Na co si dát pozor při používání 2FA u webových stránek a služeb
Dvoufaktorové ověřování (2FA) je specifický typ vícefaktorového ověřování (MFA), který posiluje zabezpečení přístupu tím, že k ověření vaší identity vyžaduje dvě metody (označované také jako faktory ověření). Tyto faktory mohou zahrnovat něco, co znáte – například uživatelské jméno a heslo -, a něco, co máte – například aplikaci v chytrém telefonu – pro schvalování žádostí o ověření.
2FA chrání před phishingem, sociálním inženýrstvím a útoky hrubou silou hesla a zabezpečuje vaše přihlášení před útočníky zneužívajícími slabé nebo ukradené přihlašovací údaje.
Dvoufaktorové ověřování (2FA) je základním prvkem modelu zabezpečení s nulovou důvěrou. Chcete-li chránit citlivá data, musíte ověřit, že uživatelé, kteří se k nim snaží získat přístup, jsou těmi, za které se vydávají. 2FA je účinný způsob ochrany proti mnoha bezpečnostním hrozbám, které se zaměřují na uživatelská hesla a účty, jako je phishing, útoky hrubou silou, zneužití pověření a další.
Řekněme, že k dokončení primárního ověření do aplikace používáte uživatelské jméno a heslo. Tyto informace jsou odesílány přes internet (vaši primární síť). Pro dokončení druhého faktoru budete chtít použít jiný (mimopásmový) kanál. Příkladem mimopásmového ověření je schválení push oznámení zaslaného přes mobilní síť.
Jaké jsou typy 2FA?
SMS 2FA
Dvoufaktorové ověřování pomocí SMS ověřuje identitu uživatele zasláním bezpečnostního kódu na jeho mobilní zařízení. Uživatel pak kód zadá na webové stránce nebo v aplikaci, ke které se ověřuje.
TOTP 2FA
Metoda TOTP (Time-Based One Time Password) 2FA generuje klíč lokálně na zařízení, ke kterému se uživatel pokouší získat přístup. Bezpečnostní klíč je obvykle kód QR, který uživatel naskenuje svým mobilním zařízením a vygeneruje sérii čísel. Uživatel pak tato čísla zadá do webové stránky nebo aplikace, aby získal přístup. Platnost přístupových kódů vygenerovaných autentizátory po určité době vyprší a při příštím přihlášení uživatele k účtu se vygeneruje nový. TOTP je součástí bezpečnostní architektury Open Authentication (OAUTH).
Push-Based 2FA
Push-based 2FA vylepšuje SMS a TOTP 2FA tím, že přidává další vrstvy zabezpečení a zároveň zlepšuje snadnost použití pro koncové uživatele. Push-based 2FA potvrzuje identitu uživatele pomocí více faktorů ověření, což jiné metody nedokážou. Duo Security je předním poskytovatelem push-based 2FA.
U2F Tokens
U2F tokeny zajišťují dvoufaktorové ověřování pomocí fyzického portu USB k ověření polohy a identity uživatele, který se pokouší přihlásit. Pro použití tokenu U2F uživatel vloží token do svého zařízení a stiskne tlačítko umístěné na horní straně zařízení. Po aktivaci tokenu uživatel zadá svůj kód PIN a získá přístup ke svým účtům.
WebAuthn
Určeno aliancí FIDO (Fast IDentity Online) a konsorciem W3C, Web Authentication API je specifikace, která umožňuje registraci a ověřování pomocí silného kryptografického veřejného klíče. WebAuthn (Web Authentication API) umožňuje třetím stranám, jako je Duo, využívat vestavěné biometrické autentizátory v noteboocích a chytrých telefonech, což uživatelům umožňuje rychlé ověřování pomocí nástrojů, které již mají na dosah ruky.
Jaké hrozby řeší 2FA?
- Kradená hesla
- Pokusy o phishing
- Sociální inženýrství
- Brutální-Force Attacks
- Broken Logic
- Key Logging
Zranitelnosti v dvoufaktorovém ověřování
Obcházení dvoufaktorového ověřování
Někdy, je implementace dvoufaktorového ověřování chybná do té míry, že ji lze zcela obejít.
Je-li uživatel nejprve vyzván k zadání hesla a poté na samostatné stránce vyzván k zadání ověřovacího kódu, je uživatel ve skutečnosti ve stavu „přihlášen“ ještě před zadáním ověřovacího kódu. V tomto případě stojí za to vyzkoušet, zda lze po dokončení prvního ověřovacího kroku přímo přeskočit na stránky „pouze pro přihlášené“. Občas se setkáte s tím, že webová stránka před načtením stránky skutečně nezkontroluje, zda jste dokončili druhý krok.
Dvoufaktorové ověřovací tokeny
Ověřovací kódy uživatel obvykle čte z nějakého fyzického zařízení. Mnoho vysoce zabezpečených webových stránek nyní poskytuje uživatelům k tomuto účelu vyhrazené zařízení, například token RSA nebo zařízení s klávesnicí, které můžete používat pro přístup do svého internetového bankovnictví nebo pracovního notebooku. Kromě toho, že jsou tato vyhrazená zařízení určena k zabezpečení, mají také tu výhodu, že generují ověřovací kód přímo. Ze stejného důvodu je také běžné, že webové stránky používají specializovanou mobilní aplikaci, například Google Authenticator.
Na druhou stranu některé webové stránky posílají ověřovací kódy na mobilní telefon uživatele jako textovou zprávu. I když se technicky stále jedná o ověření faktoru „něco, co máte“, je možné jej zneužít. Za prvé, kód je přenášen prostřednictvím SMS, nikoliv generován samotným zařízením. To vytváří možnost zachycení kódu. Existuje také riziko výměny SIM karty, kdy útočník podvodně získá SIM kartu s telefonním číslem oběti. Útočník by pak obdržel všechny zprávy SMS zaslané oběti, včetně té, která obsahuje její ověřovací kód.
.