Dnes si pre väčšinu čitateľov „znovu“ predstavíme multi-faktorovú autentifikáciu (MFA). Napriek tomu, že toto pomenovanie znie vysoko odborne a technicky, v skutočnosti sa s ňou už každý niekedy stretol bez toho aby si to uvedomil. V minulosti sa využívala najprv na zabezpečenie prostriedkov na ktorých ľudom veľmi záleží (peniaze), v posledných rokoch sa však už rozšírila cez firemné prostriedky (pracovné e-maily) až po zábavu (sociálne siete, streamovacie služby).
Čo teda je MFA?
Klasická poučka o multi-faktorovej autentifikácii by vyzerala asi takto:
Na rozdiel od tradičného prístupu, kde sa používateľ prihlasuje iba pomocou mena a hesla, MFA vyžaduje dva alebo viac overovacích faktorov, čím výrazne zvyšuje bezpečnostnú úroveň. Tieto faktory môžu zahŕňať niečo, čo používateľ vie (napríklad heslo alebo odpoveď na tajnú otázku), niečo, čo používateľ má (napríklad mobilný telefón alebo bezpečnostný token) alebo niečo, čo používateľ je (biometrické údaje, ako sú odtlačky prstov alebo rozpoznanie tváre). Týmto spôsobom, aj keď by útočník získal prístup k jednému z overovacích faktorov, bez ostatných faktorov by mu to malo zabrániť v prístupe k účtu. Tu nájdete viac informácií o MFA, aké sú hlavné funkcie, postupy a výhody nasadenia.
A teraz ľudskou rečou…
Tradičné prihlasovanie do rôznych služieb vyzerá nejak takto:
- Otvorím webovú stránku služby do ktorej sa chcem prihlásiť
- Zadám meno a heslo
- Stlačím enter/kliknem na prihlásiť sa
Vyzerá to jednoducho a bezpečne však ? Všetci vieme, že nemáme používať jednoduché heslá tak nám ich len tak niekto neuhádne a teda sa do našich účtov neprihlási.
Nie tak úplne
Možností ako útočník zistí vaše heslo je veľa, nejdeme ich všetky rozoberať. Najčastejšia je odchytením na podvodnej stránke. Povedzme si úprimne – potrebujete niečo rýchlo vybaviť, horia termíny a pred odoslaním dôležitého mailu na vás vybehne požiadavka na opätovné prihlásenie. Pred zadaním hesla skontrolujete celú stránku či na nej nie je niečo podozrivé ? Všimnete si napríklad rozdiel medzi https://login.outlook.com/xxx123 a https://login.outIook.com/xxx123 ? Ja by som si ho pravdepodobne nevšimol. V druhom prípade je namiesto malého L v skutočnosti veľké I, stačí tak málo a svoje prihlasovacie údaje zadáte útočníkovi. Technicky je možné veľa a okrem toho, že si tieto údaje uloží Vás môže presmerovať tam kam ste chceli a o incidente sa nemusíte dozvedieť mesiace až roky. Potom je len na kreativite útočníka ako ich využije. Ak sa jedná o prihlasovacie údaje k mailom, môže ich využiť na reset hesiel k ďalším službám, upraviť faktúry ktoré máte zaplatiť, alebo tieto údaje predať ďalej. Na internete existujú rôzne trhy kde ich môže ponúknuť.
Od celého incidentu Vás pritom môže s úspešnosťou viac ako 90% uchrániť aj tá najjednoduchšia forma dvojfaktorovej autentifikácie.
Prihlásenie po nasadení viac faktorovej autentifikácie môže vyzerať aj takto:
- Otvorím webovú stránku služby do ktorej sa chcem prihlásiť
- Zadám meno a heslo
- Stlačím enter/kliknem na prihlásiť sa
- Na mobilnom telefóne mi vyskočí požiadavka na zadanie kódu z obrazovky, vyťukám ho na displeji telefónu (dvoj miestne číslo)
Áno je pravda, že od úniku hesla nás to neuchráni, ak ho však už útočník bude vedieť k ničomu mu nebude pokiaľ sa nedostane aj k spárovanému mobilnému telefónu.
Tento príklad je len jedna z možností viac faktorovej autentifikácie. Rôzne služby využívajú rôzne spôsoby ktoré sa časom vyvíjajú.
Najbežnejšie spôsoby multi-faktorovej autentifikácie
Grid karta
Veľmi starý a najmenej bezpečný spôsob. Budú si ho pamätať všetci čo používali internetové bankovníctvo ešte pred pár rokmi (dnes Grid karty už dúfam žiadna banka nepoužíva). Princíp spočíval vo vlastníctve kartičky s rôznymi kódmi v rôznych poliach. Karta bola pre každého zákazníka unikátna. Po zadaní správneho hesla Vás banka vyzvala k opísaniu niektorého čísla z konkrétneho miesta na kartičke. Pri dlhodobom sledovaní si však útočník časom zistí obsah všetkých políčok keďže sa logicky musia po čase aj opakovať.
SMS kód
Najznámejšia forma. Po zadaní hesla dostanete na mobilný telefón sms správu s kódom ktorý je potrebné do stanoveného času opísať. Znie to bezpečne, ale odborníci upozorňujú na možnosť útoku na operátora – získanie náhradnej sim karty k Vášmu telefónnemu číslu. Môže sociálnym inžinierstvom presvedčiť operátora, že ste vy, alebo mať pomoc „z vnútra“. Na tento druh útoku sa síce vždy príde, ale niekedy to môže stáť za to. Ak napríklad pracujete s veľmi vysokými sumami a medzinárodnými tajomstvami radšej sa na tento spôsob nespoliehajte.
Nevýhoda je aj nutnosť byť v pokrytí operátora počas prihlasovania.
OTP aplikácia v mobilnom zariadení
Dnes veľmi populárna možnosť. OTP (one time password) aplikácia generuje pre spárovanú službu podľa vopred zadaného vzorca každých zväčša 30 sekúnd nový kód ktorý je v službe do ktorej sa prihlasujete vyžiadaný po zadaní správneho hesla. Princíp prihlásenia je rovnaký ako pri sms, ale na žiadnu správu nečakáte. Dokonca zariadenie na ktorom je aplikácia nainštalovaná môže byť aj úplne offline (mobilný telefón bez sim karty a internetu).
Existuje viacero aplikácií ktoré sú navzájom kompatibilné (Microsoft Autenticator, Google Authenticator, FreeOTP). Skvelé teda je, že pokiaľ používate multifaktorovú autentifikáciu na tomto princípe stačí mať nainštalovanú jedinú aplikáciu.
Výber konkrétnej aplikácie je iba na Vás. Každá má nejakú výhodu zväčša spojenú s jej autorom. Ak napríklad používate služby Microsoft 365 tak je vhodné použiť Microsoft Autenticator ktorý v prípade, že je zariadenie s aplikáciou online vyhodí aj upozornenie na pokus o prihlásenie a stačí už zadať dvoj miestny kód z obrazovky počítača na mobilnom zariadení namiesto opisovania štandardného 6 miestneho naopak.
Hardwarové tokeny
Elegantné riešenie ktoré na rozdiel od mobilnej aplikácie však niečo stojí. Jedná sa obvykle o malé zariadenia s veľkosťou USB kľúča. Funguje podobne ako aplikácia v mobilnom zariadení. Namiesto opisovania kódov však iba pripojíte kľúč do USB portu, alebo stlačíte tlačidlo ak je trvale v zariadení (napríklad minimalistické USB tokeny ktoré iba pár milimetrov vytŕčajú z notebooku).
Hardwarové tokeny existujú od rôznych firiem, v rôznych formátoch a konektivitách. Od malých kľúčeniek zobrazujúcich kódy cez pripojiteľné do USB až po bluetooth, alebo nfc.
Najznámejšie tokeny pre osobné použitie sú od firmy Yubico a Google.
Nevýhoda je menšia podpora hardwarových tokenov v rôznych službách.
No dobre, ale nechcem sa zdržovať pri každom prihlasovaní
Dobré je, že ani nemusíte. V moderných službách je vyžadovanie dvojfaktorovej autentifikácie obmedzené na nevyhnutné minimum. Väčšina služieb umožňuje minimálne zaškrtnúť možnosť nevyžadovať znovu overenie po obmedzenú dobu (zväčša je to 7-30 dní). Pre náročných sú aj pokročilé možnosti. Napríklad služby Microsoft 365 majú pre správcov možnosť nastaviť nevyžadovanie dodatočného overenia pokiaľ sa užívateľ pripája z firemnej siete. Bohužiaľ táto funkcia je v tomto prípade dodatočne licencovaná.
Aký je teda záver?
Používajte viac faktorové autentifikácie všade kde je to možné. V žiadnom prípade to nemôže uškodiť. Akákoľvek dodatočná možnosť zabezpečenia je lepšia ako žiadna a odrazí viac ako 90% potenciálnych útokov. Nezabudnite však na zadné vrátka a zálohu autentifikátora. Vymknúť sa zo systému kvôli strateniu mobilného telefónu, alebo USB tokenu nie je príjemné. Ak si nie ste istý čo robíte požiadajte o správne nastavenie svojho IT správcu.
Autor: Miloš Harmady, IT & Security Support v COMTEC s.r.o.