Dvoufázové ověření

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Dvoufázové ověření (anglicky two factor authentication) je proces, který zahrnuje dva nezávislé způsoby, jak ověřit totožnost uživatele při přihlašování počítačům v síti, nebo k přihlašování k různým službám na internetu. Například internetové bankovnictví, email a sociální sítě.

Většina služeb na internetu používá nejjednodušší jednofázové ověření identity pomocí uživatelského jména a hesla. Tento způsob je nejméně spolehlivý, protože spoléhá jen na „faktor znalostí“. To znamená, že pokud dojde k úniku hesla, tak ověření přestává být bezpečné. Další z autentizačních faktorů jsou faktory vlastnictví a inherence faktor neboli vnitřní příslušnost. Mezi faktory vlastnictví patří například platební karta, nebo osobní mobilní telefon. Toto ověřování používají Google, Facebook a další. Mezi faktory vnitřní příslušnosti se řadí vesměs všechna biometrická ověření, jako jsou otisky prstů, test oční duhovky nebo test DNA.[1][2][3]

Podmínky vícefázového ověřování[editovat | editovat zdroj]

Hlavní podmínkou dvou a vícefázového ověřování je, aby byla jednotlivá ověření nezávislá. To znamená, aby každá fáze ověření probíhala jinou komunikační cestou. Například ověřování pomocí uživatelského jména a hesla není dvoufázové, ale jen dvoukrokové ověřování. V tomto případě se obě informace přenášející stejnou cestou a to internetem. Jinou komunikační cestou se rozumí například přihlášení pomocí hesla, které přijde uživateli na mobil jako SMS, nebo například bezpečnostním tokenem. Toto jsou fyzická zařízení, která majitel má u sebe.

Bezpečnostní tokeny se rozdělují do několika typů:

  • nepřipojitelné (např. přívěšek) – bezpečností kód se musí opisovat
  • připojitelné (USB, 3,5 mm jack, Wi-Fi, Bluetooth)

Příklad[editovat | editovat zdroj]

Bankomaty vyžadují dvoufázové ověření. Aby klient dokázal, že je tím, co tvrdí, systém vyžaduje dvě položky. Platební kartu – faktor vlastnictví a dále osobní identifikační číslo (PIN) – faktor znalostí. V případě ztráty karty je účet v bezpečí, protože zloděj nezná PIN. Totéž platí v opačném případě. Zloději je PIN bez karty k ničemu.

Dvoustupňový ověřovací proces u Google[editovat | editovat zdroj]

Firma Google byla jednou z prvních internetových společností, která zavedla dvoufázové ověřování. Aktivace se provádí v uživatelském nastavení v záložce bezpečnost. Kde se aktivuje položka Dvoufázové ověření. Pro aktivaci je třeba znát heslo a poté zadat telefonní číslo, na které budou přicházet vygenerovaná hesla. V případě aktivace tohoto ověřování uživatel projde následujícími dvěma fázemi:

  • Prvním krokem je přihlášení uživatelským jménem a heslem (faktor znalosti)
  • Druhý stupeň vyžaduje mobilní telefon nebo aplikaci Google Autenticator
    • Při použití mobilního telefonu musí uživatel zaregistrovat svoje telefonní číslo u Google. Pokud se bude uživatel přihlašovat, tak po správném zadání uživatelského jména a hesla bude uživateli poslána SMS, která bude obsahovat jedinečný identifikační klíč. Tímto dojde k ověření, že přihlašovaný uživatel je majitel telefonu, který je spojen s jeho účtem.
    • Pokud se uživatel rozhodne využít aplikaci Google Autenticator, tak jednoduše stáhne, nainstaluje a hlavně spustí tuto aplikaci. Ta každých 30 sekund vygeneruje nový kód. Tento vygenerovaný kód je třeba zadat pro dokončení přihlašovacího procesu. V případě, že dojde k ztracení, odcizení, nebo poškození zařízení, tak je možné vytisknout sadu statických záložních kódů na jedno použití. Ovšem u tohoto způsobu opět klesá míra bezpečnosti.

Google spolu s tímto zabezpečením dále umožňuje používat takzvaný bezpečnostní klíč, což je fyzické zařízení. Po zaregistrování bezpečnostního klíče již není nutné na zařízení zadávat ověřovací klíč, ale jen vložit bezpečnostní klíč (kam?). Ten může být uložen například na USB flash zařízení.

Dvoustupňový ověřovací proces pomocí mobilního telefonu[editovat | editovat zdroj]

Hlavní nevýhodou ověřování prováděné pomocí zařízení, které uživatel vlastní, je, že použitý token (USB flash disk, bankovní karta, klíč nebo něco obdobného) musí mít uživatel stále u sebe. Pokud je tento token odcizen nebo ztracen, nebo pokud ho uživatel prostě nemá u sebe, je připojení znemožněno. Jsou tu také náklady spojené s pořízením a následným nahrazením tokenu stejného druhu v případě ztráty.

Navíc, jsou tam také vlastní konflikty a nevyhnutelné kompromisy mezi použitelností a bezpečností (viz trade-offs).

Dvoufaktorová autentizace pomocí mobilního telefonu byla vyvinuta s cílem poskytnout alternativní způsob, který by vyřešil tyto problémy. Tento přístup používá mobilní zařízení, jako jsou mobilní telefony a smartphony, aby sloužily jako "něco, co má uživatel". Pokud uživatelé chtějí ověřit sami sebe, mohou využít své osobní přístupové licence (tj něco, co jen jednotlivý uživatel ví) plus jednorázový, dynamický kód skládající se z číslic. Kód může být odeslán na jejich mobilní zařízení prostřednictvím SMS nebo prostřednictvím speciální aplikace.

Výhodou této metody je využití zařízení, které má uživatel v dnešní době vždy při sobě a není tedy třeba pořizovat nová zařízení. Některá profesionální řešení dvoufaktorové autentizace také zajišťují, že mají pro uživatele vždy k dispozici validní přístupový kód. Pokud uživatel již použil posloupnost číslic (přístupový kód), je tato kombinace automaticky smazána a systém odešle nový kód do mobilního zařízení. A pokud nový kód není zadán ve stanovené lhůtě, systém ji automaticky nahradí. To zajistí, aby se stará uložená hesla v telefonu stala bezcenými. Pro zvýšení bezpečnosti je možné určit, kolik nesprávných čísel může uživatel zkusit zadat, než mu systém zablokuje přístup.

Výhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:

  • Nejsou nutné žádné další tokeny, protože se používá mobilní přístroj, které jsou (obvykle) k dispozici po celou dobu.
  • Díky neustálému dynamicky generovanému heslu je bezpečnost větší než při použití pevné (statické) přihlašovací informace.
  • V závislosti na řešení, jsou hesla, která byla již použita, automaticky nahrazena, aby se zajistilo, že je k dispozici vždy platný kód. V případě že vznikne problém při přenosu např. Informace do mobilního telefonu, je možné vygenerovat nový kód, který nahradí starší a není tak znemožněno přihlášení
  •  Možnost zadat maximální povolený počet chybných záznamů snižuje riziko útoků neoprávněnými osobami,

Nevýhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:

  • Mobilní telefon musí být k dispozici kolem uživatelem po celou dobu.
  • Baterie mobilního telefonu musí být nabitá.
  • Mobilní telefon musí mít dostatečný mobilní signál.
  • Uživatel musí sdílet své osobní mobilní číslo s poskytovatelem, což znamená snížení osobního soukromí.
  • Je-li mobilní telefon odcizen nebo ztracen, nebo uživatel nemá mobilní telefonu při sobě, je autentizace nemožná..
  • Ne každý uživatel má mobilní telefon, což znamená, že někteří uživatelé nemohou využívat tohoto systému a je nutné pro ně vytvořit zvláštní řešení s některým tokenem, nebo mobilní zařízení pořídit.
  • Zprávy zaslané na mobilní telefon mohou být nákladné, což odrazuje použití.
  • Textové zprávy na mobilní telefony jsou nešifrované a mohou být zachyceny. Token tak může být ukraden a využíván třetí osobou.


Další služby, které nabízejí dvoufázové přihlašování[editovat | editovat zdroj]

Dalšími službami nabízejícími dvoufázové ověřování jsou například:[4]

Budoucnost dvoufázového ověřování[editovat | editovat zdroj]

Tento druh zabezpečení se budu i nadále rozšiřovat, protože dnes je bezpečnost na internetu životně důležitá a klasická bezpečnostní ověřování přestávají stačit. Dále se bude také rozvíjet třetí typ autentizace. Například přihlašování s pomocí otisku prstu.

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Two-factor authentication na anglické Wikipedii.

  1. ALEX COLON. What is two-step authentication? [online]. [cit. 2013-10-23]. [1]. (anglicky) 
  2. Two-Step Authentication [online]. Stanford University, [cit. 2013-10-23]. [2]. (anglicky) 
  3. JAMES TARALA. Two-Step Verification [online]. Brown University, [cit. 2013-10-23]. [3]. (anglicky) 
  4. WHITSON GORDON. Here's Everywhere You Should Enable Two-Factor Authentication Right Now [online]. Lifehacker, [cit. 2013-10-24]. [4]. (anglicky)