Zalety i wady różnych metod MFA

Uwierzytelnianie wieloskładnikowe (MFA) zapewnia dodatkową ochronę kont, ale należy pamiętać, że nie wszystkie metody MFA są sobie równe pod względem łatwości użytkowania oraz bezpieczeństwa. W tym artykule na blogu przedstawimy różne rodzaje metod MFA oraz zalety i wady każdej z nich.

MFA oparte na wiadomościach SMS

MFA oparte na wiadomościach SMS umożliwia użytkownikom weryfikację tożsamości za pomocą jednorazowego hasła (OTP) wysyłanego na telefon. Podczas próby zalogowania się na konto użytkownika system wysyła niepowtarzalny kod OTP za pośrednictwem wiadomości tekstowej na powiązany numer telefonu. Następnie użytkownik musi wprowadzić ten kod do interfejsu logowania, aby ukończyć proces uwierzytelniania i uzyskać dostęp do konta.

Zalety

1. Łatwa konfiguracja oraz użytkowanie: użytkownicy potrzebują wyłącznie prawidłowego numeru telefonu.

2. Powszechna dostępność: prawie wszystkie telefony komórkowe (smartfony oraz podstawowe telefony) umożliwiają odbieranie wiadomości SMS.

3. Brak konieczności korzystania ze specjalnego sprzętu: użytkownicy potrzebują wyłącznie telefonu komórkowego umożliwiającego odbieranie wiadomości.

Wady

1. Podatność na przechwycenie karty SIM: atakujący może nakłonić operatora sieci komórkowej użytkownika do przeniesienia numeru telefonu na nową, kontrolowaną kartę SIM. Umożliwia to atakującym przechwytywanie wiadomości SMS, w tym kodów OTP.

2. Podatność na wyłudzanie informacji: atakujący mogą podszywać się pod prawdziwe organizacje za pośrednictwem wiadomości tekstowych, nakłaniając użytkowników do ujawnienia OTP.

3. Mniejsze bezpieczeństwo niż inne metody MFA: wiadomości SMS nie są szyfrowane, co wiąże się z ryzykiem przechwycenia OTP podczas przesyłania.

MFA oparte na poczcie e-mail

MFA oparte na poczcie e-mail umożliwia uwierzytelnianie użytkowników za pomocą kodu lub specjalnego linku wysyłanego na zarejestrowany adres e-mail. Podczas próby zalogowania się na konto użytkownik otrzymuje wiadomość e-mail z kodem OTP lub specjalnym linkiem. Następnie użytkownik musi wprowadzić kod OTP lub kliknąć specjalny link, aby zakończyć proces uwierzytelniania i uzyskać dostępu do konta.

Zalety

1. Łatwość konfiguracji i użytkowania: użytkownicy potrzebują wyłącznie adresu e-mail, który większość już ma.

2. Brak konieczności korzystania z dodatkowych aplikacji lub urządzeń: wystarczy urządzenie z dostępem do konta e-mail, bez względu na to, czy jest to smartfon, tablet lub komputer.

Wady

1. Podatność na naruszenie konta e-mail: jeśli konto e-mail użytkownika zostanie przejęte, atakujący może uzyskać dostęp do OTP i ominąć MFA.

2. Opieranie się na dostępności poczty e-mail: jeśli użytkownik nie ma dostępu do konta e-mail z powodu problemów takich jak niedostępne połączenie internetowe lub awaria usługi, nie będzie mógł zalogować się na konto ze względu na brak możliwości odebrania OTP lub magicznego linku.

Uwierzytelnianie poprzez połączenia głosowe

Uwierzytelnianie poprzez połączenia głosowe umożliwia weryfikację użytkowników za pośrednictwem połączenia głosowego poprzez odebranie kodu OTP na zarejestrowanym numerze telefonu powiązanym z kontem. Podczas próby zalogowania się na konto użytkownik otrzymuje zautomatyzowane połączenie głosowe, w którym system odczytuje niepowtarzalny OTP. Następnie użytkownik wprowadza ten kod do interfejsu logowania, aby zakończyć proces uwierzytelniania i uzyskać dostęp do konta.

Zalety

1. Prosta i dostępna dla użytkowników niekorzystających ze smartfonów: w przeciwieństwie do aplikacji uwierzytelniających lub opartych na wiadomościach SMS nie wymaga posiadania smartfona ani planu transmisji danych. Potrzebny jest tylko podstawowy telefon komórkowy umożliwiający odbieranie połączeń.

2. Działanie bez konieczności połączenia z Internetem: jeśli użytkownik ma dostęp do sieci komórkowej, może odbierać połączenia głosowe z kodem OTP niezależnie od dostępu do Internetu.

Wady

1. Podatność na przechwycenie karty SIM: atakujący może nakłonić operatora sieci komórkowej użytkownika do przeniesienia numeru telefonu na nową, kontrolowaną kartę SIM. Umożliwia to atakującym przechwycenie OTP wysyłanego za pośrednictwem połączenia głosowego.

2. Podatność na fałszowanie i vishing: atakujący mogą fałszować numer telefonu legalnej usługi i przekonać użytkowników, że odbierają połączenie z kodem OTP. Atakujący może następnie zażądać poufnych informacji lub nakłonić użytkownika do wprowadzenia OTP na złośliwej stronie.

3. Ograniczenia związane z uszkodzeniem słuchu: użytkownicy z problemami związanymi ze słuchem mogą nie być w stanie usłyszeć kodu OTP przekazywanego podczas połączenia.

Aplikacje uwierzytelniające

Aplikacje uwierzytelniające to aplikacje, które generują kody OTP na podstawie modelu weryfikacji jednorazowych haseł czasowych (TOTP). Wysokiej jakości menedżery haseł zazwyczaj mają funkcję aplikacji uwierzytelniającej na platformie, która umożliwia użytkownikom zapisywanie kodów oraz dostęp do nich na wszystkich urządzeniach, niezależnie od ich rodzaju.

Podczas konfigurowania MFA za pomocą aplikacji uwierzytelniającej użytkownicy skanują kod QR lub ręcznie wprowadzają tajny klucz. Wykorzystanie tego klucza w aplikacji wykorzystuje algorytm do generowania niepowtarzalnych, zależnych od czasu kodów OTP, które zmieniają się co 30–60 sekund. Podczas próby zalogowania się na konto użytkownik musi wprowadzić kod wyświetlany w aplikacji uwierzytelniającej. Serwer weryfikuje zgodność wprowadzonego kodu z kodem wygenerowanym i jeśli kody się zgadzają, użytkownik otrzymuje dostęp.

Zalety

1. Dostępność offline: generowanie OTP nie wymaga połączenia internetowego – aplikacja wykorzystuje tajny klucz przechowywany na urządzeniu do generowania kodów opartych na czasie.

2. Bezpłatny dostęp: większość aplikacji uwierzytelniających jest bezpłatna do pobrania oraz użytkowania, co sprawia, że jest to bezpieczne, a jednocześnie niedrogie rozwiązanie MFA.

Wady

1. Konieczność posiadania smartfona lub innego dedykowanego urządzenia: użytkownicy muszą mieć dostęp do urządzenia, które obsługuje aplikację.

2. Podatność na ataki związane z aplikacjami: jeśli atakujący uzyska dostęp do urządzenia użytkownika, może przechwycić przechowywane tam tajne klucze, wygenerować OTP i potencjalnie uzyskać nieautoryzowany dostęp do danych.

3. Dla niektórych użytkowników może to być wyzwanie: instalacja aplikacji, skanowanie kodu QR oraz zarządzanie wieloma kontami w aplikacji może być trudna dla mniej zaawansowanych technologicznie użytkowników.

Klucze bezpieczeństwa FIDO2

Klucz bezpieczeństwa FIDO2 to sprzętowa metoda MFA zaprojektowana tak, aby umożliwić bezpieczne logowanie użytkowników do kont bez konieczności wprowadzania hasła ani kodu. To fizyczne urządzenie, które użytkownik łączy z komputerem lub urządzeniem przenośnym, zazwyczaj za pośrednictwem złącza USB, NFC lub Bluetooth. Klucze bezpieczeństwa FIDO2 wykorzystują kryptografię klucza publicznego do tworzenia pary kluczy: klucza publicznego przechowywanego na serwerze oraz klucza prywatnego przechowywanego bezpiecznie na samym kluczu bezpieczeństwa. Podczas próby zalogowania się na konto użytkownik wprowadza klucz bezpieczeństwa FIDO2 po otrzymaniu odpowiedniego powiadomienia i dotyka go, podpisując żądanie uwierzytelnienia kluczem prywatnym w celu potwierdzenia tożsamości.

Zalety

1. Odporność na ataki typu man-in-the-middle: atakujący nie mogą przechwycić danych przesyłanych pomiędzy użytkownikiem a serwerem ze względu na brak klucza prywatnego niezbędnego do przeprowadzenia procesu uwierzytelniania.

2. Odporność na ataki wyłudzające informacje: atakujący nie mogą nakłonić użytkowników do ujawnienia klucza prywatnego lub kodów uwierzytelniających ze względu na kryptografię klucza publicznego oraz fizyczne wymaganie klucza bezpieczeństwa.

3. Odporność na przechwycenie karty SIM: klucze bezpieczeństwa nie są powiązane z numerem telefonu, co eliminuje podatność na przechwycenie karty SIM.

4. Współpraca z różnymi aplikacjami i stronami internetowymi: klucze bezpieczeństwa FIDO2 są powszechnie obsługiwane w przypadku największych przeglądarek, platform oraz urządzeń.

Wady

1. Koszt: klucze bezpieczeństwa FIDO2 mogą kosztować od 20 do 100 USD lub więcej, w zależności od funkcji i marki.

2. Utrata klucza może skutkować blokadą w przypadku braku skonfigurowania metody zapasowej: w przypadku utraty klucza bezpieczeństwa FIDO2 dostęp do konta użytkownika może zostać zablokowany, chyba że będzie on miał dostęp do zapasowej metody uwierzytelniania, takiej jak inny klucz, kod zapasowy lub opcja odzyskiwania.

3. Wymóg posiadania fizycznego urządzenia: użytkownicy muszą zawsze mieć klucz przy sobie na potrzeby uwierzytelniania, co może być niedogodne w przypadku jego zgubienia, zapomnienia lub trudności z dostępem.

Tokeny sprzętowe

Tokeny sprzętowe to fizyczne urządzenia, takie jak breloki lub karty chipowe, wykorzystywane do weryfikacji tożsamości użytkownika poprzez generowanie kodów TOTP. Podczas próby zalogowania się na konto użytkownika system prosi o wprowadzenie OTP wygenerowanego za pomocą tokena sprzętowego. W zależności od rodzaju tokena użytkownik odczytuje kod z ekranu urządzenia lub naciska przycisk, aby wyświetlić kod, który następnie wprowadza do interfejsu logowania. Serwer sprawdza, czy wprowadzony kod jest zgodny z kodem wygenerowanym na podstawie udostępnionego wpisu tajnego i aktualnego czasu. Jeśli kody pasują, użytkownik otrzymuje dostęp.

Zalety

1. Generowanie kodów OTP nawet bez połączenia z Internetem: sprawia to, że jest to idealne rozwiązanie na potrzeby użytkowników w środowiskach, w których połączenie internetowe nie jest dostępne.

2. Łatwość konfiguracji oraz użytkowania: wystarczy połączyć token sprzętowy z kontem użytkownika, a urządzenie jest gotowe do automatycznego generowania kodów OTP bez potrzeby wykonywania dalszych działań.

Wady

1. Koszty: konieczność zakupu fizycznego urządzenia przez użytkowników lub organizację, co może być kosztowne, zwłaszcza w przypadku większych przedsiębiorstw, które muszą zapewnić tokeny dla kilku lub wszystkich użytkowników. Tokeny mogą kosztować od 20 do 100 USD lub więcej.

2. Utrata lub kradzież tokenów: dostęp do kont użytkowników może być niemożliwy do czasu dostarczenia zastępczego tokena, co może być czasochłonne.

3. Wymaga fizycznego urządzenia: użytkownicy muszą nosić tokeny przy sobie, aby uzyskać dostęp do kont, co może być niedogodne w przypadku zgubienia lub zapomnienia tokena.

Uwierzytelnianie biometryczne

Uwierzytelnianie biometryczne to rodzaj metody MFA, która wykorzystuje cechy fizyczne lub behawioralne w celu weryfikacji tożsamości użytkownika. Zamiast tradycyjnych haseł lub kodów OTP, uwierzytelnianie biometryczne wykorzystuje niepowtarzalne cechy każdej osoby. Cechy te mogą obejmować odciski palców, rysy twarzy, wzorce głosu, skanowanie tęczówki lub siatkówki, czy nawet wzorce pisania. Podczas próby zalogowania się użytkownika system rejestruje i analizuje dane biometryczne oraz porównuje je z danymi przechowywanymi podczas początkowej konfiguracji w celu weryfikacji tożsamości.

Zalety

1. Szybkie rozwiązanie, łatwe w użyciu i wymagające minimalnej konfiguracji: początkowa konfiguracja wymaga zeskanowania odcisku palca, obrazu twarzy lub innej cechy biometrycznej użytkownika. Po skonfigurowaniu uwierzytelnianie nie wymaga nic więcej niż spojrzenia lub dotyku.

2. Niepowtarzalność każdego użytkownika: cechy biometryczne są trudne do odtworzenia, a prawdopodobieństwo wystąpienia takich samych odcisków palców, rysów twarzy lub wzorca siatkówki dwóch osób jest niezwykle niskie.

Wady

1. Może nie działać skutecznie w określonych okolicznościach: na przykład jeśli palec użytkownika jest brudny lub zraniony, system może mieć trudności z poprawnym odczytaniem odcisku palca. Podobnie w przypadku noszenia okularów, masek lub nakryć głowy, system może nieprawidłowo rozpoznać twarz.

2. Obawy dotyczące prywatności oraz niewłaściwego wykorzystania danych biometrycznych: przechowywanie lub dostęp do danych biometrycznych w niezabezpieczony sposób może narazić je na kradzież lub niewłaściwe wykorzystanie.

3. Ryzyko wystąpienia fałszywie pozytywnych wyników: na przykład bliźniaki lub osoby o podobnym wyglądzie z podobnymi cechami twarzy mogą wywołać fałszywie pozytywne wyniki.

Powiadomienia push

Powiadomienia push umożliwiają użytkownikom weryfikację tożsamości poprzez odbieranie powiadomienia na urządzeniu przenośnym. Zamiast wprowadzania kodu OTP podczas próby zalogowania się użytkownik otrzymuje powiadomienie push z prośbą o zatwierdzenie lub odrzucenie próby logowania. Wybranie opcji „Zatwierdź” potwierdza tożsamość użytkownika oraz to, że to on inicjuje logowanie bez konieczności ręcznego wprowadzania kodu.

Zalety

1. Szybki proces zatwierdzania: w przeciwieństwie do metod OTP, które wymagają wprowadzenia kodu i oczekiwania na wiadomość tekstową, proces zatwierdzania poprzez powiadomienia push jest natychmiastowy.

2. Bezpieczniejsze niż wiadomości SMS: powiadomienia push są dostarczane za pośrednictwem szyfrowanego połączenia z serwerem, co zmniejsza ich podatność na przechwycenie.

Wady

1. Wymaga smartfona lub urządzenia do odbierania powiadomień push: urządzenie obsługujące powiadomienia jest wymagane do ukończenia procesu uwierzytelniania.

2. Może nie być skuteczna w przypadku zgubienia, kradzieży, braku połączenia z Internetem lub przełączenia telefonu w tryb samolotowy: Jeśli użytkownik nie ma swojego smartfona lub znajduje się w sytuacji, w której urządzenie jest niedostępne, nie może uzyskać dostępu do swoich kont.

Co należy wziąć pod uwagę przy wyborze metody MFA

Przy wyborze metody MFA warto wziąć pod uwagę kilka czynników, aby upewnić się, że wybrane rozwiązanie spełnia określone wymagania. Czynniki te obejmują potrzeby związane z bezpieczeństwem, wygodę oraz koszt wdrożenia.

• Potrzeby związane z bezpieczeństwem: potrzebny poziom bezpieczeństwa zależy od poufności chronionych informacji. W przypadku wysoce poufnych danych najlepiej wybrać rozwiązanie MFA, które zapewnia najwyższy poziom ochrony. Rozwiązania takie jak biometria, tokeny sprzętowe lub klucze bezpieczeństwa FIDO2 są uznawane za najsilniejsze formy MFA ze względu na ich odporność na typowe cyberzagrożenia.
• Wygoda użytkowania: określ, czy preferujesz łatwy dostęp, czy najwyższy poziom bezpieczeństwa. Należy zapewnić równowagę pomiędzy prostotą a bezpieczeństwem, aby zapewnić łatwość korzystania z rozwiązania przy jednoczesnej ochronie poufnych informacji. Jeśli wygoda jest priorytetem, idealną opcją są rozwiązania takie jak biometria lub powiadomienia push, ponieważ zapewniają szybkie i płynne uwierzytelnianie.
• Koszt: należy ocenić zarówno początkowy koszt wdrożenia, jak i koszty bieżącej ekspolatacji. Niektóre rozwiązania MFA są niedrogie, na przykład uwierzytelnianie oparte na wiadomościach SMS, podczas gdy inne, na przykład tokeny sprzętowe lub klucze bezpieczeństwa FIDO2, bywają droższe we wdrażaniu i utrzymywaniu.

Chroń konta przy użyciu bezpiecznych metod MFA

Znajomość zalet i wad różnych metod ma kluczowe znaczenie podczas wybierania odpowiedniego rozwiązania MFA. Niezależnie od wybranej metody należy zawsze włączyć MFA dla każdego konta, które to umożliwia. Dowolna opcja MFA jest znacznie bezpieczniejsza niż jej brak.

Keeper Password Manager umożliwia bezpieczne przechowywanie, udostępnianie oraz dostęp do kodów TOTP z możliwością ich automatycznego wypełniania. Umożliwia to wszystkim użytkownikom w organizacji korzystanie z silnych haseł oraz włączenie MFA dla każdego konta.

Rozpocznij korzystanie z bezpłatnej 14-dniowej wersji próbnej Keeper Password Manager, aby zwiększyć bezpieczeństwo konta.