MFA to wydajny kosztowo i bardzo skuteczny sposób podniesienia poziomu bezpieczeństwa systemów, sieci i aplikacji. Na czym jednak dokładnie polega uwierzytelnianie wieloskładnikowe? Czym MFA różni się of 2FA? Na te i wiele innych pytań odpowiadamy w artykule.
MFA – co to jest?
MFA (ang.: Multi-Factor Authentication) to metoda zabezpieczenia dostępu do systemów informatycznych, aplikacji i kont, wykorzystująca wiele różnych składników do potwierdzenia swojej tożsamości. Mogą nimi być:
- hasło, PIN, pytanie pomocnicze (czyli coś, co wiemy),
- biometria: rysunek linii papilarnych, skan źrenicy czy barwa głosu (czyli coś, czym się charakteryzujemy),
- fizyczny token czy aplikacja generująca jednorazowe kody uwierzytelniające (czyli coś, co posiadamy).
Wykorzystując w procesie uwierzytelniania skomplikowane hasło, czterocyfrowy PIN oraz dodatkowe pytanie pomocnicze, nie będzie to w rzeczywistości MFA, a jedynie logowanie kilkuetapowe. Innym przykładem błędnego rozumienia uwierzytelniania dwuskładnikowego będzie zastosowanie dwóch haseł do tego samego pliku.
MFA może przykładowo wykorzystywać tradycyjne hasło dostępowe w połączeniu z biometrią i jednorazowymi kodami generowanymi przez smartfon lub token. Dzięki zastosowaniu wielu składników, dostęp zostaje częściowo zabezpieczony nawet w przypadku kompromitacji hasła lub np. przejęcia fizycznego urządzenia. Z tego powodu MFA i różne jego odmiany są obecnie stosowane w rozwiązaniach bankowości online oraz w firmach, w których prywatność ma krytyczne znaczenie dla bezpieczeństwa systemów i użytkowników.
Szczególnie ciekawym zagadnieniem jest tzw. Adaptive MFA, czyli adaptacyjne uwierzytelnianie wieloskładnikowe, które wykorzystuje dedykowane algorytmy do oceny ryzyka włamania i ocenia wzorce zachowań. W praktyce działający na tej zasadzie system może wymagać użycia kolejnych składników uwierzytelniania, jeśli wykryte zostanie niecodzienne zachowanie. Może to być próba logowania z nieznanej dotąd lokalizacji lub przy użyciu nieznanego urządzenia czy też próba logowania do systemu w późnych godzinach nocnych albo w weekend.
2FA a MFA – czy uwierzytelnianie dwuskładnikowe wystarczy?
2FA (ang.: Two-Factor Authentication) to forma uwierzytelniania zakładająca wykorzystanie konkretnie dwóch form potwierdzenia tożsamości. Z uwagi na łatwość wdrożenia uwierzytelnianie dwuskładnikowe jest powszechnie wykorzystywane w wielu aplikacjach i usługach (takich, jak np. poczta elektroniczna). Zazwyczaj wykorzystuje standardowe hasło i login oraz jednorazowe kody wysłane na adres e-mail, SMS-em na numer telefonu, czy też dodatkowe potwierdzenie przez aplikację mobilną.
Uwierzytelnianie dwuskładnikowe w bardzo uproszczonej formie stosowano już ponad 20 lat temu. Dodatkowym składnikiem pomagającym użytkownikom resetować zapomniane hasło (np. do poczty elektronicznej) było pytanie, na które odpowiedź, przynajmniej teoretycznie, miał znać tylko uprawniony użytkownik.
2FA jest tańsze, szybsze i łatwiejsze do wdrożenia niż MFA. Jest dobrym sposobem podniesienia poziomu bezpieczeństwa poprzez dodanie kolejnej warstwy zabezpieczeń, jednak nie zapewnia tak dobrej ochrony danych, jak MFA. Złamanie hasła i jednoczesne przejęcie urządzenia mobilnego, wykorzystywanego zazwyczaj do potwierdzenia logowania, jest prawdopodobnym scenariuszem.
Rodzaje uwierzytelniania wieloskładnikowego
Uwierzytelnianie wieloskładnikowe to koncepcja, którą firmy mogą realizować na wiele różnych sposobów, w zależności od potrzeb i warunków. Nie istnieje jeden konkretny standard. Mówiąc o MFA, chodzi raczej o zbiorze dobrych praktyk i zasad, którymi warto się kierować.
Za pomocą SMS
To jeden z najprostszych do wdrożenia składników MFA. Jednorazowe hasła SMS (OTP) są powszechnie wykorzystywane w wielu aplikacjach i usługach. Ich konstrukcja sprawia, że mogą być użyte w bardzo krótkim czasie po otrzymaniu (kilkadziesiąt sekund) – wyłącznie raz. Po każdym użyciu (poprawnym bądź nie) przychodzi potrzeba wygenerowania nowego hasła.
Hasła OTP przesyłane przez SMS mogą jednak wpaść w ręce przestępców – na przykład w wyniku ataków typu SIM swapping czy malware’a, który został zainstalowany na smartfonie. W grę wchodzi także fizyczna kradzież urządzenia. Skuteczność haseł uzależniona jest także od lokalizacji i zasięgu sieci GSM. Wiadomości docierają nierzadko z opóźnieniem lub w ogóle nie docierają, uniemożliwiając logowanie.
Za pomocą hasła w e-mail
Jednorazowe hasła wysyłane na pocztę elektroniczną mają podobne wady i zalety do tych przekazywanych poprzez SMS. W przypadku złamania hasła do skrzynki e-mail haker może bez trudu wykradać na bieżąco przesyłane hasła. Ponadto wiadomość e-mail z hasłem może zostać zatrzymana przez filtry antyspamowe.
Powiadomienia push
Niektóre aplikacje mobilne (w szczególności aplikacje bankowe) wykorzystują dodatkowe powiadomienia push z prośbą o weryfikację zlecanej w przeglądarce płatności lub podczas transakcji BLIK. Niejednokrotnie wymagają także użycia kolejnego składnika, którym jest odcisk linii papilarnych, dzięki czemu mamy do czynienia z uwierzytelnianiem wieloskładnikowym – bardzo trudnym do sforsowania. Popularność powiadomień push wynika z wysokiej skuteczności i prostego wdrożenia bez dodatkowych kosztów. Ich użycie jest ponadto bardzo intuicyjne dla użytkownika.
Uwierzytelnianie poprzez połączenie telefoniczne
Część usług potwierdza składane w Internecie zlecenie za pomocą telefonu pracownika do klienta. Dzieje się tak m.in. przy zlecaniu przelewów na duże kwoty lub wnioskowaniu o kredyty i pożyczki. W przypadku kradzieży smartfonu ta metoda uwierzytelniania może być jednak zawodna. Ponadto w dobie coraz doskonalszych narzędzi do generowania głosu za pomocą AI oraz możliwości podszywania się pod dzwoniącego (tzw. spoofing telefoniczny), ryzyko podania się za inną osobę wrasta.
Uwierzytelnianie biometryczne
Biometria to coś, co spotykamy dziś na każdym kroku. Odblokowywanie ekranu telefonu czy potwierdzanie płatności za pomocą odcisku palca to dopiero początek długiej listy jej zastosowań. Dzięki indywidualnym parametrom naszego organizmu możemy odblokowywać dostęp do pomieszczeń o krytycznym znaczeniu dla bezpieczeństwa, potwierdzać tożsamość na potrzeby obsługi systemów firmowych i wiele, wiele innych. Biometria jest też jednym z najtrudniejszych do sfałszowania składników uwierzytelniania, a jednocześnie nie wymaga posiadania dodatkowych urządzeń i generatorów kodów.
Uwierzytelnianie tokenem sprzętowym
Token sprzętowy to nic innego jak urządzenie generujące klucze kryptograficzne stanowiące jeden ze składników MFA lub łączące się bezpośrednio z urządzeniem, na którym próbujemy uwierzytelnić swoją tożsamość. Tokeny sprzętowe są wykorzystywane od lat. Mogą przyjmować formę prostego urządzenia z wyświetlaczem lub klucza USB podłączanego do portu komputer czy też smartfonu. Istotną wadą tego rozwiązania jest cena takich urządzeń – zwłaszcza jeśli firma musi wyposażyć w nie dużą liczbę osób. Tokeny, jak każdy sprzęt fizyczny, jest też podatny na uszkodzenia, zgubienie i awarie, a z czasem zwyczajnie się zużywa.
Jak wdrożyć MFA w firmie?
Wdrożenie MFA warto rozpocząć od oceny ryzyka i wskazania krytycznych zasobów, do których dostęp powinien być chroniony w szczególny sposób. Później przychodzi pora na wybór technologii, rozwiązań i składników uwierzytelniania. To dobry moment, by zastanowić się nad skorzystaniem z ofert firm proponujących gotowe, kompletne rozwiązania MFA, będące szybką i prostą do wdrożenia alternatywą dla samodzielnie tworzonych systemów.
Decydując się na MFA nie można zapominać o szkoleniu pracowników, którzy powinni zrozumieć, że w ten sposób firma dba także o bezpieczeństwo ich danych. Pomocne mogą okazać się szkolenia z zakresu security awareness, na których poruszone zostaną podstawowe zasady cyberbezpieczeństwa. Firma powinna zadbać także o wprowadzenie zmian w politykach bezpieczeństwa i wskazanie stanowisk oraz specjalistów zobowiązanych do stosowania MFA. Ostatnim etapem jest już testowanie, wdrażanie poprawek i wyciąganie wniosków.
Jak MFA może przydać się w firmie?
Rozwiązania, takie jak uwierzytelnianie wieloskładnikowe czy szyfrowanie danych, pomagają firmie w znaczący sposób podnieść bezpieczeństwo biznesu, a więc uodpornić się na ataki hakerów, wycieki danych oraz nielegalne działania konkurencji. Wdrożenie MFA ogranicza niemal do zera ryzyko wystąpienia skutecznych ataków słownikowych i innych naruszeń, których celem jest uzyskanie dostępu do systemów i aplikacji.
Co ważne, wdrożenie MFA nie musi być przy tym drogie ani czasochłonne. Może za to pomóc w zachowaniu zgodności z obowiązującymi przepisami. Ponadto wpływa na postrzeganie Twojej firmy przez klientów, których świadomość zagrożeń w sieci zwiększa się każdego roku. Wielu użytkowników zwraca uwagę na zabezpieczenia, jakie oferuje aplikacja, i sposoby zapobiegania włamaniom.
Chcesz stworzyć bezpieczne i wydajne środowisko informatyczne, które pozwoli Twojej firmie realizować efektywnie projekty bez obaw o elementy zabezpieczeń? Sprawdź rozwiązania z zakresu cyberbezpieczeństwa od Netii i skontaktuj się z naszymi specjalistami! Netia pomaga wdrażać rozwiązania MFA w firmach i organizacjach, które chcą zwiększyć jakość ochrony systemów.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105