personal de identificare (PIN) sau un alt tip de secret partajat.
- un factor de posesie este ceva ce utilizatorul are, cum ar fi o carte de identitate, un simbol de securitate, un telefon mobil, un dispozitiv mobil sau o aplicație pentru smartphone, pentru a aproba cererile de autentificare.
- un factor biometric, cunoscut și ca factor de inerență, este ceva inerent sinelui fizic al utilizatorului. Acestea pot fi atribute personale mapate din caracteristicile fizice, cum ar fi amprentele autentificate printr-un cititor de amprente. Alți factori de inherență utilizați în mod obișnuit includ recunoașterea facială și vocală sau biometria comportamentală, cum ar fi dinamica apăsării tastelor, mersul sau modelele de vorbire.
- un factor de locație este de obicei notat de locația din care se face o încercare de autentificare. Acest lucru poate fi impus prin limitarea încercărilor de autentificare la anumite dispozitive dintr-o anumită locație sau prin urmărirea sursei geografice a unei încercări de autentificare pe baza adresei protocolului Internet sursă sau a altor informații de geolocalizare, cum ar fi sistemul de poziționare globală (GPS) date, derivate din telefonul mobil al utilizatorului sau alt dispozitiv.
- un factor de timp restricționează autentificarea utilizatorului la o anumită fereastră de timp în care este permisă conectarea și restricționează accesul la sistem în afara acelei ferestre.
marea majoritate a metodelor de autentificare cu doi factori se bazează pe primii trei factori de autentificare, deși sistemele care necesită o securitate mai mare le pot utiliza pentru a implementa autentificarea multifactorială (MFA), care se poate baza pe două sau mai multe acreditări independente pentru o autentificare mai sigură.
cum funcționează autentificarea cu doi factori?
activarea autentificării cu doi factori variază în funcție de aplicația sau furnizorul specific. Cu toate acestea, procesele de autentificare cu doi factori implică același proces general, în mai multe etape:
- utilizatorul este solicitat să se conecteze de către aplicație sau site-ul web.
- utilizatorul introduce ceea ce știe-de obicei, numele de utilizator și parola. Apoi, serverul site-ului găsește o potrivire și recunoaște utilizatorul.
- pentru procesele care nu necesită parole, site-ul web generează o cheie de securitate unică pentru utilizator. Instrumentul de autentificare procesează cheia, iar serverul site-ului o validează.
- site-ul solicită apoi utilizatorului să inițieze al doilea pas de conectare. Deși acest pas poate lua o serie de forme, utilizatorul trebuie să demonstreze că are ceva ce ar avea doar, cum ar fi biometria, un simbol de securitate, o carte de identitate, un smartphone sau alt dispozitiv mobil. Acesta este factorul de inherență sau posesie.
- apoi, utilizatorul poate fi nevoit să introducă un cod unic care a fost generat în timpul pasului patru.
- după furnizarea ambilor factori, utilizatorul este autentificat și i se acordă acces la aplicație sau site-ul web.
elemente de autentificare cu doi factori
autentificarea cu doi factori este o formă de AMF. Din punct de vedere tehnic, este utilizat oricând sunt necesari doi factori de autentificare pentru a avea acces la un sistem sau serviciu. Cu toate acestea, utilizarea a doi factori din aceeași categorie nu constituie 2FA. De exemplu, solicitarea unei parole și a unui secret partajat este încă considerată SFA, deoarece ambele aparțin tipului factorului de autentificare a cunoștințelor.
în ceea ce privește serviciile SFA, numele de utilizator și parolele nu sunt cele mai sigure. O problemă cu Autentificarea bazată pe parolă este că necesită cunoștințe și diligență pentru a crea și a vă aminti parole puternice. Parolele necesită protecție împotriva multor amenințări din interior, cum ar fi note lipicioase stocate neglijent cu acreditări de conectare, hard disk-uri vechi și exploatări de inginerie socială. Parolele sunt, de asemenea, pradă amenințărilor externe, cum ar fi hackerii care folosesc forța brută, dicționarul sau atacurile de masă curcubeu.
având suficient timp și resurse, un atacator poate, de obicei, să încalce sistemele de securitate bazate pe parole și să fure date corporative. Parolele au rămas cea mai comună formă de SFA datorită costului redus, ușurinței de implementare și familiarității.
întrebările multiple de răspuns la provocări pot oferi mai multă securitate, în funcție de modul în care sunt implementate, iar metodele de verificare biometrică independente pot oferi, de asemenea, o metodă mai sigură a SFA.
tipuri de produse de autentificare cu doi factori
există multe dispozitive și servicii diferite pentru implementarea 2FA-de la jetoane la carduri de identificare a frecvenței radio (RFID) până la aplicații pentru smartphone.
produsele de autentificare cu doi factori pot fi împărțite în două categorii:
- token-uri care sunt date utilizatorilor pentru a fi utilizate la conectare; și
- infrastructură sau software care recunoaște și autentifică accesul pentru utilizatorii care își folosesc corect token-urile.
jetoanele de autentificare pot fi dispozitive fizice, cum ar fi brelocuri sau carduri inteligente, sau pot exista în software ca aplicații mobile sau desktop care generează coduri PIN pentru autentificare. Aceste coduri de autentificare, cunoscute și sub numele de parole unice (OTP), sunt de obicei generate de un server și pot fi recunoscute ca autentice de un dispozitiv sau o aplicație de autentificare. Codul de autentificare este o secvență scurtă legată de un anumit dispozitiv, utilizator sau cont și poate fi utilizată o singură dată ca parte a unui proces de autentificare.
organizațiile trebuie să implementeze un sistem pentru a accepta, procesa și permite sau refuza accesul utilizatorilor care se autentifică cu jetoanele lor. Acest lucru poate fi implementat sub formă de software de server sau un server hardware dedicat, precum și furnizat ca serviciu de către un furnizor terț.
un aspect important al 2FA este asigurarea utilizatorului autentificat este dat acces la toate resursele utilizatorul este aprobat pentru și numai acele resurse. Drept urmare, o funcție cheie a 2FA este conectarea sistemului de autentificare cu datele de autentificare ale unei organizații. Microsoft oferă o parte din infrastructura necesară organizațiilor pentru a sprijini 2FA în Windows 10 prin Windows Hello, care poate funcționa cu conturi Microsoft, precum și autentificarea utilizatorilor prin Microsoft Active Directory, Azure AD sau fast IDentity Online (FIDO).
cum funcționează jetoanele hardware 2FA
jetoanele Hardware pentru 2FA sunt disponibile pentru a sprijini diferite abordări ale autentificării. Un simbol hardware popular este YubiKey, un mic dispozitiv Universal Serial Bus (USB) care acceptă OTPs, criptarea și autentificarea cheilor publice și Protocolul Universal 2nd Factor dezvoltat de Alianța FIDO. Jetoanele YubiKey sunt vândute de Yubico Inc., cu sediul în Palo Alto, California.
când utilizatorii cu un YubiKey se conectează la un serviciu online care acceptă OTPs-cum ar fi Gmail, Github sau WordPress-își introduc YubiKey în portul USB al dispozitivului, introduc parola, fac clic în câmpul YubiKey și ating butonul YubiKey. YubiKey generează un OTP și îl introduce în câmp.
OTP este o parolă de 44 de caractere, de unică folosință; primele 12 caractere sunt un ID unic care reprezintă cheia de securitate înregistrată în cont. Restul de 32 de caractere conțin informații criptate folosind o cheie cunoscută numai dispozitivului și serverelor Yubico, stabilite în timpul înregistrării inițiale a contului.
OTP este trimis de la serviciul online la Yubico pentru verificarea autentificării. Odată ce OTP este validat, serverul de autentificare Yubico trimite înapoi un mesaj care confirmă că acesta este simbolul potrivit pentru acest utilizator. 2FA este completă. Utilizatorul a furnizat doi factori de autentificare: parola este factorul de cunoaștere, iar YubiKey este factorul de posesie.
autentificare cu doi factori pentru Dispozitive mobile
smartphone-urile oferă o varietate de capabilități 2FA, permițând companiilor să utilizeze ceea ce funcționează cel mai bine pentru ele. Unele dispozitive pot recunoaște amprentele digitale, pot utiliza camera încorporată pentru recunoașterea facială sau scanarea irisului și pot utiliza microfonul pentru recunoașterea vocii. Smartphone-urile echipate cu GPS pot verifica locația ca factor suplimentar. Serviciul de mesaje vocale sau scurte (SMS) poate fi, de asemenea, utilizat ca canal pentru autentificarea în afara benzii.
un număr de telefon de încredere poate fi utilizat pentru a primi coduri de verificare prin mesaj text sau apel telefonic automat. Un utilizator trebuie să verifice cel puțin un număr de telefon de încredere pentru a se înscrie în mobile 2FA.
Apple iOS, Google Android și Windows 10 au toate aplicații care acceptă 2FA, permițând telefonului în sine să servească drept dispozitiv fizic pentru a satisface factorul de posesie. Duo Security, cu sediul în Ann Arbor, Mich., și achiziționat de Cisco în 2018 pentru 2,35 miliarde de dolari, are o platformă care permite clienților să își folosească dispozitivele de încredere pentru 2FA. Platforma Duo stabilește mai întâi că un utilizator are încredere înainte de a verifica dacă dispozitivul mobil poate fi de încredere și ca factor de autentificare.
aplicațiile de autentificare înlocuiesc necesitatea obținerii unui cod de verificare prin text, apel vocal sau e-mail. De exemplu, pentru a accesa un site web sau un serviciu bazat pe web care acceptă Google Authenticator, utilizatorii introduc numele de utilizator și parola-un factor de cunoaștere. Utilizatorii sunt apoi solicitați să introducă un număr de șase cifre. În loc să aștepte câteva secunde pentru a primi un mesaj text, un autentificator generează numărul pentru ei. Aceste numere se schimbă la fiecare 30 de secunde și sunt diferite pentru fiecare autentificare. Prin introducerea numărului corect, utilizatorii finalizează procesul de verificare și dovedesc posesia dispozitivului corect-un factor de proprietate.
acestea și alte produse 2FA oferă informații despre cerințele minime de sistem necesare pentru implementarea 2FA.
notificări Push pentru 2FA
o notificare push este autentificarea fără parolă care verifică un utilizator trimițând o notificare direct către o aplicație securizată de pe dispozitivul utilizatorului, avertizând utilizatorul că are loc o încercare de autentificare. Utilizatorul poate vizualiza detaliile încercării de autentificare și poate aproba sau refuza accesul – de obicei, cu o singură atingere. Dacă utilizatorul aprobă cererea de autentificare, serverul primește acea solicitare și îl conectează pe utilizator în aplicația web.
notificările Push autentifică utilizatorul confirmând că dispozitivul înregistrat cu sistemul de autentificare-de obicei un dispozitiv mobil-se află în posesia utilizatorului. Dacă un atacator compromite dispozitivul, notificările push sunt, de asemenea, compromise. Notificările Push elimină amenințările, cum ar fi atacurile man-in-the-middle, accesul neautorizat și atacurile de inginerie socială.
în timp ce notificările push sunt mai sigure decât alte forme de metode de autentificare, există încă riscuri de securitate. De exemplu, utilizatorii ar putea aproba accidental o solicitare de autentificare frauduloasă, deoarece sunt obișnuiți să atingă aprobarea atunci când primesc notificări push.
autentificarea cu doi factori este sigură?
în timp ce autentificarea cu doi factori îmbunătățește securitatea, schemele 2FA sunt la fel de sigure ca și componenta lor cea mai slabă. De exemplu, jetoanele hardware depind de securitatea emitentului sau a producătorului. Unul dintre cele mai importante cazuri ale unui sistem compromis cu doi factori a avut loc în 2011, când compania de securitate RSA Security a raportat că jetoanele sale de autentificare SecurID au fost piratate.
procesul de recuperare a contului în sine poate fi, de asemenea, subminat atunci când este utilizat pentru a învinge autentificarea cu doi factori, deoarece resetează adesea parola curentă a unui utilizator și trimite prin e-mail o parolă temporară pentru a permite utilizatorului să se conecteze din nou, ocolind procesul 2FA. Conturile Gmail de afaceri ale directorului executiv al Cloudflare au fost hackate în acest fel.
deși 2FA bazat pe SMS este ieftin, ușor de implementat și considerat ușor de utilizat, este vulnerabil la numeroase atacuri. Institutul Național de standarde și Tehnologie (NIST) a descurajat utilizarea SMS-urilor în serviciile 2FA în publicația sa specială 800-63-3: orientări privind identitatea digitală. NIST a concluzionat că OTP-urile trimise prin SMS sunt prea vulnerabile din cauza atacurilor de portabilitate a numerelor de telefon mobil, a atacurilor împotriva rețelei de telefonie mobilă și a programelor malware care pot fi utilizate pentru interceptarea sau redirecționarea mesajelor text.
viitorul autentificării
mediile care necesită o securitate mai mare pot fi interesate de autentificarea cu trei factori, care implică de obicei posesia unui jeton fizic și a unei parole utilizate împreună cu datele biometrice, cum ar fi scanările amprentelor digitale sau amprentele vocale. Factori precum geolocalizarea, tipul de dispozitiv și ora din zi sunt, de asemenea, utilizați pentru a determina dacă un utilizator ar trebui autentificat sau blocat. În plus, identificatorii biometrici comportamentali, cum ar fi lungimea apăsării tastelor unui utilizator, Viteza de tastare și mișcările mouse-ului, pot fi, de asemenea, monitorizați discret în timp real pentru a oferi autentificare continuă în loc de o singură verificare unică de autentificare în timpul autentificării.
bazându-se pe parole ca principală metodă de autentificare, în timp ce obișnuit, de multe ori nu mai oferă securitatea sau experiența utilizatorului pe care companiile și utilizatorii lor o cer. Și, chiar dacă instrumentele de securitate vechi, cum ar fi un manager de parole și AMF, încearcă să facă față problemelor numelor de utilizator și parolelor, acestea depind de o arhitectură esențial depășită: baza de date cu parole.
în consecință, multe organizații apelează la autentificarea fără parolă. Utilizarea unor metode precum biometria și protocoalele securizate permite utilizatorilor să se autentifice în siguranță în aplicațiile lor fără a fi nevoie să introducă parole. În afaceri, acest lucru înseamnă că angajații își pot accesa munca fără a fi nevoie să introducă parole și păstrează în continuare controlul total asupra fiecărei autentificări. Utilizarea blockchain-ului, de exemplu, prin identitate descentralizată sau identitate auto-suverană, câștigă, de asemenea, atenție ca alternativă la metodele tradiționale de autentificare.