MFA i biometria lekiem na słabość haseł

- Reklama -

Wielu użytkowników nadal nie zdaje sobie sprawy z tego jak łatwo jest ukraść hasło. Dane logowania mogą wyciec z serwisów społecznościowych, sklepów internetowych czy innych miejsc w sieci. Wyciek haseł jest największym zagrożeniem dla użytkowników stosujących to samo hasło w różnych miejscach, a w szczególności dla tych, którzy jako identyfikator podali swój adres poczty elektronicznej. Cyberprzestępcy nierzadko korzystają z chmury publicznej, aby złamać hasło za pomocą metody brute-force (próbując wszystkich kombinacji znaków w haśle) czy słownikowej (opierając się na zasadach i słownictwie w danym języku).

Dużo trudniej jest ukraść telefon lub inne urządzenie pozwalające na uwierzytelnianie dodatkowym składnikiem. Takimi urządzeniami są również klucze bezpieczeństwa (security key) czyli urządzenia przenośne, które użytkownik podłącza np. do portu USB swojego komputera w trakcie procesu uwierzytelniania. Dzięki zastosowaniu MFA możemy czuć się dużo bardziej bezpieczni niż używając jedynie nazwy użytkownika i hasła logowania.

Jak to wszystko działa?

Na pewno spotkaliście się ze skrótami U2F czy WebAuth w podczas wertowania informacji związanych z bezpieczeństwem i uwierzytelnianiem. Czym właściwie są te pojęcia? Z czym się wiążą? Postaramy się rozwiać choć w części pytania z tego obszaru.

U2F, FIDO2, W3C …. Można się pogubić…

Universal 2nd Factor (U2F) jest otwartym standardem, który umożliwia i upraszcza uwierzytelnianie dwuskładnikowe (2FA) przy użyciu wyspecjalizowanych urządzeń USB lub urządzeń mogących komunikować się przez interfejs NFC. Podobne technologie zabezpieczeń można znaleźć w kartach inteligentnych (ang. smart cards). Urządzenia takie zwane są nierzadko kluczami bezpieczeństwa.

Następcą projektu U2F jest FIDO2, który obejmuje standard W3C Web Authentication (WebAuthn) i FIDO Alliance’s Client to Authenticator Protocol 2 (CTAP2).

Jaka jest różnica między FIDO U2F i FIDO2?

U2F został opracowany początkowo przez firmy Yubico i Google, a następnie standard włączono do FIDO Alliance. FIDO Alliance to stowarzyszenie założone w 2013 r., którego misją jest rozwijanie i promowanie standardów uwierzytelniania. Członkami założycielami tego stowarzyszenia są PayPal, Lenovo, Nok Nok Labs, Inc., Infineon, Validity Sensors Inc, Agnitio.

Protokół U2F został zaprojektowany jako drugi element wzmacniający bezpieczeństwo w logowaniu opartym na podstawowym zestawie danych: nazwie użytkownika i haśle. Opiera się na wynalezieniu przez Yubico takiego modelu klucza publicznego, w którym nowa para kluczy jest generowana dla każdej usługi, do której użytkownik chce się zalogować. Cała idea pozwala na obsługiwanie przez jedno urządzenie praktycznie nieograniczonej liczby usług przy zachowaniu najwyższego stopnia prywatności.

W wielkim skrócie i uproszczając: standard FIDO2 to ewolucja FIDO U2F bez używania hasła. Założeniem standardu FIDO2 jest zapewnienie rozszerzonego zestawu funkcji, przy czym głównym elementem są procesy pozwalające na logowanie do usługi (aplikacji) bez użycia hasła. Model U2F jest nadal podstawą dla FIDO2, a kompatybilność z istniejącymi wdrożeniami U2F jest zapewniona w specyfikacji FIDO2.

Definicje WebAuthn i CTAP?

W ramach projektu W3C opracowano nowy interfejs programistyczny API uwierzytelniania internetowego, nazwany WebAuthn, który obsługuje istniejące założenia FIDO U2F i FIDO2.

Protokół po stronie klienta FIDO U2F został nazwany CTAP1, a natomiast protokół klient-dostawca metody uwierzytelnienia został określony jako CTAP2. Protokół ten został opracowany, aby umożliwić zewnętrznym dostawcom narzędzi/metod uwierzytelniania (takich jak telefony, tokenym karty inteligentne itp.) połączenie z obsługą FIDO2 przeglądarek i systemów operacyjnych.

Rublon wierzy w biometrię

Rublon (https://rublon.com) w pełni obsługuje klucze bezpieczeństwa pracujące w standardach WebAuthn i U2F. Niebawem możemy się spodziewać upowszechniania samodzielnych urządzeń, które dodatkowo weryfikować przy użyciu danych biometrycznych. Sfałszowanie czyjegoś odcisku palca (ba, może i wzoru siatkówki oka) jest bardzo trudne (ale nie niemożliwe). Podobne metody uwierzytelniania możemy odnaleźć w wielu modelach notebooków biznesowych, które pozwalają na logowanie się do systemu po weryfikacji odciska palca.

Źródła:
Stina Ehrensvard, What is FIDO2, https://www.yubico.com/blog/what-is-fido2/
Wikipedia, https://en.wikipedia.org/wiki/Universal_2nd_Factor
- Reklama -
Źródło:Rublon

Treści PREMIUM

Otrzymuj cotygodniowy e-mail od BrandsIT, który sprawia, że czytanie wiadomości jest naprawdę przyjemne. Dołącz do naszej listy mailingowej, aby być na bieżąco i uzyskać dotęp do treści PREMIUM za darmo.

- Reklama -