Přihlášení do e-mailu na novém počítači může být zdlouhavé. Uživatelé musejí často zadat nejen svou e-mailovou adresu a heslo, ale také ověřovací kód, který vygeneruje aplikace autentizátoru. Podobné to je v případě internetového bankovnictví, nebo profilů na sociálních sítích.

Celý proces se nazývá dvoufaktorové ověřování (2FA) a má zvýšit bezpečnost přihlašování. Útočníci, kteří by se jakýmkoliv způsobem zmocnili přihlašovacího jména a hesla, bez kódu dvoufaktorového ověření nemají šanci účet ovládnout.

Jednoduše řečeno, metoda chrání před krádeží účtu. Ne vše, co se ale o 2FA uvádí, je pravda. Už před deseti lety portál The Wired poukázal na několik mýtů, z nichž mnohé přetrvávají dodnes.

Dvoufaktorová autentizace není zranitelná vůči běžným hrozbám

Metoda 2FA zvyšuje bezpečnost online účtu. Systém ale není zcela neprůstřelný. Souvisí to s mnoha přihlašovacími prvky. Ve většině případů je prvním ověřovacím faktorem „znalost“.

Pro zahájení procesu přihlášení musí uživatel znát heslo, PIN kód nebo odpověď na bezpečnostní otázku. Druhý krok ověření často vyžaduje ověřovací prvek, který vlastní pouze ověřený uživatel. Je to například čipová karta, tzv. hardwarový token, nebo smartphone, na který se pošle ověřovací kód buď formou SMS nebo do ověřovací aplikace.

To ale není tak bezpečné, jak by se na první pohled mohlo zdát. SMS zprávy nejsou šifrované a lze s nimi snadno manipulovat. Metoda 2FA také nechrání před phishingem ani útoky sociálního inženýrství, tedy pokusy o oklamání uživatelů s cílem ukrást osobní údaje. Přesto jde o jeden z nejčastějších scénářů manipulace s uživateli.

Klasickým příkladem je pokus o ovládnutí Microsoft účtu. Kvůli různým formám úniků dat útočník může znát e-mailovou adresu a heslo uživatele. Poté naváže kontakt s obětí a vydává se za zaměstnance Microsoftu.

Pokusí se přihlásit k účtu oběti a požádá o sdělení kódu vygenerovaného ověřovací aplikací. Pokud oběť kód sdělí, dojde ke kompromitaci účtu. A to i navzdory dvoufaktorovému ověření.

Dvoufaktorové ověřování vyžaduje druhé zařízení

Také není pravda, že metoda dvoufaktorového ověřování funguje pouze se dvěma zařízeními. Chytrý telefon je možné použít pro oba kroky přihlašovacího procesu.

Uživatel například může zadat své heslo k e-mailu, a poté přihlášení potvrdit otiskem prstu. Prvním faktorem je tedy znalost přihlašovacích údajů a druhým biometrický údaj. Oba lze načíst stejným zařízením.

V úvahu ale přicházejí i jiné scénáře. Například uživatel zadá své přihlašovací údaje, aby se přihlásil k sociální síti, a poté zadá kód vygenerovaný autentizační aplikací pro potvrzení.

I v takovém případě se vše odehrává na stejném zařízení. O skutečné dvoufaktorové ověření se ale jedná pouze v případě, kdy je aplikace autentizátotu se zařízením provázaná.

To je mimochodem důvod, proč mnozí bezpečnostní experti kritizují 2FA, založené na SMS. V takovém případě se totiž nejedná o skutečné dvoufaktorové ověřování. Zprávy SMS mohou být přesměrovány. Abyste je mohli přijímat, nemusíte mít chytrý telefon v ruce.

2FA je otravná, zdržující a uživatelům příliš nepomáhá

Dvoufaktorové ověřování samozřejmě proces přihlašování komplikuje. Uživatelům nestačí zadat pouze jméno a heslo, nebo PIN kód. Toto úsilí navíc se ale vyplatí.

Potenciálním útočníkům to výrazně snižuje jejich úspešnost při kradení účtů. K používání 2FA se snaží své uživatele motivovat i velcí poskytovatelé různých služeb, jakými jsou Microsoft, Samsung a Google. V drtivé většině online bankovnictví je tato forma přihlášení dokonce povinná.

Pokud je dvoufaktorové ověření správně nasazené a používané, je jen velmi nízká pravděpodobnost, že by se útočníkům podařilo zístat přístup k oběma faktorům. A pokud ano, tak je spárovat.

Lze tedy konstatovat, že dvoufaktorové ověřování je dobrým nástrojem pro ochranu účtů před neoprávněným přístupem. Musí být ale správně implementováno a používáno.

Zdroj: MakeUseOf, TechSpot

Přihlášení do e-mailu na novém počítači může být zdlouhavé. Uživatelé musejí často zadat nejen svou e-mailovou adresu a heslo, ale také ověřovací kód, který vygeneruje aplikace autentizátoru. Podobné to je v případě internetového bankovnictví, nebo profilů na sociálních sítích.

Celý proces se nazývá dvoufaktorové ověřování (2FA) a má zvýšit bezpečnost přihlašování. Útočníci, kteří by se jakýmkoliv způsobem zmocnili přihlašovacího jména a hesla, bez kódu dvoufaktorového ověření nemají šanci účet ovládnout.

Jednoduše řečeno, metoda chrání před krádeží účtu. Ne vše, co se ale o 2FA uvádí, je pravda. Už před deseti lety portál The Wired poukázal na několik mýtů, z nichž mnohé přetrvávají dodnes.

Dvoufaktorová autentizace není zranitelná vůči běžným hrozbám

Metoda 2FA zvyšuje bezpečnost online účtu. Systém ale není zcela neprůstřelný. Souvisí to s mnoha přihlašovacími prvky. Ve většině případů je prvním ověřovacím faktorem „znalost“.

Pro zahájení procesu přihlášení musí uživatel znát heslo, PIN kód nebo odpověď na bezpečnostní otázku. Druhý krok ověření často vyžaduje ověřovací prvek, který vlastní pouze ověřený uživatel. Je to například čipová karta, tzv. hardwarový token, nebo smartphone, na který se pošle ověřovací kód buď formou SMS nebo do ověřovací aplikace.

To ale není tak bezpečné, jak by se na první pohled mohlo zdát. SMS zprávy nejsou šifrované a lze s nimi snadno manipulovat. Metoda 2FA také nechrání před phishingem ani útoky sociálního inženýrství, tedy pokusy o oklamání uživatelů s cílem ukrást osobní údaje. Přesto jde o jeden z nejčastějších scénářů manipulace s uživateli.

Klasickým příkladem je pokus o ovládnutí Microsoft účtu. Kvůli různým formám úniků dat útočník může znát e-mailovou adresu a heslo uživatele. Poté naváže kontakt s obětí a vydává se za zaměstnance Microsoftu.

Pokusí se přihlásit k účtu oběti a požádá o sdělení kódu vygenerovaného ověřovací aplikací. Pokud oběť kód sdělí, dojde ke kompromitaci účtu. A to i navzdory dvoufaktorovému ověření.

Dvoufaktorové ověřování vyžaduje druhé zařízení

Také není pravda, že metoda dvoufaktorového ověřování funguje pouze se dvěma zařízeními. Chytrý telefon je možné použít pro oba kroky přihlašovacího procesu.

Uživatel například může zadat své heslo k e-mailu, a poté přihlášení potvrdit otiskem prstu. Prvním faktorem je tedy znalost přihlašovacích údajů a druhým biometrický údaj. Oba lze načíst stejným zařízením.

V úvahu ale přicházejí i jiné scénáře. Například uživatel zadá své přihlašovací údaje, aby se přihlásil k sociální síti, a poté zadá kód vygenerovaný autentizační aplikací pro potvrzení.

I v takovém případě se vše odehrává na stejném zařízení. O skutečné dvoufaktorové ověření se ale jedná pouze v případě, kdy je aplikace autentizátotu se zařízením provázaná.

To je mimochodem důvod, proč mnozí bezpečnostní experti kritizují 2FA, založené na SMS. V takovém případě se totiž nejedná o skutečné dvoufaktorové ověřování. Zprávy SMS mohou být přesměrovány. Abyste je mohli přijímat, nemusíte mít chytrý telefon v ruce.

2FA je otravná, zdržující a uživatelům příliš nepomáhá

Dvoufaktorové ověřování samozřejmě proces přihlašování komplikuje. Uživatelům nestačí zadat pouze jméno a heslo, nebo PIN kód. Toto úsilí navíc se ale vyplatí.

Potenciálním útočníkům to výrazně snižuje jejich úspešnost při kradení účtů. K používání 2FA se snaží své uživatele motivovat i velcí poskytovatelé různých služeb, jakými jsou Microsoft, Samsung a Google. V drtivé většině online bankovnictví je tato forma přihlášení dokonce povinná.

Pokud je dvoufaktorové ověření správně nasazené a používané, je jen velmi nízká pravděpodobnost, že by se útočníkům podařilo zístat přístup k oběma faktorům. A pokud ano, tak je spárovat.

Lze tedy konstatovat, že dvoufaktorové ověřování je dobrým nástrojem pro ochranu účtů před neoprávněným přístupem. Musí být ale správně implementováno a používáno.

Zdroj: MakeUseOf, TechSpot