Bezpieczeństwo

Uwierzytelnianie wielopoziomowe (MFA)

Zacznij czytać teraz, a skończysz za 11 minut!

Multi Factor Authentication, czyli w skrócie MFA (uwierzytelnianie wielopoziomowe / dwuetapowe i pochodne nazwy), to jedna z metod zabezpieczenia konta przed nieautoryzowanym dostępem. Nie jest to żadna nowość, gdyż początki podobnych rozwiązań sięgają aż 1998 roku. Jeden z patentów AT&T opisuje rozwiązanie o zbliżonej mechanice działania – autoryzację transakcji klienta. Dzisiaj z MFA możemy się spotkać właśnie w takim scenariuszu. Jeżeli chcemy np. wykonać przelew bankowy, bardzo często musimy go potwierdzić za pośrednictwem np. jednorazowego kodu z karty zdrapki, kodem otrzymanym za pośrednictwem wiadomości SMS, aplikacją banku lub taką do autoryzacji wieloskładnikowych (np. Microsoft Authenticator).

Jak działa MFA?

Sposób działania jest bardzo prosty – w zasadzie opisałem go już wyżej. Logując się do konta, najpierw musimy podać nasze hasło, a następnie – jako dodatkowe potwierdzenie naszej tożsamości – specjalny kod, który bardzo często generowany jest tymczasowo, co dodatkowo wpływa na bezpieczeństwo. Nie zdążymy go wpisać (lub ktoś nie zdąży go ukraść) i cały proces musimy zaczynać od nowa.

W wielu sytuacjach możemy nawet zrezygnować z autoryzacji za pośrednictwem tradycyjnego hasła i do logowania wykorzystywać np. wyłącznie aplikację uwierzytelniającą. Jest to bardzo wygodne rozwiązanie, gdyż nie musimy pamiętać wszystkich naszych haseł (chyba nie muszę wspominać, że im więcej osobnych haseł, tym lepiej?), ani też korzystać z menedżera haseł.

Sposobów na dodatkowy składnik logowania jest cała masa – od wszelakich kodów i aplikacji, o których wspomniałem wyżej, aż po fizyczne klucze U2F. Na kluczach chciałbym się właśnie skupić, ale najpierw zadajmy sobie pytanie – czym one są? Swoim wyglądem przypominają zwykły pendrive jednak, zamiast przenosić nasze dane, służą do dodatkowej autoryzacji. Logując się do naszego konta, najpierw podajemy hasło, a następnie (lub od razu, jeśli nie chcemy hasła) podpinamy taki klucz do slotu USB i on potwierdza naszą tożsamość.

Klucze U2F firmy Yubico

Rzeczą wartą uwagi w przypadku kluczy fizycznych jest fakt, że na chwilę obecną nie ma możliwości zdalnego złamania lub obejścia takiego zabezpieczenia (przy spełnieniu odpowiednich warunków). W odróżnieniu od kodów aplikacji lub kodów SMS, które można przejąć (np. poprzez zainfekowanie urządzenia mobilnego, którym ofiara się autoryzuje), aby ominąć MFA w postaci klucza, musimy po prostu wejść w jego fizyczne posiadanie – co na odległość jest praktycznie niemożliwe.

Pamiętajmy też, że miecz siecze w obie strony – jeśli zgubimy taki klucz, wtedy sami nie dostaniemy się do naszego konta! Warto zatem wyposażyć się w dwa klucze i jednego mieć zawsze przy sobie, a drugiego schowanego w bezpiecznym miejscu na wypadek, gdybyśmy zgubili ten pierwszy.

Po co mi MFA?

Tradycyjne hasło bardzo łatwo „zgubić”, ktoś może je odgadnąć, podpatrzeć zza naszego ramienia, wyłudzić je metodą phishingową (w 2020 roku prawie 1/3 przypadków naruszeń kont to właśnie phishing! Żródło: Verizon) lub po prostu może ono wyciec z jakiegoś portalu. W takim przypadku droga do naszego konta stoi otworem dla każdego, kto wpadnie w posiadanie takich danych. Sprawa wygląda całkiem inaczej w przypadku, kiedy włączymy uwierzytelnianie wielopoziomowe. Potencjalny włamywacz przebija się przez pierwszą linię obrony (hasło) i staje przed kolejną, o wiele trudniejszą do pokonania – uzyskaniem naszego kodu lub, co gorsza (dla włamywacza oczywiście 😉 ), klucza MFA.

Skąd tak drastycznie zwiększa się nasze bezpieczeństwo, kiedy mamy włączone MFA? Idealnym przykładem, aby to zobrazować, są pewne dane pokazane na Microsoft RSA Conference 2020.

Jak widać na powyższym slajdzie, w samym styczniu 2020 roku Microsoft zidentyfikował ponad 1 milion 200 tysięcy naruszeń kont swoich użytkowników. Ponad milion! W 31 dni! Oczywiście wynikało to ze zbyt prostego hasła oraz braku odpowiednich zabezpieczeń konta. Co istotniejsze natomiast…

…99,9% naruszonych kont nie posiadało zabezpieczenia w postaci MFA! Zatem wynika z tego, że MFA zwiększa nasze bezpieczeństwo wykładniczo!

Dlaczego MFA jest takie skuteczne?

Zanim przejdziemy dalej, warto też przytoczyć, że około 94% złośliwego oprogramowania (np. takiego, które jest w stanie wykraść nasze hasło) rozpowszechniane jest za pośrednictwem poczty e-mail (źródło: Verizon), a tak jak już wspomniałem wcześniej, 1/3 przypadków naruszeń to phishing (czyli wyłudzenie danych poprzez podszycie się pod np. portal społecznościowy, pracownika banku, kuriera, usługodawcę telefonii komórkowej), który najczęściej również wykonywany jest za pośrednictwem poczty elektronicznej.

Skąd zatem taka skuteczność? Odpowiedź jest bardzo prosta – cyberprzestępcy najczęściej „działają hurtowo”, po linii najmniejszego oporu. W wielu przypadkach liczy się też tzw. efekt skali. Nawet jeśli skuteczność kampanii phishingowej za pośrednictwem poczty e-mail wyniesie „tylko” 1%, to w przypadku rozesłania 1 miliona e-maili (co wcale nie jest wyczynem) uda im się włamać do 10 tysięcy kont!

Jeżeli natomiast takie konto zabezpieczone jest drugim składnikiem – pojawia się problem. Obejście MFA jest znacznie trudniejsze niż złamanie, przejęcie lub wyłudzenie czyjegoś hasła. Oczywiście, jeżeli nasza firma staje się celem takiej grupy cyberprzestępców, będą próbowali to zrobić, natomiast w przypadku masowych kampanii liczy się czas i prostota. Szybciej jest rozesłać dodatkowe parędziesiąt tysięcy maili i liczyć na kolejne łatwe cele, niż tracić czas na obejście czyjegoś MFA.

Włączyć czy nie włączyć, o to jest pytanie.

MFA na naszych kontach  powinno być włączone i koniec, kropka. Statystyki mówią za siebie, a nawet gdybyśmy chcieli się obiektywnie zastanowić – takie rozwiązanie jest o wiele bezpieczniejsze niż samo hasło. Zawsze powtarzam, że „co dwa hasła to nie jedno” mając oczywiście na myśli drugi składnik autoryzacji. Oczywiście MFA nie jest złotym środkiem na wszystko, a samych metod (i to całkiem skutecznych) do jego złamania lub obejścia jest również sporo. Podczas sprecyzowanego i przemyślanego ataku na nieświadomą i, co gorsza, nieprzeszkoloną osobę, nawet uwierzytelnianie wielopoziomowe w postaci klucza U2F nie pomoże. Dlatego tak ważne jest, aby regularnie szkolić i uświadamiać naszych pracowników o potencjalnych zagrożeniach oraz metodach i sposobach na ich uniknięcie. Jeżeli nie wiecie, gdzie możecie znaleźć takie szkolenie, to podpowiem – kliknijcie tutaj 😊.

Polub nas i śledź nas: