Uchwyty montażowe – rodzaje i zastosowanie
9 lutego, 2022
Opaski dla pacjentów i drukarki opasek identyfikacyjnych – jakie powinny spełniać wymagania?
18 lutego, 2022
Pokaż wszystko

Na czym polega uwierzytelnienie wieloskładnikowe (MFA)?

Logowanie biometryczne MFA

Uwierzytelnianie wieloskładnikowe (MFA) to stosunkowo prosta metoda na poprawę poziomu bezpieczeństwa sieci i ograniczenie ryzyka cybernetycznych ataków. Jak w praktyce działa MFA i jakie rozwiązanie będzie najkorzystniejsze dla firmy?

Czym jest uwierzytelnianie wieloskładnikowe (MFA)?

Bez wpisania poprawnego loginu i hasła nie będziemy mogli zrobić przelewu w aplikacji bankowej, kupić produktu w e-sklepie czy sprawdzić postępów w nauce dziecka w e-dzienniku. Aby uzyskać dostęp do większości usług i urządzeń, musimy znać szereg ciągów znaków, nazw użytkowników, haseł czy pinów.
Zazwyczaj, aby dostać się do strzeżonych zasobów, wystarczy podać tylko jeden zestaw danych: login i odpowiednie hasło. Coraz częściej systemy wymagają od nas dodatkowego działania np. potwierdzenia w aplikacji mobilnej, wpisania hasła jednorazowego z poczty e-mail czy odcisku palca. Gdy tych czynników weryfikacyjnych pojawia się więcej niż dwa, wówczas mówimy o tzw. uwierzytelnieniu wieloskładnikowym/wieloczynnikowym MFA.

Uwierzytelnianie wieloskładnikowe (ang. Multi-Factor Authentication – MFA) to metoda uwierzytelniania, w której użytkownik, aby dostać się do strzeżonych zasobów (np. aplikacji mobilnej, konta online lub sieci VPN) musi zweryfikować się na co najmniej dwa różne sposoby. Samo podanie hasła nie wystarczy. W przypadku bardzo zaawansowanych systemów tych elementów weryfikacji może być znacznie więcej. MFA różni się w tym zakresie od weryfikacji dwuetapowej (2FA), która stosuje w autoryzacji jedynie dwa czynniki pochodzące z różnych kategorii.

Istotą metody MFA jest wykorzystanie przy uwierzytelnieniu jednej z trzech rodzajów dodatkowych informacji. Można je rozpisać na poniższym schemacie:

  • “coś, co znasz” – informacja, którą posiadasz np. hasło, PIN lub wysłany SMS-em do użytkownika kod (co raz rzadziej stosowane);
  • “coś, co masz” – obiekt fizyczny, który jest w twoim posiadaniu w postaci np. tokenu, czy smartfona, którego aplikację można użyć do uwierzytelniania,
  • „coś, czym jesteś”, czyli dane biometryczne – skan siatkówki oka, system rozpoznawania twarzy (Face ID) czy głosu lub najczęściej odcisk palca stosowany do odblokowywania ekranu smartfona.

Dlaczego firmy stosują MFA?

Ataki hakerów z wykorzystaniem oprogramowania ransomware m.in. popularny Golden Ticket >> zdarzają się coraz częściej. Rezultatem włamania do systemu i przejęcia przez hakera uprawnień Enterprise Admin, jest całkowity paraliż przedsiębiorstwa, duże straty finansowe i wizerunkowe firmy. Stosowanie uwierzytelniania wieloskładnikowego jest jednym ze sposobów na zmniejszenie ryzyka wystąpienia tego typu zagrożenia.

MFA stanowi dodatkowe zabezpieczenie kont użytkowników. Daje niemal 99% pewności, że każdy, kto uzyskuje dostęp do informacji firmy i loguje się do jej systemów, jest naprawdę tym, za kogo się podaje. W ten sposób w dużym stopniu minimalizujemy ryzyko włamania niepowołanych osób do uprzywilejowanych kont.

Przykład?

Wyobraź sobie, że jeden z twoich pracowników ma dostęp do poufnych danych, które absolutnie nie powinny “wydostać się” na zewnątrz. W niejasnych okolicznościach hasło i login do konta pracownika dostają się w ręce osoby do tego niepowołanej. W przypadku gdy w firmie nie ma wdrożonego uwierzytelnienia wieloskładnikowego, osoba ta może bez problemu zalogować na konto i pobrać wrażliwe dane.
A gdyby w firmie zostało wdrożone MFA? Ryzyko włamania na konto zabezpieczone uwierzytelnieniem MFA byłoby zredukowane do minimum. Przestępca oprócz hasła i loginu musiałbym mieć również np. token i/lub odcisk palca pracownika. O ile haker nie pochodzi z yakuzy i nie specjalizuje się w odcinaniu fragmentów ciała, to nie uzyska dostępu do uprzywilejowanego konta.


Współczesne rozwiązania MFA gwarantują wysoki stopień ochrony zasobów firmy przed atakami zdalnymi i zapewnie wysoki poziom kontroli dostępu do sieci >>. Oczywiście nigdy nie jesteśmy w stanie w 100% wyeliminować zagrożenia, jednak wdrożenie wieloskładnikowej autoryzacji może udaremnić wiele prób i ochronić przedsiębiorstwo od kosztów związanych z postawieniem systemów informatycznych i produkcyjnych na nowo.

MFA może być stosowane przy logowaniu do konta bankowego.

Rodzaje uwierzytelnienia MFA

W jakie sposób użytkownicy mogą weryfikować swoją tożsamość? Do najpopularniejszych technologii stosowanych do uwierzytelnienia MFA należą:

1. Uwierzytelnianie za pomocą SMS

SMS do niedawna był jednym z najpopularniejszych i najczęściej stosowanych sposobów uwierzytelnienia. Zazwyczaj system wysyłał hasło jednorazowe OTP (ang. one-time password) w wiadomości tekstowej.

2. Powiadomienia Push

Dostarczają podobnie jak SMS-y kod jednorazowy w celu weryfikacji użytkownika. Powiadomienia Push, w odróżnieniu od SMS-ów, pojawiają się na ekranie blokady telefonu.

3. Uwierzytelnianie hasłem w e-mail

W przypadku tej metody jednorazowe hasło wysyłane jest na adres mailowy użytkownika. Tego typu rozwiązanie jest mniej bezpieczne, ponieważ dostęp do hasła można uzyskać praktycznie z każdej platformy. Może z niego skorzystać haker, który zdobył namiary do poczty e-mail pracownika.

4. Uwierzytelnianie przez telefon

Wykonywane jest połączenie na numer użytkownika, który zawiera generowane losowo OTP podawane przez automatyczne połączenie telefoniczne, najczęściej pocztę głosową

5. Uwierzytelnianie tokenem sprzętowym

W tym przypadku do uwierzytelnienia wykorzystywane jest specjalny token sprzętowy. To zazwyczaj niewielkie urządzenia, które użytkownik nosi przy sobie i służy do autoryzacji. W tokenie generowane jest losowo hasło, które każdorazowo należy wpisywać podczas logowania. Tokeny sprzętowe bardzo często stosowane są w usługach bankowych, ubezpieczeniowych i inwestycyjnych.

6. Soft token, czyli token aplikacyjny

Popularne staje się również uwierzytelnianie, które wykorzystuje aplikacje znajdujące się np. w telefonie. Przykładami tego typu rozwiązań są m.in. Google Authenticator, Okta i PingOne.

7. Uwierzytelnianie biometryczne

Uwierzytelnianie biometryczne to najbardziej zaawansowana metoda weryfikacji. W tym przypadku wykorzystuje się indywidualne cechy fizyczne użytkownika jak odcisk palca, kształt twarzy, tęczówka czy ton głosu. Stosowana jest również autoryzacja behawioralna, która bazuje na charakterystycznych zachowania użytkownika np. gesty.

Logowanie MFA przy wykorzystaniu tokenu sprzętowego

MFA – rozwiązanie bezpieczeństwa dla cloud computing

Obecnie coraz więcej banków, instytucji finansowych i przedsiębiorstw odchodzi od usług hostowanych i przenosi się do usług oferowanych w chmurze, jak na przykład Office 365, Salesforce czy Slack. Coraz większym problemem z punktu widzenia bezpieczeństwa sieci firmowej staje się też praca zdalna.

  • Po pierwsze firmy tracą nadzór nad pracownikami. Nie wiedzą gdzie i w jakich warunkach logują się do systemu.
  • Po drugie (przy zastosowaniu standardowego poziomu zabezpieczeń – logowania za pomocą hasła) firmy nie są w stanie też ocenić czy do systemu wchodzi faktycznie pracownik, czy osoba, która dysponuje danymi do logowania.

W takiej sytuacji MFA jest idealnym rozwiązaniem. Wprowadzenie uwierzytelnienia wieloskładnikowego pomaga upewnić się, że użytkownicy na pewno są osobami, za które się podają, a dane, które znajdujące się na konkretnych kontach, są odpowiednio chronione.

Z jakiego rozwiązania MFA skorzystać?

Zagrożenie, jakie wynika z pracy zdalnej i zapotrzebowanie rynku na tego typu złożone sposoby uwierzytelniania bardzo szybko dostrzegł Microsoft wprowadzając w pierwszej połowie 2021 roku usługę passwordless. To podejście, które stoi w pewnej opozycji do uwierzytelniania wieloskładnikowego, ale efekt jest podobny. Polega ono na wyeliminowaniu haseł jako tych słabych ogniw i zastąpienia ich innym typem autoryzacji. Od połowy marca 2021 roku użytkownicy systemu Microsoft To Do, aby zalogować się do aplikacji i usług firmy (Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety) i nie tylko, nie muszę znać żadnych haseł. Wykorzystują do tego specjalną aplikację Microsoft Authenticator, Windows Hello, klucza bezpieczeństwa lub kodu weryfikacyjnego wysłanego na Twój telefon lub e-mail.

Oczywiście passwordless, chociaż wychodzi naprzeciw zapotrzebowaniom rynku, nadal dedykowany jest tylko i wyłącznie do systemów działających na Microsoft. Co robić w sytuacji, gdy w naszej firmie wdrożono więcej narzędzi, które chcemy chronić? Wówczas należy skorzystać z innych usług MFA dostępnych na rynku. Do najpopularniejszych i najczęściej stosowanych należą:

  • Cisco Duo Multi-Factor Authentication
  • CyberArk Workforce Identity (dawniej Idaptive)
  • OKTA Adaptive Multi-Factor Authentication

Wybór odpowiedniego systemu zależy oczywiście od potrzeb i wymaganych funkcjonalności. Warto podkreślić, że większość systemów to usługi oferowane w chmurze. W ten sposób są znacznie tańsze, prostsze we wdrożeniu, mniej skomplikowane w administrowaniu, a także bardziej elastyczne. Rozwiązania chmurowe oparte są na abonamencie, który w razie potrzeby można modyfikować do aktualnych potrzeb np. dokupić licencję dla kolejnych użytkowników lub zredukować ją, gdy nie będzie już potrzebna.

Przeczytaj również: Jak uzasadniać przełożonym budżet na IT?

Czy trudno jest wdrożyć MFA?

Z uwagi na to, że MFA jest rozwiązaniem typu cloud w modelu subskrypcyjnym jego wdrożenie nie jest aż tak czasochłonne, jak systemów hostowanych lokalnie. Dobrze jest jednak to zadanie zlecić firmie zewnętrznej, która dopasuje rozwiązania i skonfiguruje do potrzeb firmy. W większości przypadków całość prac potrwa nie dłużej niż 2 dni robocze. Wdrożenie warto poprzedzić gruntownym audytem infrastruktury IT >> i audytem aplikacji>>.

Przeczytaj również: Firewall NGFW – na co zwrócić uwagę przy wyborze?

Dlaczego warto wdrożyć MFA w firmie?

Wdrożenie autoryzacji wieloskładnikowej w ostatecznym rozrachunku daje wiele korzyści.

1. Zmniejsza się ryzyko włamań na konta.

MFA to przede wszystkim dodatkowa warstwa zabezpieczeń dla pracowników i kontraktorów, która ogranicza ryzyko przejęcia konta przez hakera.

2. Stosunkowo łatwe do wdrożenia.

Pracujący w chmurze i modelu subskrypcyjnym system jest elastyczny i łatwy do zaimplementowania w firmie.

3. Zmniejsza koszty operacyjne.

Zredukowanie zagrożenia i zmniejszenie incydentów cyberprzestępczych długofalowo powoduje, że firma wydaje mniej pieniędzy na środki bezpieczeństwa, a tym samym redukuje koszty.

4. Zwiększa się zaufanie klientów.

Zastosowanie wyższego poziomu zabezpieczeń, uwierzytelnienia wieloskładnikowego, przekłada się na zwiększenie zaufania klientów, którzy nie boją się powierzyć swoich danych czy pieniędzy danej instytucji.

5. Zapewnia zgodność z przepisami.

W niektórych przypadkach i branżach korzystanie z autoryzacji MFA pozwala na spełnienie przepisów wymaganych przez prawo. Tak jest m.in. w przypadku usług płatniczych i dyrektywy unijnej PSD2 (ang. Payment Services Directive 2).

Zastanawiasz się nad wdrożeniem uwierzytelniania wieloskładnikowego?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Dobierzemy rozwiązanie MFA dla Ciebie w zakresie wymagań funkcjonalnych i ceny.

Piotr Tamulewicz
Piotr Tamulewicz
Doradca ds. rozwiązań IT w SEBITU.