Czym jest uwierzytelnianie wieloskładnikowe (MFA)?
- Słownik IAM
- Czym jest uwierzytelnianie wieloskładnikowe (MFA)?
Uwierzytelnianie wieloskładnikowe (MFA) to środek bezpieczeństwa, który wymaga od użytkowników podania więcej niż jednej formy uwierzytelnienia w celu uzyskania dostępu do usługi lub aplikacji.
Definicja uwierzytelniania wieloskładnikowego
Ideą uwierzytelniania wieloskładnikowego (MFA) jest zapewnienie dodatkowej warstwy bezpieczeństwa poza tradycyjną nazwą użytkownika i hasłem poprzez wymaganie od użytkowników dodatkowego potwierdzenia tożsamości. Ten dodatkowy dowód nazywany jest składnikiem uwierzytelniającym. Istnieją cztery różne rodzaje składników uwierzytelniających:
Coś, co wiesz: może to być hasło, kod PIN lub odpowiedź na pytanie zabezpieczające.
Coś, co masz: Może to być token fizyczny, taki jak karta inteligentna lub klucz bezpieczeństwa USB, albo token wirtualny wygenerowany przez aplikację uwierzytelniającą na smartfonie użytkownika. Te wirtualne tokeny nazywane są hasłami jednorazowymi (OTP) lub hasłami jednorazowymi ograniczonymi czasowo (TOTP).
Coś, co jest nierozłączne: Informacje biometryczne, takie jak odcisk palca, rozpoznawanie twarzy lub skanowanie tęczówki.
Miejsce, w którym jesteś: Twoja lokalizacja geograficzna. Niektóre aplikacje i usługi są dostępne tylko dla użytkowników znajdujących się w określonej lokalizacji geograficznej. Ten szczególny składnik uwierzytelniający jest często używany w środowiskach bezpieczeństwa typu zero-trust.
Systemy MFA wymagają od użytkowników podania co najmniej dwóch różnych składników z dwóch różnych kategorii. Najlepiej wyjaśnić to na przykładzie:
- System, który wymaga od użytkowników wprowadzenia zarówno hasła, jak i kodu PIN, nie kwalifikuje się jako posiadający MFA, ponieważ oba te składniki należą do kategorii „coś, co wiesz”.
- Bankomaty korzystają z MFA od dziesięcioleci. Wymagają one od użytkowników włożenia karty bankomatowej (coś, co mają) i wprowadzenia kodu PIN (coś, co wiedzą).
Oprócz bankomatów, MFA jest szeroko stosowane do zabezpieczania kont internetowych, takich jak poczta elektroniczna, bankowość internetowa i magazyn w chmurze, a także fizycznego dostępu do budynków i innych bezpiecznych obszarów.
Nie wszystkie składniki uwierzytelniające są jednakowe
Niektóre systemy MFA wykorzystują do uwierzytelniania hasła TOTP wysyłane za pośrednictwem połączeń telefonicznych, wiadomości tekstowych lub poczty elektronicznej. Chociaż metody te są technicznie „prawidłowymi” składnikami MFA, wielu ekspertów ds. bezpieczeństwa odradza ich stosowanie ze względu na fakt, że można je łatwo złamać.
Dlatego najlepszą praktyką bezpieczeństwa jest unikanie korzystania z poczty elektronicznej, rozmów telefonicznych lub wiadomości tekstowych dla MFA, chyba że nie są dostępne inne metody. Silniejsze opcje obejmują biometrię, fizyczny token bezpieczeństwa lub samodzielną aplikację uwierzytelniającą.
Jaka jest różnica pomiędzy MFA a 2FA?
2FA oznacza uwierzytelnianie dwuskładnikowe. Jedyna różnica między 2FA a MFA polega na tym, że 2FA odnosi się do metody uwierzytelniania, która wymaga tylko dwóch składników uwierzytelniających, podczas gdy MFA jest ogólnym parasolowym odnoszącym się do systemu, który wymaga dwóch lub więcej składników uwierzytelniających.
Dlatego powyższy przykład z bankomatem jest przykładem 2FA, ale nazywanie go MFA jest również poprawne. I odwrotnie, system, który wymaga od użytkownika włożenia karty lub klucza bezpieczeństwa, wprowadzenia kodu PIN i zeskanowania odcisku palca, byłby MFA, ale nie 2FA.
Jaką ochronę zapewnia MFA?
Naruszone hasła są pojedynczą największą przyczyną naruszeń danych i ataków typu ransomware. MFA zapobiega cyberatakom związanym z hasłami, ponieważ wykładniczo utrudnia atakującym przejęcie konta. Nawet jeśli osobie atakującej uda się uzyskać działające hasło, jest ono bezużyteczne bez dodatkowych składników uwierzytelniających. Statystyki firmy Microsoft pokazały, że MFA może zablokować ponad 99,9 procent ataków w celu przejęcia kont.
Z tego powodu MFA odgrywa dużą rolę w zapewnianiu zgodności IT z przepisami. Wiele ram zgodności branżowej i regulacyjnej wymaga od organizacji wdrożenia MFA w celu zabezpieczenia systemów wewnętrznych. MFA jest również niezbędne do wdrożenia technologii zabezpieczeń typu zero-trust, która wymaga jednoznacznej weryfikacji użytkowników.
Wdrożenie MFA może również pomóc w zwiększeniu zaufania użytkowników do systemu, ponieważ pokazuje, że organizacja poważnie traktuje bezpieczeństwo i jest zaangażowana w ochronę informacji użytkowników.
Jak mogę wdrożyć uwierzytelnianie wieloskładnikowe?
Dla użytkowników osobistych
Osoby indywidualne powinny włączyć 2FA/MFA we wszystkich witrynach i aplikacjach, które obsługują te metody, aby chronić swoje konta osobiste przed cyberzagrożeniami. Wiele witryn i aplikacji przeprowadza użytkowników przez ten proces po skonfigurowaniu konta. W przeciwnym razie użytkownicy mogą zapoznać się z dokumentacją pomocy dla danej witryny lub aplikacji.
Pamiętaj, aby unikać używania poczty elektronicznej, wiadomości tekstowych lub rozmów telefonicznych jako składnika uwierzytelniającego, chyba że witryna lub aplikacja nie obsługuje innych metod.
Dla użytkowników biznesowych
Kroki związane z wdrożeniem MFA będą się różnić w zależności od konkretnych potrzeb i zasobów Twojej organizacji. W przypadku wątpliwości co do sposobu postępowania zaleca się skorzystanie z pomocy eksperta ds. bezpieczeństwa lub specjalisty IT. Poniżej znajduje się jednak ogólny przegląd kroków, które należy wykonać:
Określenie typów składników uwierzytelniających, które należy zastosować: Zdecyduj, które składniki uwierzytelniające zastosować w oparciu o potrzeby bezpieczeństwa i dostępne zasoby. Pamiętaj, aby wybrać co najmniej dwa składniki z dwóch różnych kategorii i unikać używania rozmów telefonicznych, poczty elektronicznej lub wiadomości tekstowych jako składnika uwierzytelniającego.
Wybór rozwiązania MFA: Istnieje wiele dostępnych rozwiązań komercyjnych i open-source do wdrożenia MFA. Wybierz rozwiązanie, które obsługuje wybrane przez Ciebie składniki uwierzytelniające i które jest dopasowane do Twojego budżetu i możliwości technicznych.
Integracja rozwiązanie MFA ze swoimi systemami: Może to obejmować integrację rozwiązania MFA z istniejącym systemem uwierzytelniania lub zastąpienie istniejącego systemu uwierzytelniania rozwiązaniem obsługującym MFA. Może być konieczna modyfikacja kodu aplikacji lub wprowadzenie zmian w infrastrukturze sieciowej.
Rejestracja użytkowników: Po zintegrowaniu rozwiązania MFA ze swoimi systemami zarejestruj użytkowników, nakazując im określić dodatkowe składniki uwierzytelniające wymagane przez rozwiązanie MFA.
Monitorowanie i obsługa rozwiązania MFA: Regularnie monitoruj rozwiązanie MFA pod kątem wydajności i bezpieczeństwa oraz aktualizuj je w razie potrzeby, aby utrzymać jego skuteczność.