W 2012 r. badacze z laboratorium FortiGuard Labs firmy Fortinet opublikowali raport, w którym prognozowano, że w 2013 r. znacząco wzrośnie liczba firm przechodzących na uwierzytelnianie dwuskładnikowe. Jedną z nich jest firma Evernote, która poinformowała niedawno o zamiarze wdrożenia uwierzytelniania dwuskładnikowego po tym, jak złamane zostały jej zabezpieczenia i musiała zresetować 50 mln haseł swoich użytkowników. Inne firmy, które w pierwszym kwartale tego roku również zdecydowały się przejść na uwierzytelnianie dwuskładnikowe, to Amazon, Apple, Dropbox, eBay, Facebook, Google i Microsoft.
TechNavio szacuje, że w latach 2011-2015 globalny rynek rozwiązań w zakresie uwierzytelniania dwuskładnikowego wzrośnie o 20,8%. Według Markets and Markets do roku 2017 rynek rozwiązań w zakresie uwierzytelniania wieloskładnikowego będzie wart 5,45 mld USD (2). Platforma FortiAuthenticator firmy Fortinet, będąca uzupełnieniem tokenów z serii FortiToken do uwierzytelniania dwuskładnikowego, zanotowała w ostatnim czasie trzycyfrowy wzrost sprzedaży.
Na wczesnym etapie rozwoju Internetu uwierzytelnianie za pomocą haseł z niezakodowanym tekstem było często wystarczające, gdyż zagrożenia bezpieczeństwa były zjawiskiem marginalnym, a moc obliczeniowa i repozytoria haseł nie były ogólnodostępne – powiedział Richard Henderson, specjalista ds. strategii bezpieczeństwa i badacz z laboratorium FortiGuard Labs firmy Fortinet. „W miarę pojawiania się nowych narzędzi do łamania haseł, szybszych procesorów i stałych połączeń z Internetem hasła dostępu z niezakodowanym tekstem znalazły się w ogniu krytyki. Ponadto usługi łamania haseł z użyciem chmury obliczeniowej, takie jak Cloud Cracker, który wykorzystuje możliwości przetwarzania rozproszonego, umożliwiają przeprowadzenie 300 mln prób złamania hasła w ciągu zaledwie 20 minut, i to za około 17 dolarów. Oznacza to, że nawet silne, zaszyfrowane hasło można złamać przy odrobinie cierpliwości - dodał.
Zasadniczo wyróżniamy cztery sposoby zarządzania hasłami dostępu do sieci, z których żaden nie jest niezawodny.
1. Niezakodowany tekst: To najsłabsza metoda zarządzania hasłami. W przypadku kradzieży pliku z hasłami z niezakodowanym tekstem konta użytkowników na serwerze mogą być zagrożone. Australijski urząd skarbowy (Australian Tax Office, ATO), brytyjska Centrala Łączności Rządowej (Government Communications Headquarters, GCHQ) oraz sieć supermarketów Tesco to jedne z najnowszych przykładów instytucji i firm, których zabezpieczenia zostały złamane i które następnie przyznały się do stosowania haseł z niezakodowanym tekstem.
2. Szyfrowanie podstawowe: Podejście to zakłada szyfrowanie i przechowywanie pojedynczego hasła (tzw. „plik haszowany” – ang. hashed). Jednakże skradziony plik haszowany wcale nie jest bezpieczniejszy niż hasło z niezakodowanym tekstem. Postęp technologiczny w postaci szybszych procesorów oraz dostępności tablic wyszukiwania (ang. lookup tables), tablic tęczowych (ang. rainbow tables – baza skrótów wykorzystywana w łamaniu haseł zakodowanych jednokierunkową funkcją skrótu) i coraz to nowego oprogramowania do łamania haseł, oznacza, że otwarcie zahaszowanych plików z hasłami to wyłącznie kwestia zasobów obliczeniowych i czasu.
3. Szyfrowanie z użyciem ciągów losowych: Takie szyfrowanie polega na dodaniu ciągu losowego do każdego hasła, a następnie zaszyfrowanie tej wartości. Uniemożliwia to atakującemu przechowywanie tabel z wartościami i szukanie pasujących elementów (tzw. „ciąg zaburzający” – ang. salted hash). Jednakże ciągi zaburzające nie są niezawodne. Jeśli zastosowany ciąg zaburzający jest za krótki lub jeśli ten sam ciąg zastosowano do wszystkich haseł, wówczas stosunkowo łatwo jest złamać takie hasła.
4. Szyfrowanie wielokrotne: Taki rodzaj szyfrowania polega na szyfrowaniu już zaszyfrowanej wartości. Proces ten, zwany również „rozciąganiem” (ang. stretching), pozwala wielokrotnie zaszyfrowywać wartości. Jednakże specjaliści spierają się, czy takie szyfrowanie rzeczywiście istotnie zwiększa bezpieczeństwo.
Ciągi zaburzające i rozciąganie na chwilę obecną zapewniają większe bezpieczeństwo niż hasła z niezakodowanym tekstem – dodaje Henderson. Niemniej jednak, niesamowita moc obliczeniowa dzisiejszych procesorów sprawia, że złamanie zaszyfrowanych w ten sposób haseł nie jest już kwestią czy, ale kiedy” Nie istnieje niezawodna metoda szyfrowania haseł. Wystarczy tylko odpowiednia ilość czasu i zasobów, by je złamać.
Uwierzytelnianie dwuskładnikowe, zwane również uwierzytelnianiem wieloskładnikowym, silnym uwierzytelnianiem i dwuetapową weryfikacj, wykorzystuje dwie z trzech następujących metod uwierzytelniania:
• Coś, co użytkownik wie: może to być hasło, pytanie lub ruch palcem po ekranie urządzenia mobilnego. Jest to popularnie zwane czynnikiem wiedzy (ang. knowledge factor).
• Coś, co użytkownik ma: może to być małe urządzenie, takie jak karta elektroniczna, brelok z USB lub kluczem sprzętowym albo token smartfonowy, które generuje niepowtarzalne, jednorazowe hasło wysyłane do aplikacji użytkownika na telefonie komórkowym lub przez taką aplikację generowane. Jest to popularnie zwane „czynnikiem posiadania” (ang. possession factor).
• Coś, czym użytkownik „jest”: zazwyczaj jest to czytnik biometryczny, który rozpoznaje cechę unikalną dla danej osoby, np. odciski palców, wzór tęczówki oka bądź głos. Ten rodzaj uwierzytelniania określa się jako czynnik charakterystyki (ang. inherence factor).
Poniżej zostały opisane najpopularniejsze w dzisiejszych czasach formy uwierzytelniania wraz z ich zaletami i wadami.
Hasła dostępu
Największą zaletą haseł dostępu jest to, że użytkownik może je łatwo zapamiętać i są dla niego czymś znajomym. Z perspektywy informatycznej to najłatwiejsza i najtańsza we wdrożeniu forma uwierzytelniania, a przy tym nie wymaga zakupu dodatkowego sprzętu. Z drugiej jednak strony jeśli hasło nie jest zbyt skomplikowane, można je łatwo zgadnąć. Z kolei jeśli jest zbyt skomplikowane, można je zapomnieć. Każde hasło może zostać skradzione, jeśli komputer został przejęty przez botnet używający oprogramowania zbierającego informacje o klawiszach naciskanych przez użytkownika (ang. keylogger). Zarządzanie wieloma różnymi hasłami do różnych serwisów WWW jest uciążliwe. Oprogramowanie do łamania haseł może złamać proste hasła w kilka minut, a usługi łamania haseł z wykorzystaniem chmury obliczeniowej pozwalają złamać nawet najbardziej złożone hasła w ciągu kilku godzin.
Karty elektroniczne
Karty elektroniczne składają się z pamięci i mikroprocesora. Spośród zalet kart elektronicznych można wyróżnić ich niewielki rozmiar, co sprawia, że można je nosić ze sobą w portfelu lub kieszeni, oraz fakt, że mogą przechowywać informacje o tożsamości użytkownika i jego numer PIN. Wady to m.in. fakt, że wymagają czytnika na urządzeniu komputerowym, a takie czytniki mogą być narażone na oszustwa. Ponadto karty elektroniczne muszą być wydawane i śledzone, można je łatwo zgubić lub ukraść, mogą się złamać, użytkownik musi taką kartę mieć przy sobie, by uzyskać dostęp do urządzenia komputerowego, a poza tym zostają zablokowane po kilku nieudanych próbach podania PIN-u.
Tokeny sprzętowe
Tokeny sprzętowe mają wiele tych samych wad i zalet co karty elektroniczne. Tokeny sprzętowe są bezpieczniejsze od haseł i tokenów smartfonowych, ponieważ są w mniejszym stopniu narażone na zainfekowanie oprogramowaniem typu keylogger lub innym rodzajem złośliwego oprogramowania zaprojektowanego z myślą o kradzieży danych uwierzytelniania. Można ich używać do logowania i uwierzytelniania transakcji, a użytkownicy nie muszą pamiętać złożonych haseł. Z drugiej jednak strony z tokenami sprzętowymi wiążą sie dodatkowe koszty (klucz sprzętowy oraz wszelkie dodatkowe oprogramowanie i sprzęt do obsługi uwierzytelniania). Poza tym użytkownik musi mieć taki token podczas logowania, a poszczególne serwisy WWW mogą wymagać różnych tokenów. Tokeny sprzętowe mogą paść ofiarą hakerów, jak pokazał przypadek SecurID firmy RSA w 2011 roku.
Tokeny smartfonowe
Tokeny smartfonowe są zasadniczo podobne do tokenów sprzętowych, z tym że hasło uwierzytelniania jest wysyłane do aplikacji na urządzeniu mobilnym użytkownika lub przez nią generowane. Zaletą takich tokenów jest to, że użytkownik nie musi nosić ze sobą dodatkowego sprzętu. Podobnie jak w przypadku tokenów sprzętowych tokeny smartfonowe są bezpieczniejsze od haseł, a użytkownik nie musi ich pamiętać. Jednakże tokeny smartfonowe również mogą paść ofiarą hakerów. Laboratorium FortiGuard przeanalizowało instancje botnetu Zitmo Android, który wyszukiwał kody uwierzytelniania dwuskładnikowego i udostępniał je centrum sterowania i kontroli.
FortiToken-200 firmy Fortinet zapewnia uwierzytelnianie sprzętowe dla sieci klienta
Uwierzytelnianie biometryczne
Istnieją dwa rodzaje biometrycznego uwierzytelniania użytkownika: fizjologiczne i behawioralne. To pierwsze polega na skanowaniu cech, takich jak odciski palców, geometria twarzy, wzór tęczówki lub siatkówki oka, czy geometria dłoni, z kolei drugie może obejmować rozpoznawanie głosu, pisanie na klawiaturze, czy skanowanie podpisu. Główną zaletą uwierzytelniania biometrycznego jest to, że takie uwierzytelnianie jest przypisane do konkretnej osoby, nie zachodzi więc potrzeba pamiętania skomplikowanych haseł lub noszenia dodatkowego sprzętu. Z drugiej jednak strony tego rodzaju pomiary są oparte na wzorcach, a wzorce rzadko kiedy dokładnie do siebie pasują, co może zafałszowywać wyniki. Za mało restrykcyjny proces rozpoznawania wzorców może prowadzić do udzielenia dostępu do systemu niepowołanej osobie. Z kolei zbyt restrykcyjny proces może uniemożliwiać uzyskanie takiego dostępu uprawnionym użytkownikom systemu.
Uwierzytelnianie dwuskładnikowe – najlepsze praktyki
Ochrona poufnych danych online poprzez zastosowanie uwierzytelniania wieloskładnikowego to najlepsza metoda zapewnienia bezpieczeństwa i integralności danych. Jednakże wybierając metody uwierzytelniania, nie należy zakładać, że w osiągnięciu konkretnych celów pomoże kombinacja dowolnych dwóch metod.
Należy pamiętać, że o ile uwierzytelnianie dwuskładnikowe zapewnia wysoki poziom bezpieczeństwa, istnieją dwa rodzaje ataków (atak maskaradowy i przechwytywanie sesji), które mogą obejść każdy rodzaj uwierzytelniania.
Atak maskaradowy należy rozumieć dosłownie. Polega on na przyjęciu fałszywej tożsamości cyfrowej i obejściu mechanizmu uwierzytelniania. Przechwytywanie sesji, zwane również przechwytywaniem sesji TCP, zachodzi, gdy atakujący wchodzi w posiadanie ID sesji i przejmuje kontrolę nad już uwierzytelnioną sesją. Należy mieć na uwadze, że żadna strategia uwierzytelniania dwuskładnikowego nie ochroni nas przed przechwyceniem sesji. Przesyłanie wszelkich danych za pomocą protokołów SSL i HTTPS może ograniczyć prawdopodobieństwo przechwycenia sesji.
Jedną ważną rzeczą, o której należy pamiętać podczas planowania strategii uwierzytelniania dwuskładnikowego, jest to, że niektóre rodzaje takiego uwierzytelniania są bardziej skuteczne niż inne. W niektórych przypadkach pojedynczy składnik może zapewniać większe bezpieczeństwo niż dwa składniki. Na przykład skan linii papilarnych będzie skuteczniejszy niż proste hasło i karta haseł jednorazowych.