A kéttényezős hitelesítés (2FA) a többtényezős hitelesítés (MFA) egy speciális típusa, amely a hozzáférés biztonságát úgy erősíti, hogy két módszert (más néven hitelesítési tényezőt) igényel a személyazonosság igazolásához. Ezek a tényezők tartalmazhatnak valamit, amit ismer – például a felhasználónevet és a jelszót -, valamint valamit, amivel rendelkezik – például egy okostelefon-alkalmazást – a hitelesítési kérelmek jóváhagyásához.

A 2FA védelmet nyújt az adathalászat, a social engineering és a jelszótörő támadások ellen, és megvédi a bejelentkezéseket a gyenge vagy lopott hitelesítő adatokat kihasználó támadóktól.

A kétfaktoros hitelesítés (2FA) a zéró bizalmi biztonsági modell alapeleme. Az érzékeny adatok védelme érdekében meg kell győződnie arról, hogy az adatokhoz hozzáférni próbáló felhasználók valóban azok, akiknek mondják magukat. A 2FA hatékony védelmet nyújt számos olyan biztonsági fenyegetés ellen, amelyek a felhasználói jelszavakat és fiókokat veszik célba, mint például az adathalászat, a brute-force támadások, a hitelesítő adatok kihasználása és így tovább.

Tegyük fel, hogy egy alkalmazás elsődleges hitelesítéséhez felhasználónevet és jelszót használ. Ez az információ az interneten (az elsődleges hálózaton) keresztül kerül elküldésre. A második tényező kitöltéséhez egy másik (hálózaton kívüli) csatornát szeretne használni. A mobilhálózaton keresztül küldött push-értesítés jóváhagyása példa a sávon kívüli hitelesítésre.

Milyen típusai vannak a 2FA-nak?

SMS 2FA

A kétfaktoros SMS-hitelesítés egy biztonsági kódnak a felhasználó mobileszközére történő elküldésével érvényesíti a felhasználó személyazonosságát. A felhasználó ezután beírja a kódot azon a weboldalon vagy alkalmazáson, amelyre hitelesíti magát.

TOTP 2FA

A TOTP (Time-Based One Time Password) 2FA módszer helyileg generál egy kulcsot azon az eszközön, amelyhez a felhasználó hozzáférni próbál. A biztonsági kulcs általában egy QR-kód, amelyet a felhasználó a mobileszközével beolvasva generál egy számsorozatot. A felhasználó ezután ezeket a számokat beírja a weboldalra vagy az alkalmazásba a hozzáférés megszerzéséhez. A hitelesítők által generált jelszavak egy bizonyos idő után lejárnak, és a felhasználó legközelebbi bejelentkezésekor új jelszót generálnak. A TOTP a nyílt hitelesítési (OAUTH) biztonsági architektúra része.

Push-alapú 2FA

A push-alapú 2FA az SMS és a TOTP 2FA-t további biztonsági rétegekkel javítja, miközben a végfelhasználók számára egyszerűbbé teszi a használatát. A push-alapú 2FA több olyan hitelesítési tényezővel erősíti meg a felhasználó személyazonosságát, amelyre más módszerek nem képesek. A Duo Security a push-alapú 2FA vezető szolgáltatója.

U2F tokenek

Az U2F tokenek egy fizikai USB port segítségével biztosítják a kétfaktoros hitelesítést a bejelentkezni próbáló felhasználó helyének és személyazonosságának hitelesítésére. Az U2F token használatához a felhasználó behelyezi a tokent az eszközébe, és megnyomja az eszköz tetején található gombot. Miután a token aktiválódott, a felhasználó beírja a PIN-kódját, és hozzáférést kap a fiókjaihoz.

WebAuthn

A FIDO (Fast IDentity Online) Alliance és a W3C által létrehozott Web Authentication API egy olyan specifikáció, amely lehetővé teszi az erős, nyilvános kulcsú kriptográfiás regisztrációt és hitelesítést. A WebAuthn (Web Authentication API) lehetővé teszi harmadik felek, például a Duo számára, hogy a laptopok és okostelefonok beépített biometrikus hitelesítőkre támaszkodjanak, így a felhasználók gyorsan és a már kéznél lévő eszközökkel hitelesítenek.

Milyen fenyegetésekkel foglalkozik a 2FA?

• Lopott jelszavak
• Phishing kísérletek
• Social Engineering
• Brute-Force Attacks
• Broken Logic
• Key Logging

Vulnerabilities in Two-Factor authentication

Bypassing two-factor authentication

At times, a kétfaktoros hitelesítés végrehajtása olyannyira hibás, hogy teljesen megkerülhető.

Ha a felhasználót először jelszó megadására, majd egy külön oldalon egy ellenőrző kód megadására szólítják fel, a felhasználó ténylegesen “bejelentkezett” állapotban van, mielőtt megadná az ellenőrző kódot. Ebben az esetben érdemes tesztelni, hogy az első hitelesítési lépés elvégzése után közvetlenül át lehet-e ugrani a “csak bejelentkezett” oldalakra. Esetenként előfordulhat, hogy egy weboldal az oldal betöltése előtt valójában nem ellenőrzi, hogy a második lépést elvégezte-e vagy sem.

Kétfaktoros hitelesítési tokenek

A hitelesítési kódokat általában valamilyen fizikai eszközről olvassa le a felhasználó. Sok magas biztonságú weboldal ma már külön erre a célra szolgáló eszközt biztosít a felhasználók számára, mint például az RSA token vagy billentyűzetes eszköz, amelyet az online banki vagy munkahelyi laptophoz való hozzáféréshez használhat. Amellett, hogy ezek a dedikált eszközök kifejezetten a biztonság érdekében készültek, az az előnyük, hogy közvetlenül generálják az ellenőrző kódot. Az is gyakori, hogy a webhelyek ugyanezen okból dedikált mobilalkalmazást használnak, például a Google Authenticator-t.

Másrészt egyes webhelyek szöveges üzenet formájában küldik az ellenőrző kódokat a felhasználó mobiltelefonjára. Bár ez technikailag még mindig a “valami van nálad” tényező ellenőrzését jelenti, visszaélésre ad lehetőséget. Először is, a kódot SMS-ben továbbítják, nem pedig maga a készülék generálja. Ez lehetőséget teremt arra, hogy a kódot lehallgassák. Fennáll a SIM-kártyacsere veszélye is, amelynek során a támadó csalárd módon hozzájut az áldozat telefonszámával ellátott SIM-kártyához. A támadó ekkor megkapja az áldozatnak küldött összes SMS-üzenetet, beleértve azt is, amelyik az ellenőrző kódot tartalmazza.