Dvoufazové ověření

Ukrást vaše heslo k emailovému účtu je jednodušší než se vám zdá. Od slabého a nevyhovujícího hesla až po napadení vašeho počítače virem. I díky tomu nabírá na popularitě takzvané dvoufázové ověření.

 

O co jde?

První fáze ověření přístupu je takzvané „ověření vědomostí“, kdy jste dotázán na přístupové heslo/přihlašovací jméno, a jelikož, jak víme hesla nejsou vždycky bezpečná, tak přichází na řadu druhá fáze – ověření vlastnictví.  Třeba ověření skrz mobil nebo jiný nezávislý token, který vlastní fyzicky majitel účtu.

 

 

 

Nejdůležitější částí dvoufázového ověření je nezávislost obou fází na sobě, proto ideálním doplněním dvoukrokového přihlášení k emailu je zaslání unikátního bezpečnostního kódu do mobilu. První fáze je zadání hesla přes internet a druhá nezávislá fáze jde prostřednictvím mobilní sítě nezávisle na první. Pokud se tedy zmocním jen jedné fáze, například zjistím heslo uživatele pomocí útoku na jeho počítač, dokud nebudu vlastnit i druhou fázi – jeho telefon, nikdy se na účet nedostanu.

 

Příklady dvoufázového ověřování

Takovým klasickým případem dvoufázového ověřování, kterým si prochází skoro každý z nás skoro na denní bázi, je výběr z bankomatu. První fáze je pomocí PIN, který máte vy v hlavě a druhá fáze je fyzický objekt – platební karta. Pokud se někdo zmocní vaší karty ze standardního bankomatu bez vědomostí o první fázi, nikdy peníze z bankomatu nevybere.

 

 

Průkopníkem v masovém dvoufázovém ověření na internetu je společnost Google. S jejich masivním počtem emailových účtů pro kohokoliv je velká šance, že někteří uživatelé budou mít slabá hesla. Gmail účet pro přihlášení využívá jako druhou fázi mobilního telefonu. Bud‘ je zaslán kód do SMS zprávy nebo je využita mobilní aplikace, která je propojená s daným Google účtem a generuje samotný kód.

 

Samotné ověření mobilem má také pár nedostatků. Například pokud je mobil odcizen, je nefunkční nebo nemáme signál, nebude nám umožněno přihlásit se do svého účtu. Samotné zprávy také nejsou nijak šifrovány a jsou zachytitelné. Google tuhle situaci řeší produkci „náhradních kódů“ což jsou vstupní kódy, které vám systém vygeneruje a vy si je můžete uschovat pro situace jako tahle. Tím, ale znovu vzniká nebezpečí a narušení smyslu druhé fáze v nezávislosti na té první. Kódy by tedy měly být bezpečně uschovány bud‘ zašifrovaně na počítači nebo uschované v tisknuté podobě.

Další možností druhé fáze jsou takzvané tokeny. Je to fyzické zařízení, většinou malé velikosti určené k připnutí třeba na klíče. Takový token může být buď nepřipojitelný, kdy token generuje ověřovací heslo, které uživatel zadá v rámci ověřování nebo připojitelný, kdy se token připojí do určitého portu a vyplní ověření. Tokeny můžou být i bezdrátové nebo čipové karty, kdy se token přikládá. U takových tokenů je vysoká bezpečnost, ale trpí podobnými problémy jako ověření přes mobil. Token může být jednoduše ztracen, odcizen nebo rozbit, což nechá uživatele bez možnosti se přihlásit.

Brzká budoucnost dvoufázového ověření je ověřování pomocí biometrie. Biometrie je autentizace pomocí jedinečné biologické vlastnosti jedince. Tedy třeba otisk prstu nebo scan oční duhovky. Autentizace pomocí biometrie je bezpečná a současně omezuje nevýhody na minimum.. Hlavní nevýhodou je nákladnost těchto technologií.