Câteva noțiuni despre autentificarea cu doi factori

Am amintit în treacăt, în ultimul post al seriei despre cloud computing, cel despre securitate, și de autentificarea cu doi factori. Cred că este util să dau un pic mai multe amănunte despre subiect, suficiente pentru ca orice afacere care are de protejat date sensibile să știe exact ce să solicite de la departamentul IT sau integratorul/implementatorul cu care lucrează.

Scenariul cel mai comun de acces la diverse resurse electronice este autentificarea folosind un username (sau adresa de mail) și o parolă. Problema fiind, desigur, că odată ce cineva a aflat (ghicit, furat) aceste informații, va putea să se autentifice în sistem de oricâte ori vrea, până când utilizatorul de drept își dă seama și își schimbă parola.

Dacă luăm în calcul și faptul că o foarte mare parte din utilizatori folosesc aceeași parolă pentru toate conturile, iar username-ul este și el reciclat sau este o adresă de email cunoscută, vom constata că există șanse foarte mari ca, la un moment dat, orice cont protejat prin acest sistem să fie penetrat.

Este, prin urmare, recomandat să-ți protejezi informațiile sensibile folosind sisteme de autentificare mai sigure, cum sunt configurațiile în care se folosesc doi factori pentru autentificare (pentru ușurintă, voi scrie 2FA atunci când mă refer la “two factor authentication”).

Definiția 2FA este: “un sistem care combină două din următoarele metode independente de autentificare: ceva ce știe, ceva ce are și ceva ce este persoana care de autentifică”. Să vedem ce înseamnă fiecare din aceste metode.

• Ceva ce știe. Aici este simplu – este metoda cea mai răspândită de autentificare. Utilizatorul cunoaște niște informații secrete – un username, o parolă, un număr PIN.
• Ceva ce are. Se referă de obicei la obiecte fizice – un smartcard, un token, o legitimație de acces.
• Ceea ce este. Orice date biometrice fac parte din această categorie – amprente, imaginea retinei, forma feței sau amprenta vocală.

Probabil că toată lumea s-a lovit de multe ori de aceste noțiuni și elemente de autentificare: la intrarea în companie se flutură un “badge” electronic sau se arată legitimația portarului. Atunci când dorim să scoatem bani de la ATM sau să plătim cu cardul, trebuie să introducem PIN-ul. Iar mai nou, laptop-urile au cititor de amprentă pe care îl putem folosi pentru a ne autentifica în sistemul de operare.

Scenariul cel mai comun de 2FA, care oferă securitate satisfăcătoare pentru un preț redus și ușurință în folosire, este următorul:

• Atunci când îi este creat contul de acces în sistem, utilizatorul primește un username și un token fizic, plus un PIN pe care îl va folosi pentru a activa acel token.
• La logarea în sistem, va introduce username-ul pe care îl știe, apoi va folosi token-ul pe care îl are pentru a genera un șir de numere ce va juca rol de parolă. Aceasta este valabilă doar pentru o scurtă perioadă de timp și poate fi utilizată o singură dată.

Dacă folosești un sistem de Internet banking, ai recunoscut probabil descrierea procedurii de autentificare. Dar nu doar băncile sau alte instituții “cu bani” își pot permite să folosească 2FA. Costurile de implementare sunt relativ reduse și există soluții care costă maxim câteva sute de euro, plus costul token-ilor. Ba chiar există sisteme “software-only”, cum este cel pe care îl folosește Google pentru Google Apps.

Concluzia și recomandarea mea sunt:

• Este relativ simplu de înțeles, implementat și utilizat un sistem 2FA, iar nivelul de securitate pe care îl adaugă sistemului este semnificativ.
• Orice companie care are date valoroase, accesibile din Internet (în contextul cloud computing), ar trebui să migreze autentificarea simplă, bazată pe username și parolă, către o soluție 2FA.

Care este părerea ta despre 2FA? Folosești așa ceva sau crezi că ești suficient de bine protejat folosind doar parola? Scrie un comentariu mai jos!

Image credit: Graham Simpson.

No related posts.