5 způsobů dvoufaktorové autentizace, jejich výhody a nevýhody

2024 Autor: Malcolm Clapton | [email protected]. Naposledy změněno: 2023-12-17 03:50

Stále více lidí přemýšlí o použití dvoufaktorové autentizace ke spolehlivé ochraně svých dat na webu. Mnohé zarazí složitost a nesrozumitelnost technologie, což není překvapivé, protože existuje několik možností pro její implementaci. Projdeme si je všechny a seřadíme výhody a nevýhody každého z nich.

Dvoufaktorová autentizace je založena na použití nejen tradičního odkazu „login-password“, ale také na dodatečné úrovni ochrany – tzv. druhém faktoru, jehož držení musí být potvrzeno, aby bylo možné získat přístup k účet nebo jiné údaje.

Nejjednodušším příkladem dvoufaktorové autentizace, se kterým se každý z nás neustále setkává, je výběr hotovosti z bankomatu. Pro příjem peněz potřebujete kartu, kterou máte pouze vy, a PIN, který znáte jen vy. Útočník po získání vaší karty nebude moci vybrat hotovost bez znalosti PIN kódu a stejně tak nebude moci přijímat peníze, aniž by je znal, ale bez karty.

Stejný princip dvoufaktorové autentizace se používá pro přístup k vašim účtům na sociálních sítích, poště a dalším službám. Prvním faktorem je kombinace přihlašovacího jména a hesla a následujících 5 věcí může fungovat jako druhý.

SMS kódy

Ověření pomocí SMS kódů je velmi jednoduché. Jako obvykle zadáte své uživatelské jméno a heslo, poté na vaše telefonní číslo přijde SMS s kódem, který je nutné zadat pro vstup do vašeho účtu. to je všechno. Při dalším přihlášení je zaslán další SMS kód, který je platný pouze pro aktuální relaci.

Výhody

• Generování nových kódů při každém vstupu. Pokud útočníci zachytí vaše uživatelské jméno a heslo, nebudou bez kódu schopni nic udělat.
• Vazba na telefonní číslo. Přihlášení není možné bez vašeho telefonu.

nevýhody

• Pokud není k dispozici mobilní signál, nebudete se moci přihlásit.
• Existuje teoretická pravděpodobnost změny čísla prostřednictvím služby operátora nebo zaměstnanců komunikačních salonů.
• Pokud se přihlásíte a obdržíte kódy na stejném zařízení (například smartphone), ochrana přestává být dvoufaktorová.

Aplikace Authenticator

Tato možnost je v mnohém podobná té předchozí, jen s tím rozdílem, že namísto přijímání kódů pomocí SMS jsou generovány na zařízení pomocí speciální aplikace (,). Při nastavení obdržíte primární klíč (nejčastěji ve formě QR kódu), na jehož základě jsou pomocí kryptografických algoritmů generována jednorázová hesla s dobou platnosti 30 až 60 sekund. I když předpokládáme, že útočníci budou schopni zachytit 10, 100 nebo dokonce 1 000 hesel, je s jejich pomocí prostě nemožné předvídat, jaké bude další heslo.

Výhody

• Autentizátor nepotřebuje mobilní signál, při prvotním nastavení stačí internetové připojení.
• Podpora více účtů v jednom autentizátoru.

nevýhody

• Pokud útočníci získají přístup k primárnímu klíči na vašem zařízení nebo hacknutím serveru, mohou generovat budoucí hesla.
• Pokud používáte autentizátor na stejném zařízení, ze kterého se přihlašujete, ztratíte dvoufaktorový rozdíl.

Ověření přihlášení pomocí mobilních aplikací

Tento typ autentizace lze nazvat hodgepodge všech předchozích. V tomto případě musíte místo dotazování na kódy nebo jednorázová hesla potvrdit přihlášení ze svého mobilního zařízení s nainstalovanou servisní aplikací. V zařízení je uložen soukromý klíč, který se ověřuje při každém přihlášení. To funguje pro Twitter, Snapchat a různé online hry. Když se například ve webové verzi přihlásíte ke svému Twitter účtu, zadáte své uživatelské jméno a heslo, na váš smartphone pak přijde upozornění s požadavkem na přihlášení, po jehož potvrzení se váš feed otevře v prohlížeči.

Výhody

• Při přihlášení nemusíte nic zadávat.
• Buněčná nezávislost.
• Podpora více účtů v jedné aplikaci.

nevýhody

• Pokud útočníci zachytí soukromý klíč, mohou se za vás vydávat.
• Při použití stejného přihlašovacího zařízení se ztrácí význam dvoufaktorové autentizace.

Hardwarové tokeny

Fyzické (nebo hardwarové) tokeny jsou nejbezpečnější metodou dvoufaktorové autentizace. Jako samostatná zařízení hardwarové tokeny, na rozdíl od všech výše uvedených metod, za žádných okolností neztratí svou dvoufaktorovou komponentu. Nejčastěji jsou prezentovány ve formě USB dongle s vlastním procesorem, který generuje kryptografické klíče, které se automaticky zadávají při připojení k počítači. Výběr klíče závisí na konkrétní službě. Google například používá tokeny FIDO U2F, jejichž ceny začínají na 6 dolarech bez dopravy.

Výhody

• Žádné SMS ani aplikace.
• Není potřeba mobilní zařízení.
• Jedná se o zcela nezávislé zařízení.

nevýhody

• Nutno zakoupit samostatně.
• Není podporováno ve všech službách.
• Při používání více účtů musíte mít u sebe celou hromadu tokenů.

Záložní klíče

Ve skutečnosti se nejedná o samostatnou metodu, ale o záložní možnost pro případ ztráty nebo krádeže smartphonu, který dostává jednorázová hesla nebo potvrzovací kódy. Když v každé službě nastavíte dvoufaktorové ověřování, dostanete několik záložních klíčů pro nouzové použití. S jejich pomocí se můžete přihlásit ke svému účtu, uvolnit nakonfigurovaná zařízení a přidat nová. Uchovávejte tyto klíče na bezpečném místě, ne jako snímek obrazovky na smartphonu nebo jako textový soubor v počítači.

Jak vidíte, použití dvoufaktorové autentizace má určité nuance, ale zdá se, že jsou složité pouze na první pohled. Jaký by měl být ideální poměr ochrany a pohodlí, si každý rozhodne sám. Ale v každém případě jsou všechny potíže více než oprávněné, pokud jde o bezpečnost platebních údajů nebo osobních údajů, které nejsou určeny zvědavým očím.

Kde můžete a měli byste povolit dvoufaktorovou autentizaci a také jaké služby ji podporují, si můžete přečíst.