Jak uniknąć zagłady dzięki uwierzytelnianiu wieloskładnikowemu
Niedawno wraz z rodziną wprowadziliśmy zwyczaj cotygodniowych kolacji filmowych, polegający na tym, że potrawy serwowane podczas kolacji współgrają z postaciami lub tematyką danego filmu. Jest to dla nas sposób na odliczanie czasu do zbliżającej się wycieczki rodzinnej, ale mam nadzieję, że również po niej uda się nam kontynuować ten zwyczaj. Uwielbiam te emocje, gdy dzieci wybierają kopertę, a wszyscy patrzą w oczekiwaniu na tytuł filmu, który obejrzymy w danym tygodniu — a rodzice również w oczekiwaniu na rodzaj jedzenia, które będą musieli przygotować w nadchodzących dniach. Wspaniałe są małe rodzinne tradycje… ale już mówię, jaki to wszystko ma związek z zabezpieczeniami.
W ubiegłym tygodniu jedno z dzieci wylosowało kopertę z filmem „Jurassic World: Dominion”. Myślami szybko pobiegłam do menu, które muszę przygotować na nadchodzący wieczór (serowe pazury welociraptora, nuggetsy w kształcie dinozaurów, może kilka skrzydełek pterodaktyla), ale wyobraźcie sobie moje wielkie zdziwienie, gdy po rozpoczęciu seansu okazało się, że mogę przeprowadzić wartościową cyberpogadankę z dziećmi, które podobnie jak wielu innych uczniów szkół podstawowych coraz częściej korzystają z nowoczesnych technologii.
Co to jest uwierzytelnianie wieloskładnikowe?
Jurassic World: Dominion i zabezpieczenia? Jak najbardziej. Ucieczki dinozaurów z ogrodzonych wybiegów to nieodłączny element filmów z cyklu Jurassic Park, ale nie o tego rodzaju zabezpieczenia mi chodzi. Mam nadzieję, że nie zdradzę zbytnio treści filmu, jeśli wspomnę o scenie, w której Ian Malcolm potajemnie przekazuje swoją super nowoczesną bransoletkę identyfikacyjną (czyli identyfikator noszony na nadgarstku — osoby, które niedawno odwiedziły Disney World, mogą kojarzyć opaskę Magic Band) dr Ellie Sattler. Dzięki tej bransoletce Ellie i dr Alan Grant wchodzą do zastrzeżonej strefy laboratorium, gdzie kradną kod DNA, co prowadzi do ciągu przerażających i szalenie emocjonujących przygód, z których znane są filmy z serii Jurassic Park.
Chodzi o to, że wystarczyła bransoletka identyfikacyjna, aby uzyskać dostęp do części laboratorium zamkniętej dla odwiedzających. Po przyłożeniu bransoletki do czytnika bohaterowie nie musieli nawet wprowadzić odcisku palca ani kodu. (Tymczasem nawet w Disney World po użyciu opaski Magic Band trzeba wprowadzić odcisk palca!) Dzięki temu weszli na zastrzeżony teren i ukradli mienie należące do Biosyn.
W świecie cyberzabezpieczeń taką sytuację nazywamy brakiem uwierzytelniania wieloskładnikowego (lub weryfikacji dwuetapowej), które określa się też akronimem MFA od angielskiej nazwy tego rodzaju uwierzytelniania: multi-factor authentication. Kiedy wymagany jest tylko jeden typ identyfikacji — w tym przypadku bransoletka identyfikacyjna — utrata tego jednego zabezpieczenia naraża chronione zasoby na niebezpieczeństwo. Jeśli dodamy drugi (lub także trzeci, czwarty itd.) rodzaj identyfikacji — na przykład PIN, skan siatkówki czy nawet odpowiedź na pytanie — uzyskujemy uwierzytelnianie wieloskładnikowe i utrata jednego zabezpieczenia nie powoduje już tak dużego zagrożenia.
Jak działa uwierzytelnianie wieloskładnikowe?
Wielu z nas już korzysta z uwierzytelniania wieloskładnikowego na co dzień, nawet o tym nie wiedząc. Kiedy na przykład logujemy się do systemu bankowości mobilnej, najczęściej wprowadzamy identyfikator użytkownika (lub numer rachunku) i hasło (lub PIN). Jeśli jednak system wyświetla monit, bo nie rozpoznaje naszego urządzenia, jest to forma uwierzytelniania wieloskładnikowego. Zarejestrowane urządzenie, na przykład telefon lub komputer, w tym przypadku stanowi drugą metodę uwierzytelniania.
Uwierzytelnianie wieloskładnikowe to warstwowa metoda zabezpieczania danych lub aplikacji, w której do zweryfikowania tożsamości użytkownika wymagane jest przedstawienie dwóch typów danych uwierzytelniających (poświadczeń). Poświadczenia te należą do jednej z trzech kategorii:
- Coś, co znasz — na przykład hasło lub odpowiedź na osobiste pytanie zabezpieczające
- Coś, co masz — na przykład urządzenie fizyczne, token sprzętowy, identyfikator fizyczny lub reakcja w aplikacji na telefonie komórkowym
- Coś, co stanowi część Ciebie — na przykład odcisk palca lub skan siatkówki
W przypadku bankowości mobilnej zarejestrowane urządzenie należy do kategorii „coś, co masz”.
Trzeba jednak pamiętać, że samo połączenie dwóch lub większej liczby etapów weryfikacji nie jest jeszcze uwierzytelnianiem wieloskładnikowym. Etapy te muszą należeć do różnych kategorii. Dlatego na przykład wprowadzenia hasła i udzielenia odpowiedzi na pytanie zabezpieczające raczej nie można uznać za uwierzytelnianie wieloskładnikowe, ponieważ obie te czynności należą do kategorii „coś, co znasz”. Wprowadzenie hasła, a następnie — po wyświetleniu stosownego monitu — wpisanie unikatowego kodu podanego w aplikacji, bez wątpienia można uznać za uwierzytelnianie wieloskładnikowe, ponieważ wspomniane czynności należą do kategorii odpowiednio „coś, co znasz” i „coś, co masz”.
Typy uwierzytelniania wieloskładnikowego
Chociaż istnieje wiele typów uwierzytelniania wieloskładnikowego, najczęstsze z nich polegają na dodaniu do hasła lub PIN-u konta jednego z następujących składników:
- Powiadomienie push za pośrednictwem uznanej aplikacji uwierzytelniającej
- Hasło jednorazowe (unikatowy kod wyświetlony w celu jednorazowego użycia i dostępny wyłącznie za pośrednictwem metody komunikacji ściśle związanej z danym użytkownikiem, takiej jak konto e-mail, wiadomość SMS wysłana na telefon lub za pośrednictwem aplikacji mobilnej)
- Token uwierzytelniania dwuskładnikowego (token fizyczny, który użytkownik podłącza do gniazda lub z którego odczytuje kod)
- Dane biometryczne (takie jak odcisk palca, weryfikacja twarzy lub skan siatkówki)
Dlaczego to takie ważne? Gdyby w laboratorium Biosyn po użyciu fizycznego identyfikatora była wymagana weryfikacja twarzy, Ellie i Alan nie weszliby do jego zastrzeżonej strefy. Jeśli cyberprzestępca ukradnie naszą nazwę użytkownika i hasło, nie włamie się do systemu, w którym dodatkowo będzie musiał wprowadzić jednorazowy kod wysłany na nasz telefon komórkowy.
Powtarzalność MFA to podstawa
Obecnie MFA jest dostępne w wielu systemach. Na początku dodatkowy krok w procesie uwierzytelniania bywa wyraźnie odczuwalny, jednak im częściej korzystamy z uwierzytelniania wieloskładnikowego, tym bardziej wzmacniamy pamięć mięśniową i tym mniej zauważamy tę dodatkową czynność. Od tego drobnego kroku wprowadzającego dodatkową metodę weryfikacji może zależeć, czy paleontolodzy wejdą do naszego sekretnego laboratorium z owadami czy zostaną powstrzymani przy wejściu. Oczywiście w filmie Jurassic World: Dominion to, że laboratorium nie korzystało z MFA, zadziałało na korzyść pozytywnych bohaterów. Ale nie warto odwracać sytuacji i ułatwiać życia cyberprzestępcom, nie aktywując tej funkcji w systemach, z których korzystamy.
MFA to jedna z podstawowych metod zabezpieczeń
Uwierzytelnianie wieloskładnikowe może się wydawać trudne, ale — podobnie jak w przypadku bankowości internetowej — gdy zaczniemy z niego korzystać w naszym cyfrowym świecie, szybko stanie się jego normalną częścią oraz jednym z najprostszych i najbardziej podstawowych sposobów na zwiększenie bezpieczeństwa cyfrowego. Warto pamiętać: dbanie o bezpieczeństwo online jest łatwe… trzeba tylko poznać i wdrożyć pewne podstawowe kroki.
Jeśli ktoś zechce ze swoją rodziną wprowadzić zwyczaj kolacji filmowych (zdecydowanie polecam i mogę się podzielić wieloma pomysłami na potrawy tematyczne), proponuję zacząć od filmu Jurassic World: Dominion i pogadanki na temat tego, czym jest uwierzytelnianie wieloskładnikowe oraz jak uniemożliwia ono cyberprzestępcom podszycie się pod inną osobę. Jakie filmy Waszym zdaniem powinniśmy dopisać do naszego grafiku? Czy są takie, na podstawie których można w gronie rodziny porozmawiać o cyberbezpieczeństwie?
