6. diel - Bezpečné prihlasovanie - 2FA a viacfaktorové overovanie Nové

V predchádzajúcej lekcii, Bezpečnosť hesla - Tvorba hlavných hesiel , sme sa dozvedeli, ako správne vytvárať hlavné heslá a ich kategorizáciu podľa použitia a stupňov zabezpečenia.

V tomto tutoriále kyberbezpečnosti nadviažeme na predchádzajúce lekcie o tvorbe a správe hesiel. Pripomenieme si ich úlohu pri ochrane dát a ukážeme si, prečo ani tie najsilnejšie heslá dnes často nestačia.

Dvojfaktorové a viacfaktorové overovanie

Hoci dobre zvolené heslo tvorí základ zabezpečenia, prax ukazuje, že ľudský faktor býva najslabším článkom. Heslá bývajú znovu používané, príliš jednoduché alebo uniknú pri prelomení databázy.

Preto je ďalším krokom dvojfaktorové (2FA) a viacfaktorové overovanie (MFA), ktoré k bežnému prihláseniu pridáva ďalšiu vrstvu ochrany.

Vďaka MFA nestačí útočníkovi poznať samotné heslo - musí mať aj prístup k ďalšiemu overovaciemu prvku, napríklad k mobilnému zariadeniu alebo biometrickému údaju. Tým sa výrazne znižuje riziko neoprávneného prístupu aj pri úniku prihlasovacích údajov.

Princíp 2FA a MFA

Viacfaktorové overovanie (MFA) rozširuje klasické prihlásenie o ďalšiu formu potvrdenia identity. Zatiaľ čo heslo predstavuje iba jeden faktor ("niečo, čo vieme"), MFA kombinuje dva alebo viac faktorov z rôznych kategórií:

• niečo, čo vieme – napríklad heslo alebo PIN,
• niečo, čo máme – napríklad mobilný telefón, hardvérový kľúč alebo čipovú kartu,
• niečo, čím sme – teda biometrické údaje, ako je odtlačok prsta alebo rozpoznanie tváre.

Ak používame iba dva z týchto faktorov, hovoríme o dvojfaktorovom overovaní (2FA). Každý pridaný faktor zvyšuje odolnosť systému proti útoku – útočník by musel získať nielen heslo, ale aj fyzické zariadenie alebo biometrické údaje.

Z bezpečnostného hľadiska platí, že kombinácia viacerých typov faktorov (napríklad heslo + mobilný kľúč) je výrazne silnejšia ako opakovanie jedného typu (napríklad dva rôzne kódy zaslané e-mailom).

Druhy MFA v praxi

Existuje niekoľko spôsobov, ako možno viacfaktorové overovanie realizovať. Jednotlivé metódy sa líšia úrovňou bezpečnosti, pohodlím pre užívateľov aj rizikom zneužitia. Nižšie si predstavíme tie najčastejšie.

SMS kód

Najrozšírenejšou formou 2FA je zaslanie jednorazového overovacieho kódu prostredníctvom SMS. Po zadaní hesla používateľ dostane krátky číselný kód, ktorý musí zadať pre potvrdenie prihlásenia.

Tento spôsob je síce jednoduchý a široko podporovaný, ale z pohľadu zabezpečenia má svoje slabiny. Útočník môže kód zo SMS zachytiť. SMS overenie by teda malo byť považované iba za základnú formu 2FA. Pre bežné účty postačí, ale pri dôležitých systémoch by mala byť nahradená bezpečnejšou metódou.

Aplikačné overovanie

Bezpečnejším variantom je overovanie pomocou mobilnej aplikácie, ktorá generuje jednorazové časové kódy (TOTP – Time-Based One-Time Passwords).

Medzi najznámejšie nástroje patrí Google Authenticator, Microsoft Authenticator alebo Authy:

Nastavenie je jednoduché – do mobilného telefónu nainštalujeme aplikáciu, v zabezpečení danej služby (napríklad e-mailu alebo cloudového úložiska) aktivujeme voľbu Zapnúť dvojfázové overenie a na obrazovke sa zobrazí QR kód.

Tento kód naskenujeme pomocou aplikácie v mobile, čím dôjde k prepojeniu účtu s naším zariadením. Od tej chvíle aplikácie každých 30 sekúnd vytvára nový šesťmiestny kód, ktorý zadávame spoločne s heslom pri prihlásení.

Vďaka tomu sa bezpečnosť účtu výrazne zvýši – útočníkovi už nestačí poznať iba naše heslo, ale musel by získať aj prístup k mobilnému zariadeniu, na ktorom sa kódy generujú.

Výhodou tejto metódy je, že kód sa nevysiela cez internet ani cez SMS, takže ho nemožno zachytiť. Kódy sa generujú priamo v zariadení, ktoré je prepojené so službou.

TOTP predstavuje ideálny kompromis medzi bezpečnosťou a jednoduchosťou. Nastavenie zvládne aj bežný používateľ a väčšina online služieb túto metódu dnes podporuje.

Push notifikácie

Alternatívna metóda viacfaktorového overovania využíva push notifikácie – potvrdenie prihlásenia priamo v autentizačnej alebo bankovej aplikácii v mobile. Po zadaní hesla sa na telefóne zobrazí upozornenie s informáciou o pokuse o prihlásenie, ktoré užívateľ jednoducho schváli alebo zamietne.

Z hľadiska princípu funguje táto metóda podobne ako TOTP aplikácia, len namiesto ručného zadávania kódu stačí potvrdiť žiadosť jedným kliknutím. Autentizácia tak prebieha prostredníctvom zariadenia, ktoré užívateľ fyzicky vlastní, teda faktoru typu niečo, čo máme.

Táto metóda je veľmi rýchla a pohodlná, ale môže viesť k nepozornému správaniu - ak užívateľ dostáva výzvy často, môže ich začať potvrdzovať automaticky. Výzvy na prihlásenie potvrdzujeme len vtedy, keď si sme istí, že prístup skutočne iniciujeme my.

Hardvérové bezpečnostné kľúče

Najvyššiu úroveň zabezpečenia ponúkajú hardvérové bezpečnostné kľúče, napríklad YubiKey alebo Feitian. Tieto zariadenia komunikujú so systémom cez USB, NFC alebo Bluetooth a prihlasovanie funguje fyzickým pripojením alebo dotykom kľúča.

Hardvérový kľúč sa nedá ľahko skopírovať ani napadnúť vzdialene, čo z neho robí ideálne riešenie pre prístup k firemným účtom, cloudovým službám alebo správu kritickej infraštruktúry.

Hardwarové kľúče využívajú štandardy FIDO2 a U2F (Universal 2nd Factor), ktoré sú podporované väčšinou moderných prehliadačov a systémov.

Biometrické overovanie

Ďalším faktorom, ktorý je možné využiť v rámci MFA, je biometria – teda overenie užívateľa na základe jedinečných fyzických vlastností, ako je odtlačok prsta, sken tváre alebo hlasový vzor.

Biometria je rýchla a pohodlná, ale má aj svoje limity. Biometrické údaje sú trvalé a nemožno ich zmeniť rovnakým spôsobom ako heslo – môžeme síce znovu zaregistrovať iný prst alebo iný biometrický vzor, ale pokiaľ unikne digitálna šablóna, nemožno "vymeniť" telo užívateľa. Kompromitácia biometrických údajov preto predstavuje trvalejšie riziko ako únik hesla.

Preto sa biometria najčastejšie používa v kombinácii s iným faktorom, napríklad s PINom alebo heslom, najmä na úrovni zariadenia (mobilný telefón, notebook).

Útoky na MFA

Hoci všetky uvedené metódy výrazne zvyšujú úroveň zabezpečenia, žiadny systém nie je úplne bez rizík. Ani viacfaktorové overovanie nie je totiž úplne nepriestrelné. Útočníci využívajú rôzne spôsoby, ako používateľov oklamať alebo obísť celý proces overenia.

Najčastejšie riziká predstavujú phishingové útoky, kedy falošná prihlasovacia stránka vyláka nielen heslo, ale aj overovací kód, alebo SIM swapping, pri ktorom útočník prevedie telefónne číslo obete na svoju SIM kartu a preberá overovaciu SMS.

Osobitnú pozornosť si zaslúži aj push bombing – zahlcovanie užívateľa opakovanými výzvami na potvrdenie prihlásenia, ktoré môže viesť k nechcenému schváleniu prístupu.

Preto je dôležité používať bezpečnejšie formy MFA, ako sú mobilné aplikácie alebo hardvérové kľúče, a zároveň sa pri každej výzve uistiť , že prístup skutočne iniciujeme my sami.

Bezpečné používanie MFA

Aby MFA plnilo svoj účel, je potrebné dodržiavať niekoľko jednoduchých zásad:

• Aktivujme MFA všade, kde to služba umožňuje.
• Preferujme mobilné aplikácie alebo hardvérové kľúče pred SMS kódmi.
• Nikdy nezadávajme kódy na stránkach, pri ktorých si nie sme istí ich pravosťou.
• Využívajme biometriu ako doplnok, nie jediný faktor.
• Majme pripravené záložné možnosti prihlásenia (napr. recovery kódy alebo druhé zariadenie).
• Potvrdzujme výzvy na prihlásenie len vtedy, keď vieme, že sme ich naozaj spustili my.

Aj keď sú heslá stále základom ochrany, až viacfaktorové overovanie výrazne znižuje riziko neoprávneného prístupu. Správne nastavené MFA je dnes nevyhnutným prvkom kybernetickej ochrany – predstavuje jednoduchý krok, ktorý dokáže zabrániť väčšine útokov na používateľské účty.

V ďalšej lekcii, Nastavujeme operačný systém - Súkromie, antivírusy a ďalšie SW , si povieme, ako nastaviť súkromie, spomenieme aj antivírusový softvér a zameriame sa na nastavenie riadeného prístupu k zložkám a zásady bezpečnej inštalácie programov.