Čo je to dvoj- a viacfaktorová autentifikácia a prečo je vhodná?

Správ­na iden­ti­fi­ká­cia oso­by vy­uží­va­jú­cej po­čí­ta­čo­vej služ­by je dô­le­ži­tá z jed­no­du­ché­ho dô­vo­du: iden­ti­fi­ku­je zod­po­ved­nosť oso­by. Ak poz­ná­te v po­čí­ta­čo­vom sys­té­me mo­je pou­ží­va­teľ­ské me­no, spus­te­ním audi­tu po­ľah­ky zis­tí­te, čo na ňom ro­bím, a na zá­kla­de ne­ho ma mož­no brať na zod­po­ved­nosť za mo­je či­ny. Na dru­hej stra­ne, ak ste kri­mi­nál­nik s dos­tat­kom in­for­má­cií, aby ste sa na cit­li­vom in­for­mač­nom sys­té­me do­ká­za­li vy­dá­vať za mňa, ško­diť mô­že­te do­ne­ko­neč­na: od krad­nu­tia a ni­če­nia dát až po pá­chanie naj­rôz­nej­ších pod­vo­dov.

O čo ide?

Naj­zák­lad­nej­ší prík­lad iden­ti­fi­ká­to­ra je va­še pou­ží­va­teľ­ské me­no či me­no úč­tu - ním po­vie­te po­čí­ta­čo­vé­mu sys­té­mu, kto ste. No ne­po­vie, či za kon­tom je tá sku­toč­ná oso­ba.

Vo väč­ši­ne prí­pa­dov vám však sys­tém neu­mož­ní uro­biť čo­koľ­vek, kým ne­do­ká­že­te, že vy ste tá oso­ba, kto­rá je auto­ri­zo­va­ná. Vlas­tne čas­to vám ani neu­mož­ní pou­ží­vať po­čí­tač, kým mu ne­do­ká­že­te, kto ste, a ne­potvr­dí­te svo­ju iden­ti­tu za­da­ním hes­la.

Auten­ti­fi­ká­cia

Kom­bi­ná­cia pou­ží­va­teľ­ské­ho me­na a hes­la je je­den z prík­la­dov za­bez­pe­če­nia, kto­ré sa na­zý­va auten­ti­fi­ká­cia. Ľudia ma­jú hes­lá, resp. ce­lé frá­zy či PIN čís­la, kto­rý­mi do­ka­zu­jú, že ma­jú op­ráv­ne­nie vy­uží­vať nie­čo, na čo je ob­me­dzo­va­ný prís­tup: nap­rík­lad do ob­me­dze­nej ob­las­ti po­čí­ta­čo­vé­ho sys­té­mu ale­bo do inter­ne­to­vej služ­by, ako je e-mail či za­šif­ro­va­ný do­ku­ment.

Z hľa­dis­ka preh­ľad­nos­ti sú tý­mi­to iden­ti­fi­ká­tor­mi čas­to sa­mot­né me­ná dr­ži­te­ľa kon­ta, a pre­to sa da­jú aj po­ľah­ky zis­tiť. Nie­ke­dy ani net­re­ba há­dať: nap­rík­lad v e-mai­le je hneď jas­né, s kým ko­mu­ni­ku­jem.

Tak­že na jed­nej stra­ne sa mu­sím do sys­té­mu prih­lá­siť, aby ve­del, do kto­ré­ho e-mai­lo­vé­ho kon­ta chcem vstú­piť, na dru­hej stra­ne sa mu­sím auten­ti­fi­ko­vať, čím vlas­tne do­ká­žem, že ja som tá oso­ba s prá­vom prís­tu­pu do schrán­ky. A opäť pre služ­by e-mai­lu je naj­čas­tej­ším auten­ti­fi­ká­to­rom hes­lo.

Auten­ti­fi­kač­né fak­to­ry

Auten­ti­fi­kač­ný fak­tor je pro­ces, resp. in­for­má­cia, kto­rá sa vy­uží­va na ve­ri­fi­ko­va­nie iden­ti­ty jed­not­liv­ca a potvr­de­nie to­ho, či má prá­vo na prís­tup k sys­té­mu. Exis­tu­jú tri hlav­né trie­dy auten­ti­fi­kač­ných fak­to­rov:

  • Ve­do­mos­tné, resp. osob­né fak­to­ry sú nie­čo, čo viem, ako hes­lo či hes­lo­vá frá­za, kom­bi­ná­cia do tre­zo­ra, PIN pre smar­tfón ale­bo pla­tob­nú kar­tu, správ­ne od­po­ve­de na „bez­peč­nos­tné otáz­ky" a po­dob­ne.
  • Vlas­tné, resp. ľud­ské fak­to­ry sú zas ta­ké, kto­ré sú nie­čím, čím som. Do tej­to sku­pi­ny pat­rí nap­rík­lad bio­me­tria, napr. od­tlač­ky pr­stov, siet­ni­ca či dú­hov­ka ale­bo al­go­rit­my, kto­ré me­ra­jú cha­rak­te­ris­ti­ky sprá­va­nia, ako je ryt­mus pí­sa­nia či hlas.
  • Vlas­tne­ným, resp. tech­nic­kým fak­to­rom je to, čo vlas­tním. Ide o fy­zic­ké kľú­če, iden­ti­fi­kač­né kar­ty ale­bo ko­mu­ni­kač­né za­ria­de­nia, ako sú nap­rík­lad har­dvé­ro­vé to­ke­ny.

Spô­so­by auten­ti­fi­ká­cie

Čip a PIN: Vša­de, kde sa pou­ží­va viac ako je­den auten­ti­fi­kač­ný fak­tor, ide o dvoj-, troj- ale­bo viac­fak­to­ro­vú auten­ti­fi­ká­ciu.

Prík­lad: Či­po­vá a pi­no­vá kar­ta je už sa­moz­rej­mosť v mno­hých kra­ji­nách a vy­ža­du­je si na jed­nej stra­ne prí­tom­nosť či­pu a zna­losť PIN-u k ne­mu pri­ra­de­né­ho, ide te­da o dvoj­fak­to­ro­vú auten­ti­fi­ká­ciu.

Har­dvé­ro­vý to­ken: Je­den typ auten­ti­fi­ká­cie har­dvé­rom sa us­ku­toč­ňu­je sa­mos­tat­ným za­ria­de­ním ko­mu­ni­ku­jú­cim so server­om a ge­ne­ru­jú­cim to­ken, kto­rý vám dá prís­tup k služ­be. Oby­čaj­ne je tým­to to­ke­nom PIN ale­bo krát­ky al­fa­nu­me­ric­ký re­ťa­zec.

Za­ria­de­nie je chrá­ne­né PIN-om, resp. bio­me­triou, nap­rík­lad od­tlač­kom prs­ta. Pre­to to mož­no ozna­čiť ako mul­ti­fak­to­ro­vú ochra­nu: Mu­sím ve­dieť PIN ale­bo byť iden­ti­fi­ko­va­ný bio­met­ric­ky a zá­ro­veň „vlas­tniť" to­to za­ria­de­nie. Ke­by doš­lo k stra­te ale­bo od­cu­dzeniu za­ria­de­nia, je tu stu­peň ochra­ny.

Sof­tvé­ro­vý to­ken: Ge­ne­ro­va­nie to­ke­nov har­dvé­rom je čas­to za­bu­do­va­né do sof­tvé­ru a mô­že sa vy­užiť na mul­ti­fun­kčných za­ria­de­niach ako smar­tfó­ny či tab­le­ty. Ten­to prís­tup k to­ke­nom po­nú­ka ďal­šiu vrstvu ochra­ny, keď­že to­to za­ria­de­nie by ma­lo byť chrá­ne­né hes­lom, PIN-om či inou for­mou auten­ti­fi­ká­cie. Po­tom sa vy­ge­ne­ru­je to­ken - hes­lo na jed­no pou­ži­tie, kto­ré nám nap­rík­lad umož­ní prís­tup k da­nej služ­be.

Kaž­dý je­den z tých­to fak­to­rov má svo­je sil­né aj sla­bé strán­ky. V prí­pa­de hes­lo­vej frá­zy je naj­väč­ším ri­zi­kom, že ju niek­to uhád­ne, za­chy­tí (nap­rík­lad od­chy­te­ním ne­za­šif­ro­va­né­ho pre­no­su či ob­ja­ve­ním do­ku­men­tu, kde je na­pí­sa­né, ale­bo ak je nev­hod­ne zdie­ľa­ná jej vlas­tní­kom, nap­rík­lad pri úto­koch, kde sa vy­uží­va­jú tech­ni­ky so­ciál­ne­ho in­ži­nier­stva). A sa­moz­rej­me, ak tre­tia stra­na flá­ka ochra­nu úda­jov a dát - a keď je server na­bú­ra­ný, je na­ko­niec jed­no, aké sil­né hes­lo má­te, keď sa ob­ja­ví na strán­ke, kde hac­ke­ri pí­šu o svo­jich úlov­koch.

Smut­ný fakt je, že sta­tic­ké hes­lá sú sí­ce lac­né, no kon­cep­čne ne­dos­ta­toč­né rie­še­nie na zlo­ži­tý prob­lém, obzvlášť ak ich prá­ve ne­chrá­nia ďal­šie dopl­nko­vé tech­ni­ky. Me­dzi ne pat­rí nap­rík­lad ochra­na pred sta­rý­mi hes­la­mi (vte­dy, keď si od vás ad­mi­nis­trá­tor pre bez­peč­nosť vy­ža­du­je po is­tom ča­se zme­nu hes­la), prí­pad­ne mô­že­te hes­lo zle za­dať iba nie­koľ­kok­rát. Hes­lá a to­ke­ny na jed­no pou­ži­tie sú však ove­ľa bez­peč­nej­šie rie­še­nie.

Pri za­is­ťo­va­ní vy­ššej bez­peč­nos­ti nes­pia ani pos­ky­to­va­te­lia on-li­ne slu­žieb - nap­rík­lad so­ciál­nych sie­tí.

Mno­hí dvoj­fak­to­ro­vú auten­ti­fi­ká­ciu poz­na­jú z ban­ky - za­dá­te dru­hý vstup­ný kód zo špe­cia­li­zo­va­nej ap­li­ká­cie, kar­ty či SMS sprá­vy, sa­moz­rej­me, v kom­bi­ná­cii s pou­ži­tím kla­sic­ké­ho hes­la. Pre una­ve­ných pou­ží­va­te­ľov po­čí­ta­čov a mo­bil­ných za­ria­de­ní je to pos­led­ná vec, kto­rá by im sprí­jem­ni­la ži­vot - veď len za­pa­mä­tať si všet­ky tie hes­lá vô­bec nie je ľah­ké. Na dru­hej stra­ne rad­šej sa pos­ta­rať o za­bez­pe­če­nie ako nes­kôr ľu­to­vať.

Twit­ter, Goog­le, Lin­ke­dIn a Drop­box te­raz tú­to auten­ti­fi­ká­ciu po­nú­ka­jú ako extra bez­peč­nost­ný prí­da­vok. Buď ide o SMS, ale­bo ap­li­ká­ciu ge­ne­ru­jú­cu kó­dy. Fun­gu­je to tak, že po za­da­ní hes­la eš­te pri­dá­te ďal­ší kód. Tie­to služ­by čas­to bý­va­jú bez pop­lat­ku, ale mu­sí­te si ich sa­mi spus­tiť. Väč­ši­nou ich náj­de­te v sek­ciách Bez­peč­nosť ale­bo Súk­ro­mie. Obzvlášť vhod­né je tú­to pri­da­nú bez­peč­nosť ak­ti­vo­vať, ak má­te v clou­de cit­li­vé súk­rom­né dá­ta. S dvoj­fak­to­ro­vou auten­ti­fi­ká­ciou je ove­ľa zlo­ži­tej­šie sa k va­šim ve­ciam dos­tať, ho­ci to nie je úpl­ne ne­mož­né, naj­mä pre so­fis­ti­ko­va­ných ky­berkri­mi­nál­ni­kov ale­bo mal­vér. Nap­rík­lad ta­ký Hes­per­bot lá­kal in­fi­ko­va­ných pou­ží­va­te­ľov stiah­nuť si fa­loš­nú ap­li­ká­ciu na­mies­to tej reál­nej. Fak­tom však je, že s po­dob­nou ochra­nou ste pre ky­berkri­mi­nál­ni­kov me­nej za­ují­ma­ví.

Pod­čiarknu­té a zrá­ta­né, dvoj­fak­to­ro­vá auten­ti­fi­ká­cia sa vy­pla­tí. Mno­hé zo zná­mych na­bú­ra­ní by sa zrej­me nes­ta­li, ke­by sa ta­ká auten­ti­fi­ká­cia vy­uží­va­la.

Da­vid Harley a Rob Waugh, ESET WeLi­ve­Se­cu­ri­ty.com



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Roz­ho­vor: Pre zá­kaz­ní­ka je kľú­čo­vé, keď server­ov­é rie­še­nia do­ká­žu rásť spo­lu s ním a s je­ho ak­tuál­ny­mi po­žia­dav­ka­mi
ĽUBOŠ ŠENKERY pôsobí od decembra 2007 ako produktový manažér pre oblasť štandardných serverov v spoločnosti HP. Venuje sa projektom predaja serverov HP ProLiant na slovenskom trhu. čítať »
 
Ná­kup tech­no­ló­gií v pod­ni­koch
V priebehu augusta 2014 uskutočnila redakcia Infoware v spolupráci so spoločnosťou GRENKELEASING, s.r.o., prieskum o nákupe technológií v podnikoch. čítať »
 
Re­por­táž: VMware vFO­RUM 2014
Softvérovo definovaný podnik, investičné a technologické stratégie, ako si môžu firmy udržiavať konkurencieschopnosť v ére mobilných riešení a cloudu, zotavenie po havárii komponentov IT infraštruktúry... To boli len niektoré z tém podujatia VMware vFORUM 2014, ktoré sa konalo v Prahe. čítať »
 
Tla­čo­vé za­ria­de­nia pre ma­lé, stred­né a veľ­ké fir­my
Zariadenia pre tlač dokumentov v podnikovom prostredí ako aj procesy ich využívania sa priebežne optimalizujú. čítať »
 
Ana­lý­za tr­hu – tla­čiar­ne, ko­pír­ky a mul­ti­fun­kčné za­ria­de­nia
Digitalizácia dokumentov a procesov s nimi súvisiacich spôsobila revolúciu v ukladaní, zdieľaní a výmene dokumentov. čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky IT?
Riešenia v oblaku priniesli viac jasna. Kým v minulosti bolo vyhodnocovanie celkových nákladov na vlastníctvo informačných technológií zložitým porovnávaním množstva položiek, cloud vyhodnocovanie viacerých možností jednoznačne zjednodušuje. čítať »
 
TCO vs. ROI ale­bo Je pre­vádz­ka IT iba nák­la­do­vá po­lož­ka?
Prevádzka IT sa typicky považuje za nákladovú položku. Je to však skutočne tak? Sú náklady jediné kritérium, podľa ktorého vieme rozhodnúť, ktorý model, služba, systém, riešenie je lepšie? čítať »
 
Da­ta­cen­ter Cla­ri­ty LC – tran­spa­ren­tnosť infra­štruk­tú­ry dá­to­vých cen-tier
Spoločnosť Siemens rozšírila portfólio pre dátové centrá o riešenie Datacenter Clarity LC. Ide o systém DCIM (Data Center Infrastructure Management), ktorý umožňuje prepojenie IT manažmentu s facility manažmentom. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter