Jedno-, dvou- a třífaktorové ověřování

Znovu jsem na to narazil. Další organizace, která si myslí, že dva uživatelské identifikátory a hesla představují dvoufaktorovou autentizaci a splňují požadavek 8.3 PCI DSS. Při veškeré dokumentaci dostupné na internetu by si člověk myslel, že toto téma bude pokryto studenou vodou. Zdá se však, že stále panují nejasnosti ohledně toho, co představuje jedno-, dvou- a třífaktorové ověřování, a tak jsem si řekl, že využiji tento čas k vysvětlení těchto pojmů.

Pojďme si říci něco o definicích tří faktorů ověřování.

• Jednofaktorové ověřování – jedná se o „něco, co uživatel zná“. Nejznámějším typem jednofaktorové metody ověřování je heslo.
• Dvoufaktorové ověřování – kromě prvního faktoru je druhým faktorem „něco, co uživatel má“. Příkladem něčeho, co uživatel má, je klíčenka, která generuje předem stanovený kód, podepsaný digitální certifikát nebo dokonce biometrický údaj, například otisk prstu. Nejznámější formou dvoufaktorového ověřování je všudypřítomný čip RSA SecurID.
• Třífaktorové ověřování – kromě předchozích dvou faktorů je třetím faktorem „něco, čím uživatel je“. Příkladem třetího faktoru jsou všechny biometrické údaje, jako je hlas uživatele, konfigurace ruky, otisk prstu, sken sítnice apod. Nejuznávanější formou třífaktorového ověřování je obvykle sken oční sítnice.

Důležité na výše uvedených definicích je, že se nikde nezmiňují o použití dvou hesel nebo přístupových frází, dvou otisků prstů nebo dvou skenů oční sítnice. Takové použití dvou stejných faktorů se považuje za vícefaktorové ověřování a nesouvisí s žádnou z výše uvedených definic. Takže ti z vás, kteří používají dva různé identifikátory uživatele a hesla, nepoužívají dvoufaktorové ověřování, ale vícefaktorové ověřování. PCI DSS je v požadavku 8.3 velmi konkrétní a vyžaduje dvoufaktorové nebo lepší ověřování. Vícefaktorové ověření je tedy nepřijatelné.

Další věc, kterou je třeba zmínit, je, že bezpečnostní puristé budou tvrdit, že použití biometrických údajů pro druhý faktor porušuje pravidla třetího faktoru. Jiní bezpečnostní praktici však tvrdí, že něco, co uživatel má nebo čím je, může být buď něco jako token, nebo biometrický údaj. Jejich logika je taková, že uživatel má otisk prstu nebo sítnici, takže se kvalifikuje jako jeden z obou faktorů. Klíčové je, aby se konkrétní biometrický údaj použil pouze jednou. Pokud tedy použijete otisk prstu pro druhý faktor, nemůžete použít otisk prstu pro třetí faktor.

Nakonec, ačkoli je to zřejmé, spoustě lidí tento bod uniká. Jednofaktorové ověřování je méně bezpečné než dvoufaktorové, které je méně bezpečné než třífaktorové. Pokud však uživatelé správně sestaví svá hesla nebo přístupové fráze a jsou zavedena další omezení přihlašování, může být jednofaktorové ověřování poměrně účinné proti narušení bezpečnosti, možná až v rozsahu 90 %. Dvoufaktorové ověřování obvykle zvyšuje účinnost pravděpodobně na 97 nebo 98 %. A třífaktorové ověřování pravděpodobně zvyšuje účinnost na úroveň šest sigma. Všimněte si, že i s třífaktorovým ověřováním se dostanete pouze na 99,9999% účinnost. Jak jsem již opakovaně zdůrazňoval, zabezpečení není dokonalé.

Mnoho lidí si neuvědomuje skutečnost, že dvoufaktorové ověřování používají pravidelně. K použití bankomatu potřebujete kartu (něco, co máte) a čtyřmístné osobní identifikační číslo neboli PIN (něco, co znáte). Dalším příkladem, který je v dnešní době běžný, je vstup do zabezpečených objektů, kdy oprávněný uživatel musí použít přístupovou kartu HID a zadat PIN do klávesnice, než se dveře otevřou. Je třeba si uvědomit, že nezáleží na pořadí, v jakém jsou tyto faktory použity. V případě příkladů s bankomatem a vstupem nejprve protáhnete kartu (něco, co máte) a poté zadáte PIN (něco, co znáte).

Jen proto, že druhý faktor je něco, co uživatel má, neznamená, že musí vědět, že ho má. Ukázkovým příkladem je případ digitálního certifikátu. Mnoho organizací vydává digitální certifikát se svým softwarem VPN, aby zajistily dvoufaktorové ověřování. Většina uživatelů si neuvědomuje, že digitální certifikát potřebuje k tomu, aby VPN fungovala. Digitální certifikát je obvykle vázán na uživatele nebo počítač a je instalován jako součást instalace softwaru VPN. Uživatel se o digitálním certifikátu dozví pouze v případě, že je poškozen nebo zastaral, což vede k chybě při pokusu o připojení k síti VPN. (POZNÁMKA: V informačním dodatku Rady o vícefaktorovém ověřování z roku 2017 bylo použití zde diskutovaných digitálních certifikátů pro splnění dvoufaktorového ověřování v souladu s PCI zakázáno)

Dalším důležitým bodem je, že v případech, kdy používáte pouze přístupovou kartu HID, používáte jednofaktorové ověřování. Definice faktorů byly stanoveny pro snadné učení a zapamatování. Používání kteréhokoli z faktorů samotných je však jednofaktorovým ověřováním. Použití jednotlivých typů faktorů ve spojení s dalšími je dvou- a třífaktorové ověřování. Můžete tedy používat různé kombinace všech faktorů, abyste snížili pravděpodobnost kompromitace. Například v mnoha špionážních filmech se objevuje ultrabezpečná místnost, kde ke vstupu potřebujete například občanský průkaz, kód PIN, sken sítnice a musíte říci svou přístupovou frázi. To není příklad čtyřfaktorového ověřování; jedná se o třífaktorové ověřování s použitím dvou biometrických faktorů (tj. vícefaktorové).

Nakonec existuje riziko při používání biometrických faktorů, o kterém většina lidí nerada mluví, ale které je důležité vzít v úvahu. Lidé neustále trpí nehodami. Dochází k pořezání prstů nebo dokonce k jejich odstranění. Ruce se lámou nebo mrzačí. Poškozují se oči. Lidé přicházejí o hlas. Pokud tedy chcete používat biometrické údaje pro ověřování, nezapomeňte s takovými událostmi počítat.

Snad jste nyní porozuměli různým faktorům ověřování a chápete, jak se používají.

.