Ředitel pro kybernetickou bezpečnost společnosti Hikvision o vícefaktorovém ověřování (MFA), které snižuje obavy o bezpečnost a riziko prolomení hesla

K používání vícefaktorového ověřování (MFA) nepotřebujete nic složitého. Vícefaktorové ověřování (MFA) vyžaduje, aby uživatel při přihlašování k účtu nebo webové stránce kromě zadání uživatelského jména a hesla poskytl další způsob ověření nebo autentizace.

 

Než se pustíme do MFA, pojďme si v rychlosti promluvit o ověřování. Ověřování se tradičně skládá ze dvou položek, uživatelského jména a hesla.

 

Uživatelské jméno je určeno jako identita účtu. Nemá to být nic soukromého nebo složitého. Ve většině případů má být uživatelské jméno veřejné nebo alespoň viditelné pro ostatní uživatele stejného systému, služby, sítě atd.

 

Heslo má být tajemstvím, které se vyměňuje, aby uživateli umožnilo přístup k systému, službě, síti atd. Používání pouze uživatelského jména a hesla se nazývá jednofaktorové ověřování, protože uživatel ověřuje svou identitu pomocí jednoho důkazu nebo jednoho faktoru.

 

MFA přidává do procesu ověřování dva nebo více ověřitelných důkazů nebo faktorů, které výrazně snižují obavy o bezpečnost tím, že snižují pravděpodobnost, že k účtu získá přístup nesprávná osoba. Dvoufaktorové ověřování (2FA) je podmnožinou MFA a představuje způsob ověřování pomocí pouhých dvou ověřitelných důkazů nebo faktorů. Dobrým reálným příkladem 2FA je použití bankomatu. Používáte něco, co máte, kartu do bankomatu, a něco, co znáte, číslo PIN.

 

V současné době máme k dispozici obecně čtyři faktory ověřování:    

  1. Něco, co máte (např. generátor čísel, jako je Google Authenticator).
  2. Něco, co znáte (např. heslo nebo přístupovou frázi).
  3. Něco, co jste (např. biometrické údaje, jako je otisk prstu nebo geometrie obličeje).
  4. Kde se nacházíte (tj. poloha GPS sledovaná telefonem nebo poloha IP adresy).

 

Níže vysvětlím některé možnosti, které spadají do každé z těchto kategorií.

 

 

Hardwarový token: Něco, co máte.

Hardwarový token může mít mnoho podob. V 90. letech jste vždycky poznali, kdo je ve firmě IT pracovník, protože měl na klíčenkách malý displej s čísly, která se měnila každých 30 sekund. Jedná se o tzv. časové jednorázové heslo (TOTP). Ačkoli je tato možnost stále aktuální, většina implementací TOTP se provádí pomocí mobilní aplikace nebo SMS zprávy (viz níže). Dalším oblíbeným hardwarovým tokenem je Yubikey. Jedná se o hardwarový token, který se obvykle připojuje k počítači přes USB, nicméně některé Yubikeys podporují komunikaci v blízkém poli, která podporuje zařízení bez portu USB, jako je například iPhone. Chcete-li tento token použít, přihlaste se pomocí svého uživatelského jména a hesla a na stránce se zobrazí pole s žádostí o ověření Yubikey. Místo psaní do tohoto pole uživatel připojí Yubikey a dotkne se senzoru. Při tomto fyzickém připojení je klíč zadáván zařízením Yubikey.

 

 

TOTP SMS: Něco, co máte   

Časové jednorázové heslo SMS (TOTP) je textová zpráva nebo e-mail s číselným kódem, kterému se říká jednorázové heslo (OTP), protože je možné ho použít pouze jednou. Tato metoda je mezi odborníky na kybernetickou bezpečnost méně oblíbená, protože se ukázalo, že je ve srovnání s jinými možnostmi slabá, ale stále je mnohem lepší než použití pouze uživatelského jména a hesla.

 

 

Token TOTP (Time-based One Time Password): Něco, co máte.

Další oblíbenou metodou je použití generátoru TOTP, například těch, které se nacházejí na starých hardwarových klíčenkách RSA, nebo aplikace pro chytré telefony, jako je Google AuthenticatorLastPassFreeOTP a další. Tato čísla se mění každých 30 sekund na základě sdíleného algoritmu, který zná softwarový token i ověřovací server. K použití softwarového tokenu není nutná žádná síťová nebo internetová komunikace. Na obrázku níže je zobrazen časový token v mobilním telefonu a místo, kam se zadává na webové stránce po zadání uživatelského jména a hesla do služby Google.

 

 

Telefon/e-mail: Něco, co máte    

Další dvě možnosti TOTP MFA jsou obdržení telefonního hovoru nebo e-mailu s MFA kódem. Ačkoli je to lepší než žádné MFA, bylo mnohokrát prokázáno, jak snadno může útočník tuto možnost zachytit nebo použít bez vědomí uživatele, který účet vlastní.

 

 

Záložní kódy: Něco, co máte

Záložní kódy jsou na mnoha webech poskytovány při nastavení MFA. Myšlenka záložních kódů spočívá v tom, že je uložíte do bezpečného uzamčeného stolu/kanceláře, bezpečnostní schránky nebo šifrovaného trezoru, jako je správce hesel. Používají se pouze v případě, že ztratíte nebo nemáte přístup ke svému pravidelně používanému MFA. Pokud vám například ukradnou telefon, nemůžete už Authenticator Google používat. V takovém případě můžete vytáhnout záložní kódy a přihlásit se ke svému účtu.

 

 

Biometrické údaje: Něco, co jste.

Biometrické údaje se staly běžnou záležitostí díky čtečkám otisků prstů a technologiím rozpoznávání obličeje zabudovaným do mobilních zařízení a notebooků, které používáme každý den. V těchto implementacích se však biometrické údaje používají spíše jako alternativa k uživatelskému jménu a heslu než jako další faktor. V současné době se biometrické údaje v rámci MFA online příliš nepoužívají, ale možnost jejich využití tu je.

 

 

GPS: Kde se nacházíte

GPS poloha je dalším faktorem, který se dnes pro MFA příliš nepoužívá, ale často se sleduje, aby se zjistilo, zda nedošlo k narušení účtů. Řekněme, že se Sally v pondělí v 8 hodin ráno přihlásí k firemní síti VPN z New Yorku a v 10 hodin ráno se k serveru VPN znovu přihlásí z Paříže. Je zřejmé, že se nemohla dostat z New Yorku do Paříže za dvě hodiny, takže server VPN toto druhé připojení odmítne a upozorní tým kybernetické bezpečnosti, aby to prošetřil.    

 

 

QR: Něco, co máte.

QR kódy jsou stále populárnější jako metoda ověřování a v některých případech zcela nahrazují uživatelské jméno a heslo. I když to v současné době není pro většinu uživatelů internetu tak běžné, v současné době se pracuje na technologii, která by mohla nahradit uživatelské jméno a heslo pomocí QR kódů a kamer v telefonech a počítačích.   

 

 

Přehled

  1. Všichni nesnášíme hesla, zejména proto, že je musíme vytvářet složitě, což nám ztěžuje jejich zapamatování.
  2. Správci hesel nám umožňují vytvářet skvělá hesla pro všechny účty.
  3. Funkce MFA dále zabezpečuje účet tím, že k ověření vyžaduje více než jen uživatelské jméno a heslo.

 

Funkce MFA je nabízena na mnoha nejoblíbenějších webových stránkách, jako je Google, Facebook, Twitter a LinkedIn, většina uživatelů ji však nepovoluje.

 

Níže jsou uvedeny dvě webové stránky, které nabízejí seznam webových stránek, které podporují vícefaktorové ověřování, a pokyny, jak na těchto stránkách povolit ověřování MFA:

  1. https://evanhahn.com/2fa/
  2. https://twofactorauth.org/

 

Použitím MFA jako dalšího bezpečnostního opatření můžete snížit obavy o bezpečnost při přihlašování k účtům online. 

 

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.

Kontakt
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.