fbpx

2FA (two-factor authentication) je autentifikacija koja zahtjeva dva faktora da bi se izvršila identifikacija iz različitih kategorija akreditacije; obično je to jedan fizički faktor, kao što je kartica a drugi je nešto upamćeno, kao bezbjednosni kod.

Jednostavan primjer autentifikacije sa dva faktora je bankarska kartica: kartica sama po sebi je fizički faktor a PIN (identifikacioni broj) je drugi faktor. Zato je teško da bi neko mogao da upotriebi vašu karticu da bi pristupio vašem računu u banci ukoliko nema PIN-a.

Autentifikacija sa dva faktora drastično umanjuje mogućnost krađe identiteta, phishing-a i drugih prevara, jer krađa lozinke nije dovoljna da bi kradljivac pristupio informacijama.

Faktor autentifikacije je nezavisna kategorija akreditacije koja se koristi za identifikaciju verifikacije. Tri najčešće kategorije se često opisuju kao:

  • nešto što vam je poznato (faktor koji znate),
  • nešto što imate (vlasnički faktor) i
  • nešto što predstavljate (faktor nasljedstva).
  • Za sisteme sa većim zahtjevima za bezbjednost, lokacija i vrijeme su nešto što se dodaje kao četvrti i peti faktor.

Autentifikacija sa jednim faktorom (SFA) se bazira u kategoriji identifikacije akreditacije. Najčešći metod i primjer SFA su kombinacija korisničkog imena i lozinke (nešto vama poznato - zapamćeno).

Jedan od problema pri autentifikaciji sa lozinkom je obazrivost prilikom kreiranja i pamćenja jake lozinke. Lozinke takođe zahtjevaju i zaštitu od strane mnogih prijetnji kao što su sticky notes (bilješke) sa lozinkama koje se postavljaju na vidljivo mjesto i stari hard diskovi i exploiti društvenog inžinjeringa.

Lozinke su isto tako skloni napadima izvana od strane hakera metodama kao što su brute force (sve moguće kombinacije), dictionary (napad sa datotekom koja sadrži najčešće korišćene lozinke) ili napad poznat kao rainbow table. Ukoliko ima dovoljno vremena haker može vrlo lako da probije zaštitu baziranu na lozinkama. Zbog toga je autentifikacija sa dva faktora dizajnirana da omogući dodatnu bezbjednost.

2FA proizvodi u ponudi:

Postoji veliki broj uređaja i rješenja za 2FA, od tokena do RFID kartica do aplikacija na pametnim telefonima.

  • RSA SecureID je vrlo često korišćen (iako su bili hakovani 2011. godine)
  • Micorosoft Phonefactor za prihvatljivu cijenu nudi 2FA, a besplatan je za male organizacije do 25 članova ili manje.
  • Dell Defender je multifaktor autentikator koji nudi biometriju i razne metode zasnovane na tokenima za 2FA.
  • Google Authenticator je 2FA aplikacija koja se može koristiti sa bilo kojom stranicom ili servisom.

2FA za mobilne telefone

Apple-ov iOS, Google-ov Android i Blackberry-ev OS 10 svi oni imaju ugrađenu i podržanu 2FA ili drugu multifaktor autentifikaciju. Neki imaju i skenere koji mogu da prepoznaju otisak prsta; ugrađena kamera se može koristiti za prepoznavanje lica i skeniranje rožnjače oka, a mikrofon se može koristiti za prepoznavanje glasa. Mnogi telefoni imaju i GPS koji se koristi za verifikaciju lokacije, kao dodatni faktor. Glas i SMS se isto tako mogu koristiti za autentifikaciju.

Google-ov Autentifikator je aplikacija sa 2FA. Kako bi pristupili servisima na internetu, korisnik mora da ukuca korisničko ime i lozinku a onda da ukuca jednokratnu lozinku (OTP) koji je dobijenu kao dogovor na logovanje.

Pametni telefoni nude razne mogućnosti kada se radi o 2FA, što omogućava kompanijama da koriste ono što im najbolje odgovara.

Napadač može sa vremena na vrijeme otkriti faktor autentifikacije u fizičkom svijetu. Recimo, može doći do kartice ili ID-a i lozinke zaposlenika u organizaciji. Ali, ukoliko se koriste ostali faktori za autentifikaciju, onda bi napadač morao da pređe preko još jedne prepreke.

Većina napada dolazi sa udaljenih lokacija preko interneta. 2FA pomaže u smanjenju opasnosti jer pristup preko lozinke nije dovoljan da bi se dobio pristup i vrlo je mala vjerovatnost da napadač posjeduje i fizički uređaj koji se koristi skupa sa kredencijalima korisnika. Svaki dodatni faktor povećava bezbjednost sistema.

Obzirom da su faktori nezavisni, ukoliko jedan bude ugrožen, ostali ne bi trebalo da budu.

Šta vam ja mogu preporučiti da pogledate

Nakon kraćeg istraživanja pristupačnih a bezbjednih faktora autentifikacije i analize eBanking rješenja u Republici Srpskoj, može se zaključiti da su banke (a one su te koje prilično vode računa o informacionoj bezbjednosti) do sada uglavnom koristile OTP (one time password) generatore i SMS kao način isporuke.

Iako u svijetu postoje razni SMS gejtveji koji nude da posredstvom njih šaljete velike količine SMS poruka i to za malu cijenu, ovo je prilično nepouzdano jer se kad-tad može desiti da npr. MTEL blokira isporuku sa ovog provajder... Ideja da se plaćanju SMS poruke posredstvom MTEL-a direktno, takođe otpada zbog cijene SMS poruka.

Međutim, nakon što se pojavilo i mobilno bankarstvo (mBanking) ovakav način dostavljanja OTP-a (putem SMS-a) se ispostavio da nije dovoljno bezbedan, zbog toga što neki bolje upućen haker može da presretne vašu SMS poruku i zloupotrijebi je, (SMS poruke se primaju i šalju u otvorenom obliku - nisu kriptovane) i da ga treba zamjeniti nekom drugom tehnologijom.

Npr. ovo je sada trend https://freeotp.github.io

FreeOTP implementira otvorene standarde: HOTP and TOTP. Ovo znači da nije potrebna kupovina dodatnih komponenti na serverskoj strani tj. na serverskoj strani možete koristiti bilo koje komponente koje koriste ova dva standarda. Preporuka je da se koristi FreeIPA.

Dakle, ovo je primjer koji bi kod nas mogli uspostaviti za potrebe svih vidova elektronskog poslovanja na način da se jednokratnim tokenom, koji se besplatno isporuči na pametni telefon putem zaštićene mobilne aplikacije, potpiše dokument prije slanja a da ga sa druge strane, server može verifikovati da je token ispravan.

Naravno sve bi to stajalo u ugovoru sa korisnikom usluga :)

Ovaj je open source a ima ih još raznih drugih. Pogledajte detalje u slikama...

Zato, ako planirate implementaciju nekog vida elektrosnkih usluga prema krajnjim korisnicima, obavezno razmotrite ovakav način zaštite.

Reference: www.ramicomer.com


Dobrodošli

Hvala Vam što ste izabrali posjetiti moj web sajt.

Na njemu ćete naći stvari koje volim:

  • podatke o meni,
  • mojoj domovini, Republici Srpskoj,
  • mojoj opsesiji, Informacionim tehnologijama i
  • sitnicama koje život čine ljepšim.

Naravno, vidjećete i nešto što se nalazi između redova, moju ljubav i trud da ovaj sajt i komunikaciju prema Vama učinim originalnom, korisnom i atraktivnom i obećanje da neću prestati da se trudim.

Ukoliko nađete da Vam je ova posjeta koristila u bilo kom pogledu, napišite mi to, veoma ćete me obradovati.

Srdačan pozdrav i uživajte u životu!

Dejan MAJKIĆ

Prijatelji sajta

Povežite se

Zar se još nismo povezali? Ako ne, kriv sam što vam do sada nisam pokazao sljedeće magične linkove: