W dobie coraz szybciej rozwijającego się Internetu oraz narastającej ilości usług wymagających uwierzytelnienia, staje się zasadne pytanie o konieczność dodatkowego zabezpieczenia logowania. Mimo, iż drugi składnik wymagany przy dostępie do naszych usług nie jest niczym nowym, istnieją poważne wątpliwości co do wymuszenia jego stosowania przez usługodawców.
Co to jest uwierzytelnianie dwuskładnikowe (2FA)?
Uwierzytelnianie dwuskładnikowe to nic innego, jak dodatkowy składnik, który należy podać w momencie logowania się np. do ulubionego portalu społecznościowego.
Do tej pory korzystaliśmy zasadniczo z jednego składnika – składnika wiedzy. Inaczej mówiąc, doskonale wiedzieliśmy, gdzie chcemy się dostać i jaki jest nasz login oraz hasło. Ten system posiadał jednak zasadniczy problem – jeśli ja coś wiem, nie jest powiedziane, że nikt inny nie może posiąść tej informacji. Postanowiono więc pójść o krok dalej i wykorzystać do procesu uwierzytelniania jeden z dwóch kolejnych składników: posiadania (coś, co dana osoba ma) lub cechy (to, kim dana osoba jest). Przekucie tych dwóch cech na system informatyczny okazało się stosunkowo proste. Każdy dzisiaj posiada przecież telefon komórkowy, a naszą unikatową cechą jest chociażby odcisk palca. Tak powstały aplikacje służące 2FA (Two-Factor Authentication) czy też MFA (Multi-Factor Authentication). Dzisiaj takie rozwiązania jak Google Authenticator czy Microsoft Authenticator posiadają ponad 100 milionów pobrań z dedykowanych sklepów z aplikacjami, a ich popularność i świadomość o ich istnieniu coraz bardziej rośnie.
O ile pozyskanie wiedzy o naszym haśle wydaje się być stosunkowo proste, o tyle pozyskanie czyjegoś telefonu komórkowego, dodatkowo zablokowanego… odciskiem palca (!) praktycznie uniemożliwia bezpośrednio dostęp do naszych portali społecznościowych czy kont bankowych. Tutaj dochodzimy do poważnego dylematu – czy drugi składnik powinien być wymuszony na użytkowniku?
Czy uwierzytelnianie dwuskładnikowe powinno być obowiązkowe?
Pomimo uciążliwości takiego rozwiązania – no bo przecież trzeba mieć przy sobie ten nieszczęsny telefon, by przepisać z niego ciąg np. 6 cyfr – nie wyobrażam sobie dzisiaj sprawnie działającego systemu informatycznego organizacji, gdzie uwierzytelnianie dwuskładnikowe jest ignorowane. Wyobraźmy sobie najbardziej prawdopodobny przypadek, gdzie wycieka login i hasło użytkownika ActiveDirectory. Tymi danymi pracownik/administrator dostaje się do wszystkich usług i danych firmy. Ten sam login i hasło użytkownik wykorzystuje do zestawiania tunelu VPN z organizacją. Bazując tylko na składniku wiedzy, droga do wycieku danych w takim przypadku okazuje się być bardzo krótka. Jest też banalnie prosta dla doświadczonych hakerów.
Uwierzytelnianie dwuskładnikowe FortiToken
Idąc tym śladem, Fortinet zadbał o to, by chociażby sesje VPN dało się zabezpieczyć poprzez uwierzytelnianie dwuskładnikowe. Każdy nowy Fortigate domyślnie posiada dwa bezpłatne FortiTokeny, które można podpiąć dowolnemu użytkownikowi urządzenia. Taki pracownik, czy też administrator w momencie podłączania się tunelem VPN, musi w aplikacji FortiClient wpisać 6 cyfr z aplikacji FortiMobile, zainstalowanej na dowolnym telefonie komórkowym.
Pamiętajmy, że czas poświęcony na wpisanie 6 znaków w aplikacji jest niewspółmierny z tym, koniecznym do odwrócenia skutków niekontrolowanego wycieku danych. A jeśli twoje systemy wspierają 2FA lub MFA, może warto uruchomić je wszędzie tam, gdzie to możliwe? A jeśli chcesz się dowiedzieć, jak działa FortiToken, skontaktuj się z nami - [email protected] lub formularz kontakowy.
O autorze: Adam Hulin
Informatyk-wdrożeniowiec
W branży IT od ponad dekady. Specjalista ds. Backupu oraz Antywirusów. Człowiek od zadań specjalnych - zaczynał od świadczenia usług outsourcingowych, następnie sam wspierał 40 osobowy zespół w dwóch niezależnych firmach. Obecnie z pasją rozwija swoją widzę związana z takimi produktami jak WithSecure, Eset, Nakivo czy Xopero. Szczęśliwy ojciec dwóch córek. Z zamiłowania majsterkowicz, w social mediach znajdziecie go jako Inżynier Złota Rączka.