Czym jest uwierzytelnianie dwuskładnikowe (2FA)?
- Słownik IAM
- Czym jest uwierzytelnianie dwuskładnikowe (2FA)?
Uwierzytelnianie dwuskładnikowe (2FA) to proces bezpieczeństwa, w którym użytkownicy muszą zastosować dwa różne składniki uwierzytelnienia do potwierdzenia swojej tożsamości. Ta metoda zapewnia dodatkową warstwę zabezpieczeń, mającą na celu zapewnienie, że osoba próbująca uzyskać dostęp do konta w Internecie, jest tą, za którą się podaje. Pierwszym składnikiem w procesie uwierzytelnienia jest zazwyczaj hasło lub osobisty numer identyfikacyjny (PIN). Drugi natomiast może obejmować różne elementy fizyczne (takie jak karta inteligentna lub token bezpieczeństwa), a także elementy biometryczne (takie jak odcisk palca lub rozpoznawanie twarzy) lub sygnał lokalizacyjny.
Elementy uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe (2FA) zazwyczaj wymaga połączenia dwóch różnych rodzajów metod uwierzytelniania z następujących kategorii.
Składnik związany z wiedzą – coś, co użytkownik wie
Może to być hasło, kod PIN lub odpowiedź na pytanie zabezpieczające.
Składnik związany z posiadaniem – coś, co użytkownik ma
Może to być token fizyczny, taki jak inteligentna karta lub klucz bezpieczeństwa USB, lub token wirtualny wygenerowany przez aplikację uwierzytelniającą na smartfonie użytkownika. Takie wirtualne tokeny zwane są hasłami jednorazowymi (OTP) hasłami jednorazowymi ograniczonymi czasowo (TOTP).
Składnik biometryczny – nierozłączna cecha użytkownika
Informacje biometryczne, takie jak odcisk palca, rozpoznawanie twarzy lub skan tęczówki.
Składnik lokalizacyjny – miejsce, w którym znajduje się użytkownik
Lokalizacja geograficzna użytkownika. Niektóre aplikacje i usługi są dostępne jedynie dla użytkowników w określonych lokalizacjach geograficznych. Ten szczególny składnik procesu uwierzytelnienia jest często stosowany w śwodowiskach z zabezpieczeniami zero-trust.
Uwierzytelnianie dwuskładnikowe (2FA) a uwierzytelnianie wieloskładnikowe (MFA) – co je różni?
Uwierzytelnianie dwuskładnikowe (2FA) to proces bezpieczeństwa, który łączy dwa różne składniki procesu uwierzytelnienia. Natomiast uwierzytelnianie wieloskładnikowe wykorzystuje co najmniej dwa składniki, co zapewnia wyższy poziom bezpieczeństwa. Ujmując to prosto, 2FA jest rodzajem MFA, który może wymagać wykonania większej liczby działań uwierzytelniających niż 2FA, aby zapewnić jeszcze wyższy poziom bezpieczeństwa. Więcej informacji na ten temat można znaleźć w tym artykule.
Uwierzytelnianie dwuskładnikowe a weryfikacja dwuetapowa – co je różni?
Uwierzytelnianie dwuskładnikowe (2FA) wymaga od użytkowników podania dwóch różnych rodzajów danych uwierzytelniających w celu zweryfikowania ich tożsamości. Dane te wynikają z czegoś, co użytkownik zna (np. hasło), czegoś, co użytkownik ma (np. smartfon) lub są nieodłącznym elementem danych biometrycznych użytkownika (np. odcisk palca). 2FA wymaga zatem zastosowania dwóch całkowicie oddzielnych warstw bezpieczeństwa, co zwiększa bezpieczeństwo procesu uwierzytelniania. W rezultacie, nawet jeśli dojdzie do naruszenia jednego rodzaju danych uwierzytelniających, konto pozostaje zabezpieczone drugim rodzajem.
Natomiast weryfikacja dwuetapowa (zwana również weryfikacją dwuskładnikową) obejmuje procedurę wymagającą od użytkowników wykonania dwóch odrębnych etapów procesu potwierdzania tożsamości. Co istotne, etapy te nie zawsze wymuszają korzystanie z różnych typów danych uwierzytelniających. Na przykład pierwszy etap może polegać na wprowadzeniu hasła, a kolejny użycia kodu tymczasowego wysłanego na telefon komórkowy użytkownika. Podstawowym aspektem weryfikacji dwuetapowej jest wymaganie wykonania dwóch oddzielnych działań, co nie musi wiązać się z zastosowaniem różnych typów danych uwierzytelniających.
| Funkcja | Uwierzytelnianie dwuskładnikowe (2FA) | Weryfikacja dwuetapowa (2SV) |
|---|---|---|
| Definicja | Wymaga dwóch różnych rodzajów składników procesu uwierzytelnienia. | Wymaga dwóch etapów weryfikacji, które mogą wykorzystywać ten sam składnik procesu uwierzytelnienia lub różne składniki. |
| Składniki uwierzytelniania | Wykorzystuje dwa różne składniki: coś, co użytkownika zna (hasło), coś, co użytkownik ma (token bezpieczeństwa, telefon) lub coś, czym użytkownik jest (weryfikacja biometryczna). | Może wykorzystywać dwukrotnie ten sam składnik (np. hasło, po którym następuje kod wysłany w wiadomości SMS) lub różne rodzaje składników. |
| Poziom bezpieczeństwa | Ogólnie ujmując, tę metodę uznaje się za bezpieczniejszą, ponieważ wymaga dwóch różnych rodzajów dowodów od użytkownika, co utrudnia uzyskanie nieautoryzowanego dostępu. | Zapewnia dodatkową warstwę bezpieczeństwa w porównaniu z pojedynczym hasłem, ale może być mniej bezpieczne niż 2FA, jeśli w obu krokach stosowane są podobne składniki uwierzytelniające. |
Metody uwierzytelniania w 2FA
Istnieje wiele metod uwierzytelniania przy stosowaniu 2FA, a wybór metody jest uzależniony od potrzeb użytkownika i wymogów bezpieczeństwa. Poniżej przedstawiono kilka popularnych metod uwierzytelniania w procesie 2FA.
1. Uwierzytelnianie wykorzystujące wiadomości SMS
W przypadku uwierzytelniania wykorzystującego wiadomości SMS podczas próby logowania z serwera wysyłany jest tymczasowy kod uwierzytelniający na telefon komórkowy użytkownika. Musi on wprowadzić ten kod podczas procesu logowania. Zaletą tej metody jest łatwość jej wdrożenia, gdyż większość użytkowników ma telefony komórkowe. Jednak związane są z nią też zagrożenia dla bezpieczeństwa, takie jak możliwość przechwycenia wiadomości SMS i ataki polegające na podmianie karty SIM. Dlatego metoda ta nie jest zalecana, jeśli inne opcje są dostępne.
2. Aplikacje uwierzytelniające
Korzystanie z aplikacji uwierzytelniających (np. niektórych menedżerów haseł, Google Authenticator, Authy) w procesie 2FA jest bezpieczniejsze niż uwierzytelnianie za pomocą wiadomości SMS. W tej metodzie użytkownicy generują tymczasowy kod uwierzytelniający za pomocą aplikacji uwierzytelniającej na smartfonie. Podczas logowania należy wprowadzić ten kod. Kod uwierzytelniający zmienia się co kilka sekund, co zwiększa bezpieczeństwo. Ponadto metoda ta nie wymaga połączenia z Internetem, co oznacza, że można ją stosować w środowiskach offline.
3. Fizyczne klucze bezpieczeństwa
Stosowanie fizycznych kluczy bezpieczeństwa (np. YubiKey) pozwala użytkownikom na uwierzytelnianie poprzez podłączenie określonego urządzenia USB lub NFC do komputera lub smartfona. Metoda ta jest uważana za bardzo skuteczny sposób na zapobiegania atakom phishingowym. Klucz bezpieczeństwa jest obiektem fizycznym, co skutecznie zmniejsza ryzyko nieautoryzowanego dostępu, przy czym należy również wziąć pod uwagę ryzyko utraty klucza.
4. Uwierzytelnianie biometryczne
Uwierzytelnianie biometryczne wykorzystuje w procesie uwierzytelniania cechy biometryczne użytkownika, takie jak odciski palców, rozpoznawanie twarzy lub tęczówki. Metoda ta jest bardzo wygodna dla użytkowników i zapewnia wysoki poziom bezpieczeństwa. Uwierzytelnianie biometryczne jest często obsługiwane na urządzeniach przenośnych i w niektórych najnowszych komputerach. Ponieważ jednak danych biometrycznych nie można zmienić, należy również wziąć pod uwagę ryzyko wycieku informacji.
