Tietoa 2FA:n käytöstä verkkosivustoilla ja palveluissa
Kaksitekijätodennus (two-factor authentication, 2FA) on monitekijätodennuksen (multi-factor authentication, MFA) erityismuoto, joka vahvistaa pääsyn suojausta vaatimalla kahta menetelmää (joita kutsutaan nimellä todentamistekijät (authentication factors)) henkilöllisyytesi varmentamiseksi. Näihin tekijöihin voi kuulua jotakin, jonka tiedät – kuten käyttäjätunnus ja salasana – sekä jotakin, joka sinulla on hallussasi – kuten älypuhelinsovellus – todentamispyyntöjen hyväksymiseksi.
2FA suojaa phishing-, social engineering- ja salasanojen raakavoimahyökkäyksiltä ja suojaa kirjautumisesi hyökkääjiltä, jotka käyttävät hyväkseen heikkoja tai varastettuja kirjautumistietoja.
Kahden tekijän todennusmenetelmä (two factor authentication, 2FA) on nollatason luottamuksen (zero trust) mukaisen tietoturvamallin olennainen elementti. Suojellaksesi arkaluonteisia tietoja sinun on varmistettava, että käyttäjät, jotka yrittävät käyttää kyseisiä tietoja, ovat niitä, joita he sanovat olevansa. 2FA on tehokas tapa suojautua monilta tietoturvauhilta, jotka kohdistuvat käyttäjien salasanoihin ja tileihin, kuten tietojenkalastelulta, brute-force-hyökkäyksiltä, tunnistetietojen hyväksikäytöltä ja muilta uhilta.
Esitettäkö, että käytät käyttäjätunnusta ja salasanaa sovelluksen ensisijaiseen todennukseen. Nämä tiedot lähetetään Internetin (ensisijaisen verkkosi) kautta. Haluat käyttää toista (verkon ulkopuolista) kanavaa toisen tekijän suorittamiseen. Mobiiliverkon kautta lähetetyn push-ilmoituksen hyväksyminen on esimerkki kaistan ulkopuolisesta todennuksesta.
Mitä 2FA-tyyppejä on olemassa? Tämän jälkeen käyttäjä syöttää koodin verkkosivustolle tai sovellukseen, johon hän on tunnistautumassa.
TOTP 2FA
Aikaperusteinen kertakäyttösalasana (TOTP, Time-Based One Time Password) 2FA-menetelmä luo avaimen paikallisesti laitteessa, johon käyttäjä yrittää päästä. Turva-avain on yleensä QR-koodi, jonka käyttäjä skannaa mobiililaitteellaan luodakseen numerosarjan. Käyttäjä syöttää sitten nämä numerot verkkosivustolle tai sovellukseen saadakseen pääsyn. Todentajien luomat salasanat vanhentuvat tietyn ajan kuluttua, ja uusi salasana luodaan, kun käyttäjä kirjautuu tilille seuraavan kerran. TOTP on osa avoimen todennuksen (OAUTH) tietoturva-arkkitehtuuria.
Push-pohjainen 2FA
Push-pohjainen 2FA parantaa tekstiviestipohjaista (tekstiviestipohjaista) 2FA:ta ja TOTP-2FA:ta tuomalla siihen lisää tietoturvan kerroksia ja lisäämällä samalla loppukäyttäjälle tarkoitettua käyttömukavuutta. Push-pohjainen 2FA vahvistaa käyttäjän henkilöllisyyden useilla todennustekijöillä, joihin muut menetelmät eivät pysty. Duo Security on push-pohjaisen 2FA:n johtava toimittaja.
U2F-tunnisteet
U2F-tunnisteet varmistavat kaksitekijätodennuksen käyttämällä fyysistä USB-liitäntää sisäänkirjautumisyritystä yrittäneen käyttäjän olinpaikan ja henkilöllisyyden vahvistamiseen. U2F-tunnisteen käyttämiseksi käyttäjä asettaa tunnisteen laitteeseensa ja painaa laitteen yläosassa olevaa painiketta. de
FIDO (Fast IDentity Online) Alliancen ja W3C:n luoma Web Authentication API on määrittely, joka mahdollistaa vahvan, julkisen avaimen salauksen rekisteröinnin ja todennuksen. WebAuthn (Web Authentication API) avulla kolmannet osapuolet, kuten Duo, voivat hyödyntää kannettaviin tietokoneisiin ja älypuhelimiin sisäänrakennettuja biometrisiä todennuslaitteita, jolloin käyttäjät voivat todentaa itsensä nopeasti ja niillä välineillä, jotka heillä jo on käytössään.
Mihin uhkiin 2FA puuttuu?
- Varastetut salasanat
- Phishing-yritykset
- Social Engineering
- Brute-Force Attacks
- Broken Logic
- Key Logging
Vulnerabilities in Two-Factor authentication
Bypassing two-factor authentication
Atimes, kaksitekijätodennuksen toteutus on niin puutteellinen, että se voidaan ohittaa kokonaan.
Jos käyttäjää pyydetään ensin syöttämään salasana ja sen jälkeen syöttämään varmistuskoodi erillisellä sivulla, käyttäjä on käytännössä ”kirjautuneena sisään”-tilassa ennen kuin hän on syöttänyt varmistuskoodin. Tässä tapauksessa kannattaa testata, voiko ensimmäisen todennusvaiheen suorittamisen jälkeen siirtyä suoraan ”vain kirjautuneille” sivuille. Toisinaan huomaat, että verkkosivusto ei itse asiassa tarkista, oletko suorittanut toisen vaiheen ennen sivun lataamista.
Kahden tekijän todennuskoodit
Varmennuskoodit käyttäjä lukee yleensä jonkinlaisesta fyysisestä laitteesta. Monet korkean turvallisuustason verkkosivustot tarjoavat nykyään käyttäjille tähän tarkoitukseen tarkoitetun laitteen, kuten RSA-tunnisteen tai näppäimistölaitteen, jota saatat käyttää verkkopankkiin tai työkannettavaan. Sen lisäksi, että nämä erityiset laitteet on suunniteltu turvallisuussyistä, niiden etuna on myös se, että ne tuottavat vahvistuskoodin suoraan. On myös yleistä, että verkkosivustot käyttävät samasta syystä erityistä mobiilisovellusta, kuten Google Authenticatoria.
Toisaalta jotkut verkkosivustot lähettävät vahvistuskoodit käyttäjän matkapuhelimeen tekstiviestinä. Vaikka tämä on teknisesti edelleen ”jotain, mitä sinulla on” -tekijän todentaminen, se on altis väärinkäytöksille. Ensinnäkin koodi lähetetään tekstiviestillä sen sijaan, että se olisi laitteen itsensä luoma. Näin koodi on mahdollista siepata. Lisäksi vaarana on SIM-kortin vaihtaminen, jolloin hyökkääjä hankkii vilpillisesti SIM-kortin, jossa on uhrin puhelinnumero. Hyökkääjä saisi tällöin kaikki uhrille lähetetyt tekstiviestit, myös vahvistuskoodin sisältävän tekstiviestin.