No, malo za šalo, malo za res. Geslo, kot smo ga nekoč poznali, je že mrtvo. Informacije, ki jih hranimo na internetu so preveč pomembne, da bi jih varovali samo z geslom, sestavljenim iz znakov. To pomeni, da se morajo načini varovanja naših stvari razviti.
Skozi zadnje desetletje smo lahko opazili pravo malo evolucijo razvoja zaščite podatkov. Uporabniki in sistemski administratorji so se sčasoma premaknili preko gesla do implementacij zapletenih in dinamičnih pristopov k varnosti, kot je na primer Zero Trust. In če smo še nekaj let nazaj potrebovali eno samo (enostavno) geslo za dostop do podatkov, ki smo jih potrebovali, lahko sedaj uporabljamo kombinacije orodij in pravil, ki omogočajo preverjanje pristnosti, hkrati pa ščitijo pred najpogostejšimi oblikami napadov.
Spletna varnost se je tako, če dovolite, iz karakterja Captain America, ki je uporabljal en sam ščit za obrambo, prelevila v Batmana, ki je v svojem plašču in na pasu skrival polno orodij in pripomočkov za različne situacije.
Eno najpomembnejših orodij na tem pasu je zagotovo večfaktorska avtentikacija (MFA), ki predstavlja stroškovno učinkovit ukrep, ki ščiti pred ključnimi prenašalci groženj in ga je dokaj enostavno uvesti.
Med večfaktorsko avtentikacijo spada tudi 2FA (2 factor avtentication). Zakaj je to dvofaktorsko preverjanje pomembno, kje začeti in kako deluje?
2FA je bistven del spletne varnosti.
Dvofaktorska avtentikacija pomeni, da ne glede na aplikacijo ali storitev, v katero se prijavimo, dvojno preverimo, ali zahteva res prihaja od nas. Prijavo tako potrdimo na ločenih “prizoriščih.”
Verjetno ste že kdaj prej uporabljali 2FA, čeprav tega morda niste vedeli. Na primer, če je spletno mesto kdaj poslalo številčno kodo v vaš telefon, ki ste jo morali uporabiti, da ste lahko nek postopek nadaljevali. Uporabniki Microsoft 365 boste najbrž najprej pomislili na aplikacijo Authenticator, ki od vas, ko se želite prijaviti v Microsoft, zahteva, da prijavo potrdimo tudi na svojem mobilnem telefonu, ki pa je prav tako zaščiten z vašim osebnim geslom.
2FA je bistvenega pomena za spletno varnost, saj takoj nevtralizira tveganja, ki so povezana z ogroženimi gesli. Vsiljivcem ne bo več dovolj samo ukradeno, ugibano ali celo ponarejeno (phishing) geslo, brez odobritve drugega dejavnika je samo geslo namreč neuporabno.
2FA prav tako naredi nekaj, kar je ključnega pomena za ohranjanje močne varnostne drže: aktivno vključuje uporabnike v proces ohranjanja varnosti in ustvarja okolje, v katerem so uporabniki dobro seznanjeni z lastno digitalno varnostjo. Ko obvestilo 2FA pride do uporabnika, si mora ta odgovoriti na vprašanje: "Ali sem to sprožil sam, ali kdo poskuša dostopati do mojega računa?" To še bolj poudarja pomen varnosti pri vsaki prijavi v račun, transakciji, ipd.
Medtem, ko je večina drugih načinov spletne varnosti pasivna in končnih uporabnikov ne vključuje kot sodelavce, 2FA ustvarja partnerstvo med uporabniki in skrbniki.
Kako 2FA deluje?
Različne metode uporabljajo različne procese. Vsi pa se zanašajo na isti potek dela.
Najbolj pogosto se neka akcija zgodi takole:
- Uporabnik se prijavi na spletno mesto ali v storitev s svojim uporabniškim imenom in geslom.
- Avtentikacijski strežnik potrdi geslo in če je pravilno, potem postane uporabnik upravičen do drugega faktorja.
- Avtentikacijski strežnik pošlje na drugo uporabnikovo napravo edinstveno kodo.
- Uporabnik potrdi svojo identiteto z odobritvijo dodatne avtentikacije s svoje naprave drugega faktorja.
Medtem, ko se osnovni procesi za večfaktorsko preverjanje na splošno enaki pri različnih ponudnikih, obstaja veliko različnih načinov za izvajanje preverjanja, vse metode pa niso enake.
Načini 2FA.
Na splošno se večfaktorski avtentikacijski sistemi opirajo na vsaj enega od naslednjih pristopov.
- Aplikacije za preverjanje pristnosti. Aplikacije za preverjanje pristnosti so točno to - aplikacije za pametne telefone, ki postopek odobritve drugega faktorja obravnavajo kot standardna obvestila. Aplikacije za preverjanje pristnosti, kot sta na primer Microsoft Authenticator ali Cisco Duo Mobile, uporabljajo internetno povezavo za pošiljanje zahtev za odobritev prijave, kar je varnejše kot uporaba telefonskih linij.
- U2F naprave. Universal second-factor (U2F) naprave so podobne žetonom: gre za majhne fizične naprave, ki se uporabljajo izključno za preverjanje prijav. Namesto, da bi se priklopili na ključ kot žeton, so U2F naprave zasnovane tako, da se prilegajo odprti reži USB. (Starejši modeli uporabljajo vrata USB-A; novejše različice se prilegajo v reže USB-C.) Ko uporabnik vnese svoje geslo v računalnik z nameščeno napravo U2F, bo računalnik uporabnika pozval, da se dotakne fizične U2F naprave, da dobi dostop. U2F naprave so priljubljene, ker so tako enostavne za uporabo - preprosto se jih dotaknete ali “tapnete” in ste končali. Slabost je le ta, da se z uporabo te naprave odpovete enemu USB vhodu, ki bi ga včasih lahko zelo potrebovali.
- Kode za geslo. Kode za geslo so najpogostejša oblika 2FA in so običajno sestavljene iz kratkega niza številk, ki so potem poslani na telefon kot tekstovno sporočilo. Ker se zanašajo na telefonske linije, predstavljajo najmanj varno metodo. Pri uporabnikih ta način ni ravno med najbolj priljubljenimi, vsako kodo je namreč potrebno vnesti ročno, kar lahko predstavlja ogromno potrato časa.
- etoni. Številne ekipe za spletno varnost se odločijo, da bodo svoje uporabnike oborožile z žetoni. Običajno so to majhne naprave, tudi obeski za ključe, ki ustvarjajo kode, ki jih potem uporabniki vnesejo kot svoj drugi faktor. Žetoni so sicer bolj varni kot kode za geslo, saj se ne zanašajo na telefonske linije, vendar jih je še vedno potrebno vnašati ročno. Pogosto pride tudi do napak, saj ne moremo preprosto copy/paste-at ponujenih ključev. Žetoni so privlačni, ker so cenovno dostopni in ne potrebujejo sistemskih skrbnikov, ki bi morali zbirati telefonske številke, vendar delujejo na baterije in te se lahko izpraznijo. Uporaba žetonov pomeni tudi to, da se boste spopadali z glavoboli zaradi izgube časa, ki ga boste namenili temu, da uporabniki ne bi izgubili dostopa do ključnih sistemov.
- i telefonski klici. Povratni telefonski klici so ena najmanj priljubljenih različic 2FA, vendar so učinkovit, čeprav dolgotrajen način izvajanja drugega faktorja. Najbolj pogosto deluje tako, da uporabnik po prijavi prejme samodejni telefonski klic, ki zahteva, da s pritiski na določene tipke, ali celo kombinacije tipk odobri ali zavrne zahtevo za dostop.
- TOTP. Time-based One-Time Passcodes oz. časovne kode za enkratno uporabo, bolj znane kot TOTP, so podobne kodam za gesla. Namesto storitve, ki uporabniku pošilja niz številk, aplikacija ustvari geslo za enkratno uporabo, ki se hitro izteče. To pomeni, da lahko uporabniki še vedno uporabljajo aplikacijo za preverjanje pristnosti (ki bo na zahtevo ustvarila TOTP-je), brez da bi se vključila kakšna nevarna telefonska linija.
Upoštevati je potrebno, da se v večini primerov sistemski skrbniki odločijo za različne pristope in uporabnikom običajno dajo nekaj možnosti, ki najbolje ustrezajo potrebam. Na primer, če imamo v naš delovni prenosnik priključeno napravo U2F, lahko to uporabite kot svoj drugi faktor v službi. Če bi se želeli prijavljati v aplikacijo in jo uporabljati s svojim pametnim telefonom tudi takrat, ko niste v pisarni oz. v bližini svojega prenosnika, pa bi morda morali uporabljati aplikacijo za preverjanje pristnosti.
Kako začeti?
Ker je 2FA storitev v oblaku, jo je mogoče izvajati razmeroma enostavno in jo lahko postopoma uvajate v svojo organizacijo. Vseeno pa je potrebno nekje začeti. Kaj torej storiti najprej?
Določite katero storitev 2FA bi najraje uporabljali. Izkoristite vodnike za vrednotenje, ki jih lahko najdete na spletu in se seznanite z vsemi stvarmi, ki jih lahko in morate dobiti iz izdelka za spletno varnost, ki vključuje 2FA. Vendar ne pozabite, 2FA ne sme biti vaš edini varnostni pristop. Močna varnostna platforma bo olajšala nastavitev večfaktorskega dostopa z vašimi najpomembnejšimi aplikacijami in zagotovila druge poti obrambe, kot so prilagodljive politike dostopa. Če je vaša ambicija takšna, da se namereavate nekoč premakniti na Zero Trust model, potem je koordiniran pristop, ki vključuje, a ni omejen samo na 2FA, ključnega pomena. Takšna rešitev bi lahko bila recimo Duo Beyond.
Vzpostavite koncept z majhno skupino uporabnikov v okolju z nizko ogroženostjo. Preden predstavite 2FA celotni organizaciji, ga najprej preizkusite in rešite morebitne težave, ki jih odkrijete.
Omogočite 2FA z uporabo integracij za vsako storitev ali aplikacijo, ki jo zaščitite. Če želite določiti posebno aplikacijo ali storitev za delo z 2FA, boste potrebovali integracijo - sredstvo, s katerim lahko aplikacija ali storitev sodeluje z 2FA. Na primer, Cisco Duo Beyond vključuje integracije za vse, od večjih sistemov, kot je Salesforce CRM, do manjših aplikacij, kot je Slack. Kakorkoli se boste odločili, pomembno je, da imate načrt za integracijo vseh kritičnih sistemov s storitvijo 2FA.
V “svetu po geslu” se torej močna spletna varnost opira na dinamičen pristop, zgrajen iz različnih orodij in politik. Pomembno je, da se za celovito in učinkovito zaščito nikoli ne zanesemo na eno samo metodo, kar pomeni dve stvari:
Prvič: če se trenutno zanašate samo na gesla, potem je vsekakor čas, da se prepustite evoluciji in pričnete uporabljati 2FA.
Drugič: 2FA je nujno varnostno orodje, vendar postane še učinkovitejše, ko se uporablja kot del usklajene strategije varnostnih aplikacij in politik.
In sedaj, ko sem vas prepričal o tem, da je večfaktorsko preverjanje oz. avtentikacija nujno, bi rad, da premislite o tem, zakaj še vi tega ne uporabljate. Ali se vam zdi pomembno, da recimo Google od vas za vaš osebni poštni predal Gmail zahteva toliko in toliko varnostnih vprašanj, odgovorov in tistih “za vsak slučaj” telefonskih številk in email naslovov? Zakaj potem za aplikacije, v katerih se skrivajo pomembni podatki, še vedno uporabljate enostavno geslo, ki je po možnosti ime vašega hišnega ljubljenčka? Mogoče malce karikiram, vendar se takšne stvari še vedno dogajajo.
V enem od naslednjih zapisov bo predstavljena praksa uporabe v podjetju in kaj je to podjetje s MFA-jem pridobilo.