PrettyPrint

utorok 16. januára 2018

Dvojfaktorová autentifikácia

Čo je multifaktorová autentifikácia?

 

Multifaktorovou autentifikáciou označujeme spôsob overenia, pri ktorom musí používateľ dodať niekoľko od seba nezávislých dôkazov svojej identity - väčšinou sa jedná o dôkazy z aspoň dvoch nasledujúcich kategórií:
  • niečo, čo používateľ vie (knowledge) napr. heslo,
  • niečo, čo používateľ vlastní (possession) napr. mobil, na ktorý je odoslaná SMS správa,
  • niečo, čo dokazuje fyzickú prítomnosť používateľa (inherence) napr. odtlačok prsta.
Účelom multifaktorovej autentifikácie je zamedzenie neoprávneného prístupu k službám a dátam, keďže pri klasickom overení heslom môže dôjsť k jeho nechcenému prezradeniu, prípadne uhádnutiu alebo ukradnutiu zo strany útočníka.

 

 

Čo je dvojfaktorová autentifikácia?

 

Dvojfaktorová autentifikácia je overenie, pri ktorom musí používateľ dodať presne dva dôkazy svojej identity (tzn. jedná sa o formu multifaktorovej autentifikácie). Bežne sa s ňou stretávame napr. pri práci s internet bankingom, kde je obyčajne potrebné zadať heslo a prepísať kód z SMS správy zaslanej na náš mobil. Skrátene sa tento spôsob overenia označuje tiež ako 2FA.

 

 

Dvojfaktorová autentifikácia u nás

 

Od 10.01.2018 je možné využívať dvojfaktorovú autentifikáciu aj v našich službách (ElbiaHosting, subHoster, ElbiaNIC), konkrétne pri prihlasovaní do nášho administračného rozhrania ElbiaAdmin. Podporovanou formou dvojfaktorovej autentifikácie je v súčasnosti štandard Universal 2nd Factor (U2F).

 

 

Autentifikačný štandard U2F

 

U2F je autentifikačný štandard, ktorý si kladie za cieľ spĺňať nasledujúce kritériá:
  • otvorenosť,
  • jednoduchosť,
  • vysoká bezpečnosť,
  • dostupnosť.
U2F bol vytvorený spoločnosťami Google a Yubico a momentálne ho zastrešuje organizácia FIDO Alliance. Funguje využitím asymetrickej kryptografie, pri ktorej webová služba, počas prihlasovania, vygeneruje reťazec náhodných znakov, špecializované USB zariadenie (hardvérový bezpečnostný kĺúč) tento reťazec podpíše svojim súkromným kľúčom a webová služba následne podpis overí verejným kľúčom zariadenia. Zaujímavosťou je, že súkromný aj verejný kľúč sú uložené na strane webovej služby a pri prihlasovaní sú do zariadenia odoslané (súkromný kľúč je zašifrovaný heslom, ktoré pozná len USB zariadenie). Týmto je zaručené, že USB zariadenie nemusí mať žiadne lokálne úložisko dát, do ktorého by muselo ukladať súkromné kľúče pre jednotlivé webové služby (pre každú sa vždy vygenerujú nové kľúče) a teda môže fungovať s neobmedzeným počtom webových služieb.




U2F je momentálne podporovaný v nasledujúcich webových prehliadačoch:
  • Google Chrome verzia 38 alebo vyššia,
  • Opera verzia 40 alebo vyššia,
  • Mozilla Firefox verzia 57* alebo vyššia.
* V prípade Mozilla Firefox verzie 57 je nutné v about:config aktivovať (true) nastavenia security.webauth.u2f a security.webauth.webauthn, dúfajme, že to vo verzii 58 už nutné nebude.


Aktivácia U2F

 

Dvojfaktorovú autentifikáciu si u nás môžete aktivovať po prihlásení do nášho administračného rozhrania, v sekcii Nastavenia - Dvojfaktorová autentifikácia.



Váš hardvérový bezpečnostný kľúč si môžete pridať po kliknutí na tlačidlo Nový hardvérový bezpečnostný kľúč, následne sa stačí riadiť pokynmi. S Vašim kontom si môžete spárovať aj viac bezpečnostných kľúčov, napr. aby ste sa 'neodstrihli' v prípade, že sa jeden z nich poškodí alebo stratí.

 

 

Používanie U2F

 

Po aktivácii U2F bude náš systém pri každom Vašom prihlásení požadovať aj overenie pomocou Vášho hardvérového bezpečnostného kľúča.



Záver

 

Štandard U2F ponúka naozaj vysokú bezpečnosť za vcelku nízku cenu (najjednoduchší hardvérový bezpečnostný kľúč s podporou U2F sa v čase písania článku dal zohnať, bez dopravy a DPH, za cca 16 eur) a už teraz je podporovaný takmer všetkými veľkými webovými prehliadačmi a ostatné určite nezostanú dlho pozadu (podporu prisľúbil aj Microsoft v prehliadači Edge). Prevádzkovatelia webových služieb taktiež postupne pridávajú podporu a prihlásenie pomocou U2F je možné napr. do všetkých služieb Googlu, Facebooku, GitHubu a veľa ďaľších.