Vícefaktorová autentizace

Co je to autentizace a jakými způsoby může proběhnout, jsme si uvedli již v prvním díle našeho seriálu.

Řekli jsme si, že autentizace může být založena na tom, že uživatel „něco ví“, „něco má“ nebo „něco je“. V dalších dílech jsme se pak věnovali jednotlivým autentizačním metodám. Dnes bychom mohli upřít svůj pohled směrem k vícefaktorové autentizaci.

Běžně používaná definice vícefaktorové autentizace však není úplně přesná a možná i proto se najde dost informatiků, kteří si myslí, že když do systému zadávají dvě různá hesla, tak se dvoufaktorově autentizují. Není tomu tak. Ostatně, to je možné se dočíst i na wikipedii, kde se píše:

Supplying a user name („something the user knows“) and password („something the user knows“) is single factor authentication, despite the use of multiple pieces of distinct information. Supplying additional information in the form of answers to challenge questions (more of „something the user knows“) is still single-factor authentication.

Poznámka: Vícefaktorová autentizace (multifactor authentication, zkr. MFA) se někdy označuje jako silná autentizace (strong authentication). Tento pojem však nedoporučuji používat, neboť je značně zavádějící a může vést k mnohým nedorozuměním. Mnoho informatiků si např. pod tímto pojmem představuje silné 15 znakové heslo.

Uživatel se v zásadě může autentizovat sedmi různými způsoby, viz následující tabulka, přičemž v prvních třech případech (A, B, C) se jedná o jednofaktorovou autentizaci (single factor authentication, zkr. SFA). V následujících třech případech (D, E, F) se jedná o dvoufaktorovou autentizaci (two factor authentication, zkr. TFA nebo 2FA) a konečně v posledním případě (G) se jedná o třífaktorovou autentizaci.

  něco ví něco má něco je
A X    
B   X  
C     X
D X X  
E X   X
F   X X
G X X X

Výše uvedené možnosti autentizace lze však mnohem elegantněji zachytit pomocí Vennových diagramů.

vicefaktorova-autentizace

Vzhledem k nejasnostem a nepochopení toho, co vlastně vícefaktorová autentizace je, viz například studie o (ne)nasazení vícefaktorové autentizace v mnohých amerických bankách, se objevuje nová definice skutečné vícefaktorové autentizace:

By definition true multifactor authentication requires the use of solutions from two or more of the three categories of factors. Using multiple solutions from the same category at different points in the process may be part of a layered security or other compensating control approach, but it would not constitute multifactor authentication.

Bohužel ani nová definice nerozptýlila některé nejasnosti ohledně vícefaktorové autentizace. Správně již sice definuje, že aby byla splněna podmínka vícefaktorové autentizace, tak každý faktor musí být z jiné kategorie, ale neříká, v jakém vztahu by měl být faktor k osobě, která se autentizuje.

Pokud hovoříme o vícefaktorové autentizaci uživatele, tak máme obvykle na mysli, že uživatel „něco ví“ a „něco má“, popřípadě že „něco je“. Správně bychom ale měli říci, že uživatel „něco ví a jen on to ví“, „něco má a jen on to má“ a „něčím je a jen on tím je“. Podstatný je právě ten dodatek „jen on to ví/má/je“, neboť tím se vylučuje sdílení autentizačních faktorů.

Na závěr jsem si pro vás připravil 3 kontrolní otázky:

#1: Dochází k vícefaktorové autentizaci, když použijete svojí platební kartu s čipem při nákupu v e-shopu, který vás přesměruje na 3D secure platební bránu?

#2: Dochází k vícefaktorové autentizaci, když si jdete vybrat peníze z bankomatu a použijete k tomu svojí platební kartu s čipem?

#3: Dochází k vícefaktorové autentizaci, když s kolegou sdílíte SMART card a PIN, který je nutný pro přihlášení do systému vašeho zákazníka, kterému poskytujete podporu?

Na kterou z výše uvedených otázek můžete odpovědět ANO?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. SB

    Jenom na 2.?

  2. birkof

    Zdravím. Pěkný článek, ale tak nějak nevím, co si představit pod tím „něčím je a jen on tím je“, respektive, jak to využít k autentizaci.


K článku “Vícefaktorová autentizace” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: