Praktické používanie multifaktorovej autentizácie

Bezpečnosť
Zoom Out Zoom In
Od
0198
9:10 18. februára 2025

V tomto článku sa pozrieme bližšie na to:

  • čo je to multifaktorová autentizácia
  • ako ochrániť svoje online kontá
  • ako ochrániť aplikácie na mobilnom telefóne a možnosti na počítači

Čo je to multifaktorová autentizácia

Na začiatok si povedzme kúsok teórie. Autentizácia je spôsob overenia, že entita (osoba, počítač, služba, …) je naozaj tým, za koho sa vydáva. Spôsobov, ako spraviť autentizáciu je veľa, je však možné ich rozdeliť podľa toho, ako fungujú, faktorov, na:

  • Niečo, čo mám – napr. bankomatová karta, token, kľúč od miešačky, pečatný kráľovský prsteň …
  • Niečo, čo viem – PIN, heslo, zaklínadlo “Sézam otvro sa!”,…
  • Niečo, čím som – odtlačok prsta, geometria ruky, sietnice alebo tváre, hlasová biometria, najkrajšie modré oči Alaina Delona, …

Každý faktor má svoje výhody, ale aj riziká.

FaktorVýhodyNevýhody
Niečo, čo mámNemusím si nič pamätať.Strata, poškodenie alebo krádež.
Niečo, čo viemNeviem to stratiť……ale viem to zabudnúť alebo zapísať na papier, ktorý si prečíta niekto iný.
Niečo, čím somNeviem to stratiť a nemusím si nič pamätať.Niekto môže využiť moju biometriu v prípade, že ležím opitý na lavičke v parku.

Na zmiernenie rizík vieme rôzne faktory kombinovať, čím dostaneme viacfaktorovú – multifaktorovú autentizáciu (MFA). Napríklad, ak heslu (niečo, čo viem) pridáme privátny kľúč certifikátu verejného kľúča (niečo, čo mám), tak útočník nevie krádežou (odpozeraním, uhádnutím, …) hesla získať prístup, nakoľko nemá privátny kľúč. MFA však nie je dokonalá: pokiaľ je však útočník kolega, ktorý heslo prečítal na lístočku prilepenom na monitore, zatiaľ čo sedel za neuzamknutým počítačom, tak MFA nepomôže. 

MFA nie je kombinácia rovnakých faktorov – PIN aj heslo môžu byť napísané vedľa seba na papieriku. 

Praktické možnosti MFA na webových aplikáciách

Pri praktických možnostiach MFA začnime na od webových aplikácii. Dôvodom je:

  •  fatálna expozícia online konta v prípade kompromitácie faktoru – v prípade, že niekto zistí naše prihlasovacie meno a heslo, je to game over; a
  •  spravidla obmedzené možnosti použitia MFA.

 V praxi sa používajú nasledovné možnosti:

Jednorazové kódy na SMS alebo email

Používanie jednorazových kódov (one-time pad – OTP) zasielaných emailom alebo prostredníctvom SMS je pomerne jednoduché – postačuje nastaviť emailovú adresu (prípadne recovery email) alebo telefónne číslo. Túto možnosť využíva napr. Facebook. 

Výhodou je jednoduchosť z pohľadu používateľa. Nevýhodou je nie úplne ideálna bezpečnosť tohoto MFA. V prípade využitia emailovej adresy je nevýhodou možnosť úplnej kompromitácie konta v prípade kompromitácie emailu: postačuje resetovanie hesla (lebo forgotten password link príde na email) a následne OTP už dorazí na kompromitovaný email účet. SMS sú lepšie v rámci Slovenska, avšak v napr. v USA nie sú pravidlá pre vydanie SIM karty také striktné a je jednoduchšie vykonať tzv. SIM swap – t.j. previesť telefónne číslo obete na točníka. Tento útok je pomerne častý pre zaujímavé cieľové kontá (napr. na kryptoburze, ak obsahujú dostatok prostriedkov na odcudzenie).

Obr.: príklad veľkej krádeže, pri ktorej hral úlohu aj SIM-swap. Celý článok tu: https://krebsonsecurity.com/2024/02/arrests-in-400m-sim-swap-tied-to-heist-at-ftx/ 

OTP aplikácia

Lepším spôsobom je využitie OTP aplikácie, ktorá vygeneruje OTP kód s platnosťou obvykle 30 sekúnd alebo zobrazí push notifikáciu, ktorú je potrebné potvrdiť. V niektorých prípadoch využíva webová aplikácia ako OTP aplikáciu svoju vlastnú mobilnú aplikáciu – takto funguje napr. LinkedIn sociálna sieť, kde je druhým faktorom potvrdenie push správy v mobilnej aplikácii LinkedIn.

Pridanie OTP funguje potom spravidla prostredníctvom QR kódov:

Obr.: príklad pridania OTP aplikácie do aplikácie booking.com

Podrobnejší návod s využitím OTP aplikácie Authy je napr. tu: https://www.techrepublic.com/article/how-to-use-authy/ 

OTP aplikácie sú väčšinou kompatibilné buď s Microsoft Authenticator alebo Google authenticator svetom. OTP aplikácia je jednoducho nainštalovaná cez Google play store alebo Apple App Store. V prípade iOS sveta zároveň platí, že aplikácia je zálohovaná aj s privátnou časťou a jednoducho obnoviteľná na nový telefón. V prípade Android však nemusia veci ísť tak hladko a v takom prípade oceníte aplikáciu, ktorá má vyriešené zálohovanie cez cloud (vlastný alebo Google drive) alebo zálohou do externého súboru (pokiaľ cloudu nedôverujete). Takouto aplikáciou môže byť napr. Aegis. Pridanou hodnotou aplikácie Aegis je možnosť importu a exportu jednotlivých seedov v otvorenom formáte a možnosť okamžitého zmazania cez panic alert funkcionalitu. 

V prípade, že si pri mobilnej aplikácii volíte medzi OTP kódom alebo push notifikáciou, je vhodné zvážiť riziko pri oboch metódach. Použitie OTP kódu znamená pre útočníka potrebu uhádnuť spravidla 6 miestny kód, t.j. šancu 1:1 000 000. Pri použití push notifikácie však útočník môže využiť tzv. push bombing – t.j. bombardovať používateľa push notifikáciami dovtedy, kým niektorú z nich nepotvrdí.

U2F a FIDO2

FIDO2 tu spomíname ako alternatívu k heslám – nie MFA. FIDO je aliancia pre bezheslovú autentifikáciu, ktorá vyvinula štandardy U2F a FIDO2 adoptované viacerými výrobcami operačných systémov a prehliadačov.

Obr.: Podpora U2F a FIDO2. Obrázok prevzatý z https://hideez.com/blogs/news/fido2-explained 

Prehľad podporovaných služieb je možné pozrieť tu. U2F a FIDO2 je možné používať buď na jednom zariadení alebo viacerých (dokonca naprieč platformami). Na použitie na viacerých zariadeniach je potrebné mať buď hardvérový kľúč alebo mobilnú aplikáciu.

Pre použitie U2F je zaujímavou možnosťou využitie hardvérového kľúča Trezor, nakoľko pri strate, poškodení alebo krádeži kľúča je možné jednoducho obnoviť pomocou tajných slov kryptografický kľúč na inom trezore. Konfigurácia nie je oveľa zložitejšia ako využitie QR kódu a mobilnej aplikácie.

Praktické možnosti MFA na smartfóne

Pri praktických možnostiach MFA pokračujme na smartfóne. Dôvod je obmedzenejšie možnosti oproti klasickému počítaču alebo notebooku. Smartfón má totiž ako vstup k dispozícii virtuálnu klávesnicu, kameru a snímač odtlačku prsta. Prepájať smartfón a hardvérový kľúč, alebo čipovú kartu je problém. V rámci smartfónu prebieha autentifikácia spravidla na dvoch miestach:

  1. Pri odomknutí smartfónu (screen lock)
  2. Pri prístupe do aplikácie

Ani jedno z miest neumožňuje konfiguráciu MFA, avšak je možné skombinovať tieto dve miesta autentifikácie tak, aby sme MFA dosiahli. Nie je napríklad vhodné mať biometrické overenie na všetkých miestach – v prípade, že ležím opitý na lavičke v parku môže ktokoľvek mojim prstom alebo tvárou odomknúť telefón a následne napr. poslať peniaze z bankovej aplikácie alebo kryptopeňaženky, pristúpiť na citlivé dáta alebo heslá v manažéri hesiel. 

Obr.: odpozeranie PIN-u cez rameno (shoulder surfing) je taktikou zlodejov. Celý článok k dizpozícii tu: https://www.bbc.co.uk/news/business-65456325 

Je preto vhodné používať kombináciu biometrie – napr. na jednoduché odomykanie telefónu a PIN-ov alebo hesiel na prístup k citlivým aplikáciám, ktoré umožňujú:

  • Narábať s peniazmi, alebo finančnými aktívami
  • Pristupovať k citlivým údajom (heslá, citivé poznámky, firemné údaje) 

Praktické možnosti MFA na počítači

V prípade použitia MS Windows je možné aplikovať ochranu Office 365 konta aj na prihlásenie sa do operačného systému. Analogicky je možné aplikovať MFA pre PAM na Linuxových systémoch, prípadne na Mac-u. Jednotlivé možnosti sa opakujú: OTP aplikácia, hardvérový kľúč, biometria prostredíctvom geometrie tváre (kamera) alebo odtlačku prsta (snímač odtlačku na notebookoch). Otázka je, nakoľko je to praktické? V prípade online konta je kompromitácia hesla ako jediného faktoru fatálna, nakoľko umožňuje útočníkovi prihlásenie sa pod vašim kontom cez internet. V prípade prístupu do operačného systému však potrebuje útočník spravidla aj fyzický prístup k vášmu domácemu počítaču alebo notebooku (teraz abstrahujme od prihlásenia sa prostredníctvom počítačovej siete). V prípade notebooku existuje riziko neoprávneného prístupu napr. pri krádeži, avšak toto je možné vyriešiť kombináciou šifrovania celého disku a silného hesla (ktoré nebude nalepené na notebooku).

Zhrnutie

MFA je opatrenie, ktoré ochráni náš prístup pri kompromitácii niektorého z faktorov, spravidla hesla. MFA má zmysel používať tam, kde je riziko kompromitácie faktorov významné. Preto má väčší zmysel používať MFA na ochranu všetkých našich online kont, avšak menší zmysel na prihlásenie do operačného systému domáceho počítača. MFA nie je všeliek a dodatočný faktor môže byť náchylný k dodatočným útokom ako SIM swap alebo push bombing. Použitie hardvérového tokenu môže byť najbezpečnejším, avšak aj technicky najnáročnejším riešením. Pri použitím dodatočného faktoru nezabudnite najmä na potreby obnovy faktoru v prípade kompromitácie, alebo napr. straty mobilného telefónu (aj s OTP aplikáciou).

Od Daniel Chromek

Daniel Chromek má viac než 15 rokov skúseností v informačnej bezpečnosti. Z pozície konzultanta so zameraním na bezpečnostný monitoring, audit bezpečnosti a súlad s legislatívou a normou ISO 27001 sa presunul k riadeniu informačnej bezpečnosti v technologickej firme. V rámci experného dobrovolníctva prednáša a píše knihy o informačnej bezpečnosti.

Odporúčané príspevky

  • item-thumbnail

    Kyberbezpečnosť, gymnázium a učebnice

    Pred tromi rokmi sme sa rozhodli v rámci inovácií vzdelávania na našom 1. Súkromnom Banskobystrickom gymnáziu zaviesť zameranie kybernetická bezp...

  • item-thumbnail

    Šifrovanie WINDOWS

    Šifrovanie disku s operačným systémom (Windows) V minulom článku sme rozoberali, ako zabrániť prípadnému zneužitiu citlivých dát pri krádeži notebooku...

  • item-thumbnail

    Budúcnosť útokov v Informačnej bezpečnosti

    Prinášame vám sériu článkov, ktoré sa zaoberajú budúcim vývojom zločinnosti v oblasti Informačnej bezpečnosti. Našim cieľom je predstaviť typy útokov,...

Newer Post
Older Post

Vyjadrite váš názor v komentároch