2FA (two-factor authentication) je autentifikacija koja zahtjeva dva faktora da bi se izvršila identifikacija iz različitih kategorija akreditacije; obično je to jedan fizički faktor, kao što je kartica a drugi je nešto upamćeno, kao bezbjednosni kod.

Jednostavan primjer autentifikacije sa dva faktora je bankarska kartica: kartica sama po sebi je fizički faktor a PIN (identifikacioni broj) je drugi faktor. Zato je teško da bi neko mogao da upotriebi vašu karticu da bi pristupio vašem računu u banci ukoliko nema PIN-a.

Autentifikacija sa dva faktora drastično umanjuje mogućnost krađe identiteta, phishing-a i drugih prevara, jer krađa lozinke nije dovoljna da bi kradljivac pristupio informacijama.

Faktor autentifikacije je nezavisna kategorija akreditacije koja se koristi za identifikaciju verifikacije. Tri najčešće kategorije se često opisuju kao:

  • nešto što vam je poznato (faktor koji znate),
  • nešto što imate (vlasnički faktor) i
  • nešto što predstavljate (faktor nasljedstva).
  • Za sisteme sa većim zahtjevima za bezbjednost, lokacija i vrijeme su nešto što se dodaje kao četvrti i peti faktor.

Autentifikacija sa jednim faktorom (SFA) se bazira u kategoriji identifikacije akreditacije. Najčešći metod i primjer SFA su kombinacija korisničkog imena i lozinke (nešto vama poznato - zapamćeno).

Jedan od problema pri autentifikaciji sa lozinkom je obazrivost prilikom kreiranja i pamćenja jake lozinke. Lozinke takođe zahtjevaju i zaštitu od strane mnogih prijetnji kao što su sticky notes (bilješke) sa lozinkama koje se postavljaju na vidljivo mjesto i stari hard diskovi i exploiti društvenog inžinjeringa.

Lozinke su isto tako skloni napadima izvana od strane hakera metodama kao što su brute force (sve moguće kombinacije), dictionary (napad sa datotekom koja sadrži najčešće korišćene lozinke) ili napad poznat kao rainbow table. Ukoliko ima dovoljno vremena haker može vrlo lako da probije zaštitu baziranu na lozinkama. Zbog toga je autentifikacija sa dva faktora dizajnirana da omogući dodatnu bezbjednost.

2FA proizvodi u ponudi:

Postoji veliki broj uređaja i rješenja za 2FA, od tokena do RFID kartica do aplikacija na pametnim telefonima.

  • RSA SecureID je vrlo često korišćen (iako su bili hakovani 2011. godine)
  • Micorosoft Phonefactor za prihvatljivu cijenu nudi 2FA, a besplatan je za male organizacije do 25 članova ili manje.
  • Dell Defender je multifaktor autentikator koji nudi biometriju i razne metode zasnovane na tokenima za 2FA.
  • Google Authenticator je 2FA aplikacija koja se može koristiti sa bilo kojom stranicom ili servisom.

2FA za mobilne telefone

Apple-ov iOS, Google-ov Android i Blackberry-ev OS 10 svi oni imaju ugrađenu i podržanu 2FA ili drugu multifaktor autentifikaciju. Neki imaju i skenere koji mogu da prepoznaju otisak prsta; ugrađena kamera se može koristiti za prepoznavanje lica i skeniranje rožnjače oka, a mikrofon se može koristiti za prepoznavanje glasa. Mnogi telefoni imaju i GPS koji se koristi za verifikaciju lokacije, kao dodatni faktor. Glas i SMS se isto tako mogu koristiti za autentifikaciju.

Google-ov Autentifikator je aplikacija sa 2FA. Kako bi pristupili servisima na internetu, korisnik mora da ukuca korisničko ime i lozinku a onda da ukuca jednokratnu lozinku (OTP) koji je dobijenu kao dogovor na logovanje.

Pametni telefoni nude razne mogućnosti kada se radi o 2FA, što omogućava kompanijama da koriste ono što im najbolje odgovara.

Napadač može sa vremena na vrijeme otkriti faktor autentifikacije u fizičkom svijetu. Recimo, može doći do kartice ili ID-a i lozinke zaposlenika u organizaciji. Ali, ukoliko se koriste ostali faktori za autentifikaciju, onda bi napadač morao da pređe preko još jedne prepreke.

Većina napada dolazi sa udaljenih lokacija preko interneta. 2FA pomaže u smanjenju opasnosti jer pristup preko lozinke nije dovoljan da bi se dobio pristup i vrlo je mala vjerovatnost da napadač posjeduje i fizički uređaj koji se koristi skupa sa kredencijalima korisnika. Svaki dodatni faktor povećava bezbjednost sistema.

Obzirom da su faktori nezavisni, ukoliko jedan bude ugrožen, ostali ne bi trebalo da budu.

Šta vam ja mogu preporučiti da pogledate

Nakon kraćeg istraživanja pristupačnih a bezbjednih faktora autentifikacije i analize eBanking rješenja u Republici Srpskoj, može se zaključiti da su banke (a one su te koje prilično vode računa o informacionoj bezbjednosti) do sada uglavnom koristile OTP (one time password) generatore i SMS kao način isporuke.

Iako u svijetu postoje razni SMS gejtveji koji nude da posredstvom njih šaljete velike količine SMS poruka i to za malu cijenu, ovo je prilično nepouzdano jer se kad-tad može desiti da npr. MTEL blokira isporuku sa ovog provajder... Ideja da se plaćanju SMS poruke posredstvom MTEL-a direktno, takođe otpada zbog cijene SMS poruka.

Međutim, nakon što se pojavilo i mobilno bankarstvo (mBanking) ovakav način dostavljanja OTP-a (putem SMS-a) se ispostavio da nije dovoljno bezbedan, zbog toga što neki bolje upućen haker može da presretne vašu SMS poruku i zloupotrijebi je, (SMS poruke se primaju i šalju u otvorenom obliku - nisu kriptovane) i da ga treba zamjeniti nekom drugom tehnologijom.

Npr. ovo je sada trend https://freeotp.github.io

FreeOTP implementira otvorene standarde: HOTP and TOTP. Ovo znači da nije potrebna kupovina dodatnih komponenti na serverskoj strani tj. na serverskoj strani možete koristiti bilo koje komponente koje koriste ova dva standarda. Preporuka je da se koristi FreeIPA.

Dakle, ovo je primjer koji bi kod nas mogli uspostaviti za potrebe svih vidova elektronskog poslovanja na način da se jednokratnim tokenom, koji se besplatno isporuči na pametni telefon putem zaštićene mobilne aplikacije, potpiše dokument prije slanja a da ga sa druge strane, server može verifikovati da je token ispravan.

Naravno sve bi to stajalo u ugovoru sa korisnikom usluga :)

Ovaj je open source a ima ih još raznih drugih. Pogledajte detalje u slikama...

Google-istrazivanje.jpg OTP-4.jpg free-otp.jpg

free-otp2.jpg

Zato, ako planirate implementaciju nekog vida elektrosnkih usluga prema krajnjim korisnicima, obavezno razmotrite ovakav način zaštite.

NAPOMENA: Ako želite da promovišete link u ovom članku, javite mi.

Ako vam se ovaj članak dopao, lajkujte FB stranicu DM Spot, Twitter ili LinkedIn i budite obavješteni kad novi članak bude objavljen.