Czym jest uwierzytelnianie wieloskładnikowe (MFA)?

Uwierzytelnianie wieloskładnikowe (MFA) to proces bezpieczeństwa, w którym użytkownicy są zobowiązani do przejścia przez różne etapy uwierzytelniania, aby uzyskać dostęp do systemu lub aplikacji lub sfinalizować transakcję. 

W przeciwieństwie do innych praktyk weryfikacji tożsamości, MFA dodaje drugą warstwę bezpieczeństwa, wymagając dodatkowej informacji. 

To, oczywiście, komplikuje dostęp oszustom, nawet jeśli posiadają hasło.

Firmy SaaS powinny poważnie rozważyć wdrożenie MFA podczas obsługi wrażliwych informacji, ponieważ zwiększa to bezpieczeństwo i prywatność. 

MFA koncentruje się na konkretnych kategoriach danych podczas weryfikacji tożsamości:

• Czynniki wiedzy: Informacje, które zna użytkownik, takie jak hasło lub PIN.

• Czynniki posiadania: Przedmioty, które posiada użytkownik, takie jak smartfon, klucz sprzętowy lub aplikacja uwierzytelniająca.

• Czynniki wrodzone: Cechy biometryczne, w tym odciski palców, rozpoznawanie twarzy lub wzorce głosu.

• Czynniki lokalizacji lub kontekstowe: Sygnały takie jak lokalizacja geograficzna, adres IP lub reputacja sieci.

Połączenie czynników w procesie weryfikacji zwiększy bezpieczeństwo.

MFA ma następujące korzyści: 

• Silniejsza ochrona konta: Skompromitowane hasła same w sobie są niewystarczające do uzyskania dostępu.

• Zmniejszone ryzyko naruszenia danych: Microsoft podaje, że MFA może zablokować ponad 99% ataków polegających na przejęciu konta.

• Ulepszona kontrola dostępu: MFA wymusza spójne, oparte na polityce uwierzytelnianie wśród użytkowników i systemów.

• Niższy wpływ na działalność: Zapobiega stratom finansowym, przestojom i szkodom wizerunkowym spowodowanym naruszeniami.

• Zmniejszona zależność od haseł: Ogranicza narażenie na ponowne użycie haseł i ataki typu credential stuffing.
  

Chociaż MFA może wiązać się z niewielkimi utrudnieniami i kosztami wdrożenia, korzyści w zakresie bezpieczeństwa dla większości organizacji zazwyczaj przeważają nad tymi ustępstwami.

Hasła nadal stanowią pierwszy krok uwierzytelniania w wielu procesach MFA. Słabe lub ponownie użyte hasła zwiększają ryzyko włamania i ataków inżynierii społecznej, zwłaszcza w przypadku zmęczenia MFA, gdy cyberprzestępcy wywierają presję na użytkowników, by zatwierdzali żądania logowania.

Silne, unikalne hasło zmniejsza ryzyko naruszenia bezpieczeństwa w pierwszej kolejności i wzmacnia skuteczność MFA. 

W środowisku korporacyjnym MFA działa w następujący sposób:

1. Użytkownik wprowadza swoją nazwę użytkownika i hasło.
2. System uwzględnia kontekst, biorąc pod uwagę urządzenie, lokalizację i zachowanie.
3. Użytkownik jest proszony o podanie drugiego czynnika uwierzytelniającego, takiego jak kod z aplikacji uwierzytelniającej, skan biometryczny lub token sprzętowy. 
4. Dostęp jest przyznawany wyłącznie po pomyślnej weryfikacji.

Organizacje SaaS powinny również rozważyć dodanie dodatkowej metody uwierzytelniania na wypadek, gdyby główne urządzenie zostało skompromitowane lub z innych przyczyn było niedostępne.

Systemy MFA często wykorzystują różne metody do identyfikacji nowych lub nieznanych urządzeń, w tym:

• odcisk cyfrowy urządzenia
• analiza adresów IP
• historia lokalizacji
• monitorowanie aktywności. 

To właśnie te metody podnoszą alarm, gdy do próby logowania używa się nowej lokalizacji lub nietypowego urządzenia. Takie praktyki są przydatne w przypadku aplikacji zdalnych i chmurowych, gdzie występuje duża różnorodność urządzeń.

Adaptacyjne MFA opiera się na ocenie ryzyka w celu ustalenia wyższych lub niższych uwierzytelniania poziomów. Istnieje wiele sygnałów, które mogą wywołać wyższe poziomy weryfikacji, takie jak:

• nietypowe lokalizacje
• niemożliwe przemieszczanie się
• nietypowe zachowania lub sieci
• podejrzane sieci. 

Sytuacje niskiego ryzyka mogą przebiegać z minimalnymi utrudnieniami, natomiast sytuacje wysokiego ryzyka wymagają więcej czynników lub są blokowane. Ta praktyka zapewnia lepsze bezpieczeństwo, a także eliminuje niepotrzebne żądania MFA dla zwykłych użytkowników.

Tak. Siła MFA zależy od zastosowanych kryteriów. 

• Kody SMS zapewniają najniższy poziom ochrony i są podatne na podmianę karty SIM.
• aplikacje uwierzytelniające i sprzęt tokeny zapewniają wyższy poziom pewności
• czynniki biometryczne (stosowane przez 3D Secure) zapewniają najwyższy poziom bezpieczeństwa, o ile są prawidłowo wdrożone. 

Organizacje SaaS powinny rozważyć siłę uwierzytelniania wieloskładnikowego (MFA) zgodnie z wrażliwością danych lub chronionego systemu, równoważąc wymagania bezpieczeństwa z doświadczeniem użytkownika.