Translation:

Jako autentizace se označuje postup, pomocí kterého dochází k ověření identity osoby. V informatice se typicky jedná o ověření pomocí jména a hesla, které osoba zadává při přihlašování k určitém systému (např. k e-mailové schránce).1

Jako multifaktorová autentizace (běžně označovaná zkratkou MFA) se označuje takový postup, kdy pro ověření totožnosti nestačí pouhé zadání přihlašovacího jména a hesla, ale je zapotřebí totožnost potvrdit nějakým dalším způsobem (např. jednorázovým kódem doručeným prostřednictvím SMS na dříve zaregistrované telefonní číslo).2

Multifaktorová autentizace se někdy označuje i dalšími termíny, jako je např. vícefaktorové ověření, dvoufázové ověření apod.

Význam MFA

Služby, které nemají být veřejně přístupné, jsou typicky zabezpečeny pomocí přihlašovacích údajů. Tyto údaje se skládají z přihlašovacího jména a hesla. Přinejmenším heslo je informace, jehož znalostí by měl disponovat pouze jeho vlastník.

Z různých důvodů však může dojít k vyzrazení. Typicky se jedná o tyto situace:

  • Záměrné prozrazení hesla ze strany jeho majitele jiné osobě.
  • Nedostatečné utajení hesla, např. jeho napsáním na papírek umístěný v blízkosti monitoru, který si může přečíst kdokoli, kdo se v daném prostoru pohybuje
  • Odposlechnutí nezabezpečené komunikace na internetu
  • Podlehnutí phishingové kampani (podvodným e-mailům)
  • Odhadnutí na základě znalosti osoby, která heslo používá.

Pokud dojde k prozrazení hesla (a přihlašovacího jména), může se jeho prostřednictvím kdokoli autentizovat úplně stejně jako oprávněná osoba. Veškeré úkony, které po přihlášení učiní, pak mohou být připisovány osobě, jejíž přihlašovací údaje byly zneužity.

S ohledem na stále častější práci z domova a obecně z jiných lokací, než je pracoviště, roste počet informačních systémů, které musí být dostupné i z vnějšího prostředí. V takových případech může prozrazení přihlašovací údajů představovat vážnou situaci, protože zneužití může proběhnout i z opačného konce světa, z míst, kde právní prostředí nemusí splňovat standardy, na které jsme zvyklí.

Proto je zajištění autentizace pouze pomocí jména a hesla pokládáno za nedostatečné. Existují způsoby, jak zabezpečení přihlašovacích údajů zvýšit, a MFA je jedním z nich.

Princip MFA

Standardní zabezpečení pomocí hesla vychází z předpokladu, že oprávněný uživatel a pouze on něco zná. Tím něčím je přihlašovací jméno a zejména pak heslo. Pokud selže předpoklad, že pouze oprávněný uživatel tuto znalost má, selže i zabezpečení založené na této úrovni.

MFA doplňuje požadavek na ověření, že oprávněný uživatel fyzicky něco vlastní, něco, čím nikdo jiný nedisponuje. Tím něčím může být např. mobilní telefon s konkrétním telefonním číslem, které bylo dříve pro danou osobu zaregistrováno.

Poté, co se uživatel ověří znalostí (jménem a heslo) je vyžádáno ještě ověření vlastnictvím. Např. tak, že na uvedené telefonní číslo je zaslána SMS s jednorázově vygenerovaným kódem, který uživatel do přihlašovacího formuláře přepíše. Jedná se o princip dobře známý například z internetového bankovnictví.

Pokud někdo získá přihlašovací údaje osoby a pokusí se je zneužít, přijde dotyčné osobě na mobil SMS s jednorázovým kódem. Bez tohoto kódu se útočník dále nedostane. Musel by zároveň zcizit i dané fyzické zařízení (nebo telefonní číslo) nebo jej z dotyčné osoby nějak vylákat. Dotyčná osoba by si však měla uvědomit, že pokud jí na mobil přišel jednorázový kód a ona sama heslo nikam nezadávala, že se děje něco nežádoucího.

Někdy se v souvislosti s MFA hovoří rovněž o další úrovni, tedy že oprávněný uživatel něčím je. Zde se už jedná o implementaci biometrického hodnocení, např. otisků prstů, sítnice apod. Na tomto principu fungují např. technologie typu Face ID od Apple nebo Windows Hello od MS.

Ověření pomocí SMS

Princip MFA založený na zasílání SMS představuje nejjednodušší způsob implementace tohoto typu zabezpečení. Je pokládán za méně bezpečný než některé další metody, ale i přesto může výrazně zvýšit úroveň zabezpečení přihlašovacích údajů v porovnání s pouhým přihlašovacím jménem a heslem.

Předpokladem je předchozí registrace telefonního čísla, na které má být dodatečný kód zaslán. Na UPCE si tuto registraci může každý provést svépomocně pomocí stránky https://mojeheslo.upce.cz/. V Bázi znalostí na univerzitním Servicedesku je k dispozici návod s postupem registrace telefonního čísla.

Výhodou ověřování pomocí SMS je, že tento způsob funguje nezávisle na konektivitě daného zařízení k internetu a že je funkční i na zařízeních, která neumožňují instalaci dalších aplikací (např. na tlačítkových telefonech).

Ověření pomocí aplikace

Tento typ ověření je založen na speciální aplikaci, kterou je nutné nainstalovat na nějaké zařízení. Je proto zapotřebí disponovat takovým zařízením, které instalaci aplikací umožňuje. Tímto zařízením je typicky chytrý telefon.

Aplikaci je opět zapotřebí k příslušnému účtu nejprve zaregistrovat (na UPCE prostřednictvím stránky https://mojeheslo.upce.cz/). Poté aplikace umožňuje různé způsoby dodatečného ověření, např.:

  • Může generovat jednorázové kódy, které je potřeba při přihlašování přepsat (obdoba SMS kódů; viz zabezpečení Vema portálu).
  • Může na zařízení zobrazovat výzvu k potvrzení přihlášení, kde většinou stačí ťuknout pouze na tlačítko Potvrdit bez nutnosti cokoli přepisovat.

Tyto aplikace mohou být jednoúčelové (takovou aplikací disponuje např. freemailová služba od Seznam.cz) nebo generické, které lze využít pro zabezpečení většího počtu účtů u různých služeb. Takovými aplikacemi jsou např. Microsoft Authenticator neb Google Authenticator.

V Bázi znalostí na univerzitním Servicedesku je k dispozici návod s postupem registrace Microsoft Authenticatoru.

Výhodou aplikace je, že není závislá na telefonním čísle, je tedy užitečná v případě, kdy uživatel nechce poskytovat své telefonní číslo nebo nemá k dispozici telefon, ale jiné zařízení typu tablet. Nevýhodou je, že příslušné zařízení musí mít přístup na internet.

Ověření pomocí fyzického zařízení

MFA je možné realizovat i pomocí specializovaného fyzického zařízení. Toto zařízení se v čase zadávání přihlašovacích údajů musí k počítači připojit fyzicky prostřednictvím USB nebo bezdrátově pomocí NFC, pokud je tato technologie k dispozici.

Jedná se nejčastěji o tzv. bezpečnostní tokeny připomínající USB flashdisk. Jako příklad lze uvést např. uvést tokeny Yubikey.

Výhodou těchto tokenů je, že není zapotřebí vlastnit mobilní telefon nebo registrovat telefonní číslo. Nevýhodou je, že může dojít k jejich ztrátě, která je oproti ztrátě mobilního telefonu zjištěna většinou výrazně později. Rovněž představuje určitou další investici, oproti mobilnímu telefonu, který většina má již k dispozici.

Četnost vynucování MFA

Samotná registrace dodatečné autentizační metody ještě neznamená, že musí být při autentizaci vždy a za všech okolností vyžádáná. Vždy záleží na tzv. bezpečnostní politice – nastavení pravidel, která mají být pro přihlašování aplikována.

Na UPCE není MFA autentizace vyžadovaná v případě přihlašování ze spravovaných zařízení, tzn. zařízeních, která jsou známá a u kterých je zaručeno dodržení bezpečnostních zásad. Typicky se jedná o doménové počítače, které jsou ve správě univerzitního IT. Tedy při přihlašování z pracovních počítačů není dodatečná autentizace vůbec vyžadována.

Oproti tomu při přihlašování z neznámých zařízení, např. ze soukromých počítačů nebo z počítačů v počítačové kavárně, může být MFA vyžádána. Je to z toho důvodu, že takové připojení je potenciálně rizikové – může se jednat o oprávněné přihlášení stejně jako o pokus zneužít vyzrazené přístupové údaje.


[1] Článek k autentizaci na Wikipedi

[2] Článek k vícefázovému ověření na Wikipedii

false
false