Veľká časť nášho života sa odohráva online – nakupovanie, bankovníctvo, komunikácia. Ochrana našich účtov je teda veľmi dôležitá. Buďme však úprimní: samotné heslá to už neriešia.
Tu prichádza na scénu viacfaktorová autentifikácia (MFA, niekedy aj 2FA). Je to výraz pre jednoduchú myšlienku: pridanie ďalších krokov na potvrdenie, že ste to naozaj vy, keď sa prihlásite.
Čo je MFA?
Cieľom MFA je vytvoriť vrstvenú obranu, ktorá sťažuje neoprávnenej osobe prístup k cieľu, ako je fyzické umiestnenie, výpočtové zariadenie, sieť alebo databáza. Ak je jeden faktor ohrozený alebo zlomený, útočník musí pred úspešným prienikom do cieľa stále prelomiť aspoň jednu alebo viac prekážok.
MFA je bezpečnostný mechanizmus, ktorý vyžaduje, aby používatelia pred udelením prístupu poskytli viacero foriem overenia. Výrazne znižuje riziko neoprávneného prístupu, aj keď je jedna vrstva (napríklad heslo) ohrozená.
Predstavte si ochranu vášho domova. Základný zámok môže odradiť náhodných votrelcov, ale odhodlaní zločinci ho môžu vybrať. Pridanie závory, bezpečnostnej kamery a poplašného systému vytvára viacero bariér, takže je oveľa ťažšie vlámať sa dovnútra.
Podobne MFA buduje viacero vrstiev obrany pre digitálne systémy. Namiesto spoliehania sa iba na heslo (niečo, čo poznáte), MFA kombinuje ďalšie faktory, ako napríklad:
-
Niečo, čo máte (napr. smartfón alebo bezpečnostný token).
-
Niečo, čím ste (napr. odtlačok prsta alebo rozpoznávanie tváre).
MFA je postavená na princípe overovania identity pomocou aspoň dvoch z nasledujúcich kategórií:
Na základe vedomostí (niečo, čo viete):
- Heslá
- Bezpečnostné otázky
Na základe vlastníctva (niečo, čo máte):
- Mobilné aplikácie generujúce jednorazové heslá (OTP), ako je Google Authenticator
- Fyzické tokeny alebo kľúče USB (napr. YubiKey)
Na základe biometrických údajov (niečo, čo ste):
- Skenovanie odtlačkov prstov
- Rozpoznanie tváre alebo dúhovky
Tieto komponenty spolupracujú pri poskytovaní zvýšenej bezpečnosti. Napríklad, aj keď vám niekto ukradne heslo, na získanie prístupu stále potrebuje váš telefón alebo biometrické údaje.
Prečo nestačí jeden faktor v autentifikácii?
Každý spôsob autentifikácie má svoje úskalia. Žiadna ochrana nie je stopercentná, všetko závisí od času, schopností a možností útočníka.
Krátke alebo slovníkové heslá sa dajú prelomiť. Odpovede na bezpečnostné otázky uhádnuť. Mobil a fyzické tokeny sa dajú ukradnúť. SMS kódy a kódy v e-mailoch chodia bez šifrovania. Bežne používané skenery odtlačkov prstov sú často horšej kvality, takže nevedia zistiť, či je prst naozajstný.
Viacfaktorová autentifikácia bola zavedená s cieľom posilniť bezpečnostný prístup k systémom a aplikáciám prostredníctvom hardvéru a softvéru.
Výhody zavedenia MFA
-
Pridáva vrstvy zabezpečenia na úrovni hardvéru, softvéru a osobného ID.
-
Môže používať jednorazové heslo odosielané do telefónov, ktoré sú náhodne generované v reálnom čase a ktoré hackeri ťažko prelomia.
-
Dokáže znížiť narušenie bezpečnosti.
-
Môže byť ľahko nastavená používateľmi.
-
Umožňuje firmám zvoliť si obmedzenie prístupu na čas alebo miesto.
-
Má škálovateľné náklady, pretože existujú drahé a vysoko sofistikované nástroje MFA, ale aj cenovo dostupnejšie pre malé podniky.
-
Zlepšuje bezpečnostné opatrenia a reakcie pre spoločnosti, pretože môžu nastaviť viacfaktorový autentifikačný systém na aktívne generovanie výstrahy vždy, keď sa zistia pochybné pokusy o prihlásenie.
-
Poskytuje adaptívnu autentifikáciu, ktorá pomáha pri zmene pracoviska, keďže stále viac zamestnancov pracuje na diaľku.
-
Je potrebná pri plnení zákona o prenosnosti a zodpovednosti za zdravotné poistenie a požiadaviek na dodržiavanie predpisov, ktoré vyžadujú iba autorizovaný a obmedzený prístup k citlivým informáciám, ako sú osobné zdravotné záznamy.
Nevýhody zavedenia MFA
-
Overenie MFA môže zlyhať, ak dôjde k výpadku siete alebo internetu.
-
Techniky MFA sa musia neustále vylepšovať, aby sa chránili pred kyberzločincami, ktorí neustále pracujú na ich prelomení.
-
Vyžaduje náklady spojené s implementáciou MFA
-
Vhodné je pripraviť si postupy pre scenáre zahŕňajúce ukradnutie tokenov alebo telefónov
Efektívna implementácia MFA
-
Identifikujte kritické systémy a údaje: Chráňte systémy uchovávajúce citlivé údaje, ako sú e-mailové účty, finančné systémy a zákaznícke portály.
-
Vyberte si správne nástroje: Vyberte metódy MFA vhodné pre potreby vašej organizácie (napr. biometria pre citlivé systémy.
-
Vzdelávajte zamestnancov: Vyškolte zamestnancov, aby pochopili dôležitosť MFA, ako ju používať, a rozpoznali pokusy o phishing, ktorých cieľom je obísť MFA.
-
Jasne komunikujte: Zabezpečte, aby každý zamestnanec vedel, prečo sa MFA implementuje a ako chráni ich aj organizáciu.
-
Monitorujte a prispôsobujte sa: Pravidelne kontrolujte implementáciu MFA a zdokonaľujte proces s cieľom riešiť vznikajúce hrozby.
Súvisiace normy ISO:
-
ISO/IEC 27001: Systémy manažérstva informačnej bezpečnosti s dôrazom na hodnotenie rizík a implementáciu kontrol ako MFA.
-
ISO/IEC 27002: Smernice na implementáciu bezpečnostných kontrol vrátane autentifikačných opatrení.
-
ISO/IEC 29115: Poskytuje rámec pre zabezpečenie digitálnej identity a autentifikáciu.
-
Tieto štandardy posilňujú dôležitosť MFA pri budovaní bezpečných systémov a znižovaní zraniteľností.
Úloha komunikácie a vzdelávania
Úspech implementácie MFA do značnej miery závisí od informovanosti a komunikácie zamestnancov. Bez riadneho vzdelania môžu zamestnanci:
-
Odmietať používať MFA z dôvodu vnímania nepohodlia.
-
Stať sa obeťou phishingových útokov, ktoré sa pokúšajú obísť MFA.
Vzdelávanie:
-
Organizovanie workshopov s cieľom ukázať, ako MFA chráni jednotlivcov a organizáciu.
-
Zdieľanie skutočných príkladov porušení údajov, ktorým mohlo MFA zabrániť.
-
Poskytovanie ľahko pochopiteľných zdrojov, ako sú príručky a videá o nastavení MFA.
Viacfaktorová autentifikácia už nie je voliteľná; je to základná vrstva obrany v dnešnom komplexnom prostredí hrozieb. Dodržiavaním uznávaných noriem ako ISO/IEC 27001, vzdelávaním zamestnancov a automatizáciou procesov MFA môžu organizácie chrániť kritické aktíva a posilňovať dôveru medzi zainteresovanými stranami.
Nájdite si chvíľku a povoľte MFA na svojich súkromných účtoch ešte dnes. Malé úsilie, ktoré teraz vynaložíte, vás môže neskôr zachrániť pred problémami.