Jedna od najvećih promjena koja se dogodila u cyber svijetu, a vezana je za zaštitu osobnih podataka je uvođenje dvostruke autentifikacije. Što je dvofaktorska provjera autentičnosti, čemu ona služi i na koji način štiti korisnika su sve pitanja koja se veoma često mogu čuti na online portalima, forumima ili chat grupama. Zbog toga smo odlučili da se pozabavimo ovom temom i damo vam odgovore na sva pitanja koja bi mogla da vas zanimaju.
Najbolja dvofaktorska autentifikacija - 1Password uz 30 dana jamstva za povrat novca i neograničen broj lozinki na neograničenom broju uređaja
Ažurirano: 1 lipanj 2023
Šta je 2FA (dvofaktorska autentifikacija)
Dvofaktorska autentifikacija se odnosi na poseban oblik multifaktorske potvrde identiteta koja odobrava pristup traženom uređaju ili sadržaju tek nakon što korisnik prođe dva testa (autentifikacijska faktora) da bi potvrdio svoj identitet.
Ovi faktori uglavnom uključuju nešto što znate, kao što su korisničko ime ili zaporka, kao i nešto što posjedujete, recimo pametni uređaj, da bi potvrdio zahtjev za pristupom.
Šta je 2FA donijela? Prvo i osnovno, korisnici su sada skoro u potpunosti zaštićeni od phishinga koji je godinama bio veliki problem.
Također, dvofaktorska autentifikacija štiti korisnike i od socijalnog inženjeringa (zloupotrebe informacija dobijenih direktnim kontaktom sa drugim licima), “brute-force” napada (hakerska tehnika kada uposle brzi računar da vam otkrije zaporku tako što će pokušavati različite kombinacije dok ne dođe do prave), a zaštićeni su i ukoliko koriste slabe ili kredencijale koji su ukradeni.
Zašto je dvofaktorska provjera autentičnosti bitna?
Dvofaktorska provjera autentičnosti (2FA) je osnova takozvanog “zero trust” modela sigurnosti. To znači da bi neki korisnik pristupio željenim podacima, on mora da potvrdi svoj identitet, bez obzira da li je ranije to već dokazao.
Primjerice, ukoliko koristite korisničko ime i zaporku da bi se prijavili na neku aplikaciju, te informacije se šalju putem primarne mreže (interneta). Zbog toga želite da vam drugi faktor autentifikacije koristi neki drugi komunikacioni kanal. Recimo, možete omogućiti push notifikacije na vašem mobilnom uređaju, da bi se koristila mreža vašeg mobilnog operatera.
Ovo je bitno iz razloga što, ukoliko haker presretne vašu internet komunikaciju, i ukrade vaše lozinke, drugi korak potvrde identiteta se šalje na potpuno drugi način i ukradeni podaci nisu dostatni da bi se neko dokopao vaših bitnih informacija.
Zbog toga je 2FA veoma efikasan način zaštite osjetljivih podataka jer ne dozvoljava pristup u situacijama kada je uređaj koji neko koristi ukraden.
Naravno, važi i obrnuto. Ukoliko napadači koji žele da se okoriste vašim podacima dođu u posjed vaših kredencijala, a ne posjeduju vaš uređaj koji koristite za pristup internetu, neće moći da dobiju pristup povjerljivim podacima, kao što su poslovne mreže, cloud skladišta, financijske informacije i slično, koje su pohranjene unurar vaših aplikacija.
I to sve iz razloga što neće moći da potvrde drugi faktor kod dvofaktorske autentifikacije. Dakle, što je dvofaktorska provjera autentičnosti više uključena u vaš svakodnevni rad, vi ste više zaštićeni.
Probajte 1Password sad
Garantovan povraćaj novca nakon 30 dana
Šta je 2FA: šta su autentifikacijski faktori?
Postoji više različitih načina na koje identitet neke osobe može da bude potvrđen korištenjem više od jednog metoda autentifikacije. Trenutačno se većina ovih metoda odnosi na “faktore znanja“, kao što su uobičajene zaporke. Sa druge strane, dvofaktorska autentifikacija najčešće uključuje posjedovne i/ili inherentne faktore.
Vrste autentifikacijskih faktora obuhvataju sljedeće:
- Faktori “znanja” – odnose se na nešto što korisnik pamti (zna), kao što su PIN brojevi, osobne tajne ili zaporke kod kojih vam mogu pomoći upravitelji lozinkama.
- Posjedovni faktori – odnose se na nešto što korisnik posjeduje, kao što su osobne iskaznice, elektronički uređaji, ili aplikacije za mobilne telefone koje potvrđuju autentifikaciju.
- Biometrijski faktori – poznati i kao inherentni faktori, odnose se na osobne značajke korisnika. Ovo uglavnom podrazumijeva otiske prstiju (koji se provjeravaju pomoću skenera otiska prsta), prepoznavanje lica osobe, prepoznavanje glasa i prepoznavanje korisničkih obrazaca.
- Lokacijski faktori – oni se odnose na lokaciju sa koje se pokreće zahtjev za potvrdu identiteta osobe. Ukoliko korisnik želi da se zaštiti, može da uposli ove faktore tako što će ograničiti mogućnost prijavljivanja samo na određene geografske lokacije. Ova autentifikacija se radi pomoću IP adrese ili podataka sa GPS (globalnog pozicionog sustava), koji se dobijaju sa uređaja sa kojeg se traži autentifikacija.
- Vremenski faktori – odnose se na korisničke restrikcije koje dozvoljavaju provjeru identiteta samo unutar zadatih vremenskih granica (na primjer, između 10 i 18 časova i slično) i mimo tog perioda nije dozvoljen pristup.
Većina dvofaktorskih autentifikacija implementiraju samo prva tri faktora, međutim, šta je 2FA kompleksniji, to se i drugi faktori uključuju. Također, poslovni korisnici sve više pribjegavaju i multifaktorskoj autentifikaciji (MFA) koja podrazumijeva dva ili više faktora za provjeru identiteta. Što je dvofaktorska provjera autentičnosti bolje implementirana, vi ste zaštićeniji.
Što je dvofaktorska provjera autentičnosti i kako radi?
Omogućavanje dvofaktorske autentifikacije umnogome ovisi o tome kako je željena aplikacija podešena. Međutim, njen proces je skoro uvijek isti i zahtijeva nekoliko uobičajenih koraka:
- korisnik mora da se uloguje na aplikaciju ili internetsku stranicu;
- korisnik unosi nešto što zna (“faktor znanja”), najčešće korisničko ime i zaporku. Nakon toga server internetske stranice pretražuje svoju bazu, uspoređuje podatke i prepoznaje korisnika;
- za procese koji ne zahtijevaju zaporke, internetska stranica generira jedinstveni sigurnosti ključ za korisnika. Alat koji se koristi za autentifikaciju, procesuira taj ključ, nakon čega ga server internetske stranice potvrđuje;
- nakon toga se korisnik upućuje na naredni, drugi korak autentifikacije. Iako ovaj korak može da bude veoma različit od slučaja do slučaja, uvijek se svodi na isto – korisnik mora da potvrdi da nešto posjeduje – jedinstveni otisak prsta, lice koje je povezano za nalogom, osobni dokument, elektronički uređaj i slično;
- sljedeće je generiranje koda koji se koristi samo prilikom te prijave (OTP) i nikada više, a korisnik mora da ga unese da bi nastavio proces autentifikacije;
- nakon što su oba faktora potvrde uneseni, korisniku se omogućava pristup aplikaciji ili internetskoj stranici.
Šta je 2FA: elementi dvofaktorske autentifikacije
Dvofaktorska autentifikacija može da se posmatra u širem i užem smislu. Ako govorimo o dvofaktorskoj autentifikaciji u širem smislu, onda je to svako korišćenje dva autentifikacijska faktora za provjeru identite neke osobe koja pokuša da pristupi određenom sustavu ili servisu.
Međutim, mnogo pravilnije je 2FA posmatrati u njenom užem smislu, kada dva faktora koja se koriste nisu iz iste kategorije. Recimo, ukoliko dva puta koristite provjeru putem zaporki, to zapravo i nije multifaktorska autentifikacija, nego jednofaktorska, pošto zaporke pripadaju istoj kategoriji autentifikacijskih faktora.
Jednofaktorska autentifikacija u biti nije dovoljno sigurna, zbog toga je multifaktorska autentifikacija i razvijena. Osnovni problem zaštite bazirane na zaporkama je utrošak vremena za kreiranje jakih lozinki, kao i memorija potrebna za skladištenje većeg broja zaporki.
Također su osjetljive na napade i spolja (hakerski brute-force, napad putem rječnika, itd.), ali i iznutra (ako, recimo, zapišete zaporku na parče papira koje vam neko ukrade ili ga nosite u telefonu, koji također bude meta lopova ili vam ostane uskladišten na starom čvrstom disku koji bacite u smeće). Zbog toga se preporučuje korištenje upravitelja lozinkama koji će otkloniti većinu tih problema.
Uz dovoljno vremena i resursa, napadači mogu da razbiju skoro svaki sigurnosni sustav koji je baziran samo na zaporkama i ukradu bitne podatke, kako osobne, tako i poslovne. Zaporke su i dalje najpopularniji način jednofaktorske zaštite jer su jeftin metod, lako se implementira, a i poznate su najširem krugu osoba.
Sa druge strane, ukoliko koristite samo jednofaktorsku autentifikaciju, više sigurnosti može da vam pruži metod biometrijske verifikacije ili sustav zaštite pomoću više pitanja i odgovora.
Tipovi proizvoda dvofaktorske autentifikacije
Mnogi uređaji implementirali su 2FA unutar svojih procesa, od običnih tokena do RFID kartica i aplikacija za pametne telefone.
2FA proizvodi mogu da se podijele u dvije kategorije:
- tokeni koji se dodjeljuju korisnicima prilikom logovanja
- softver koji prepoznaje i odobrava pristup korisniku koji je na pravilan način iskoristio svoj token.
Autentifikacijski tokeni mogu da budu fizički uređaji (kao što su pametne kartice) ili softver (programi ili aplikacije) koji generiraju autentifikacijske kodove. Ovi kodovi, poznati kao privremeni (OTP), se generiraju na serveru i autentifikacijski uređaj ili aplikacija ih prepoznaje. OTP je vezan za tačno određen uređaj, korisnika ili nalog i može da bude iskorišten samo jednom tijekom autentifikacijskog procesa.
Bitan dio dvofaktorske autentifikacije je omogućavanje korisniku da pristupi samo onim resursima za koje ima dozvolu, i nijednima drugima. Da bi se ovo postiglo 2FA vezuje sustav potvrde identiteta sa podacima za autentifikaciju koje koristi određena organizacija.
Kao što vidite, zaporke, odnosno lozinke, se nalaze u osnovi i koncepta dvofaktorske autentifikacije. Uglavnom one predstavljaju prvi korak u provjeri identiteta. Pošto je bitno imati jaku lozinku, a danas ih imamo na stotine, uputno je koristiti upravitelje lozinkama koji generiraju i čuvaju vaše lozinke na sigurnom. Da bismo vam olakšali izbor, pripremili smo vam listu najboljih upravitelja lozinki.
Kako rade hardverski 2FA tokeni
Hardverski tokeni se uglavnom nalaze u obliku USB stikova koji podržavaju enkripciju putem javnog ključa i univerzalni dvofaktorski protokol koji je razvila tvrtka FIDO Alliance, a što je dvofaktorska provjera autentičnosti popularizirala na tržištu.
Kada se korisnik uloguje na servis koji podržava OTP, kao što je Gmail ili WordPress, on onda treba da ubaci svoj hardverski token u USB slot, ukuca zaporku, i klikne na dugme koje se nalazi na USB-u. Nakon toga, hardverski token generira OTP i unosi ga u za to predviđena polja, šta je 2FA uobičajeni slijed koraka.
OTP sadrži 44 znaka i u pitanju je zaporka koja se koristi samo jednom i nakon toga se povlači iz optjecaja. Prvih 12 znakova je jedinstvena oznaka koja je, zapravo, sigurnosni ključ, povezan sa nalogom. Preostali znakovi sadrže šifrirane informacije koje samo serveri tokenovih proizvođača mogu da pročitaju pomoću ključa za dešifriranje koji je pohranjen na njima.
OTP se zatim šalje sa servisa na koji korisnik pokušava da se uloguje na server na autentifikaciju. Nakon što je OTP potvrđen, server vraća poruku u kojoj verificira korisnika i dvofaktorska autentifikacija je na taj nači dovršena.
Kao što vidite, korisnik je prošao 2 koraka potvrde – zaporku (faktor znanja) i hardverski token (faktor posjedovanja), šta je 2FA zaštitu sprovelo od početka do kraja.
Dvofaktorska autentifikacija na mobilnim uređajima
Ekspanzija mobilnih uređaja je omogućila proizvođačima da uvedu veliki broj novina u dvostruku autentifikaciju. Sada imamo senzore otisaka prsta, ugrađene kamere za prepoznavanje lica ili dužice oka, kao i mikrofone za glasovno prepoznavanje, što je dvofaktorska provjera autentičnosti implementirala.
Također, mobilni uređaji sa ugrađenim GPS-om mogu da potvrde svoju lokaciju. SMS i glasovne poruke su dodatni faktori koji se mogu iskoristiti. Najčešće se ipak koriste verifikacijski kodovi koji se šalju korisniku putem tekstualnih poruka ili automatskim pozivima, šta je 2FA standard.
Sve platforme koje se koriste na mobilnim uređajima (iOS, Android, Windows) podržavaju 2FA, što znači da prihvataju telefon kao hardverski token (faktor posjedovanja u dvofaktorskoj autentifikaciji).
Korisnici mobilnih telefona mogu instalirati i aplikacije za autentifikaciju koji će služiti kao drugi korak u potvrdi identiteta. Ove aplikacije generiraju privremene kodove koji služe za logiranje korisnika. Zapravo, one služe za potvrdu vlasništva nad uređajem, čime se kompletira proces verifikacije.
Push notifikacije za 2FA
Push notifikacije predstavljaju autentifikaciju koja se ne oslanja na zaporke, nego provjeru identiteta vrši tako što šalje notifikaciju direktno na aplikaciju na korisnikovom uređaju, na taj način obavještavajući korisnika da je proces autentifikacije započet.
U narednom koraku, korisnik može da vidi detalje autentifikacijskog procesa i da ga odobri ili opozove i to samo jednim pritiskom na zaslon uređaja. Ukoliko korisnik odobri autentifikacijski proces, server zaprima zahtjev i odobrava pristup, šta je 2FA proces završilo.
Push notifikacije, kao što vidite, potvrđuju identitet korisnika time što će utvrditi da je uređaj koji je registrovan sa autentifikacijskim sustavom (to je uglavnom mobilni telefon) u posjedu korisnika. Ukoliko neko kompromitira uređaj, to znači da su i push notifikacije također kompromitirane. One ne mogu da se izbore sa ovim zloupotrebama jer služe samo da bi se onemogućio neodobren pristup ili da bi se korisnici zaštitili od napada socijalnim inženjeringom.
Iako su push notifikacije veoma podesno sredstvo za zaštitu, ipak i one imaju određene manjkavosti. Najčešći sigurnosni rizik se odnosi na same korisnike. Posebice u slučajevima kada korisnik bez razmišljanja odobri pristup, bez da je provjerio šta je posrijedi. Zbog toga je neophodno svaku push notifikaciju pomno prekontrolisati da biste bili zaštićeni.
Da li je dvofaktorska autentifikacija sigurna?
Činjenica je da je dvofaktorska autentifikacija povećala sigurnost korisnika, međutim i dalje postoji problem nestručnog rukovanja od strane korisnika. Među njima su slabe zaporke, dijeljenje istih preko nezaštićenih kanala, instaliranje nepouzdanih aplikacija i mnogi drugi rizični načini zaštite.
Također, hardverski tokeni mogu da budu kompromitirani, zato konstantno treba voditi računa o vijestima koje dolaze od proizvođača.
I za kraj, savjet je da izbjegavate 2FA putem SMS poruka, bez obzira što je to najjednostavnije i rješenje koje se najlakše implementira. Mnoga nadzorna tijela već odavno odvraćaju korisnike od ovog sustava jer su OTP koji se generiraju putem SMS-a previše ranjivi na napade na mobilnu mrežu i malware. Što dalje znači da je veoma lako da ih hakeri presretnu i zloupotrijebe.
Probajte 1Password sad
Garantovan povraćaj novca nakon 30 dana
Što je dvofaktorska provjera autentičnosti: zaključak
Nakon što smo vam odgovorili na pitanja što je dvofaktorska provjera autentičnosti i šta je 2FA, red je još jednom da se osvrnemo na upravitelje lozinki.
Naime, pošto se zaporke i dalje najčešće koriste, potreban vam je organizator, koji je ujedno i generator jakih i praktički neprobojnih jedinstvenih lozinki koje ćete koristiti za pristup na različite sajtove ili aplikacije.
Jedan od najboljih programa te vrste je 1Password koji vam obezbjeđuje dvofaktorsku autentifikaciju, čime štitite svoje lozinke, privatne podatke i pristup željenim aplikacijama, programima ili web sajtovima.
Kombiniranjem upravitelja lozinki i dvofaktorske autentifikacije, svi vaši osobni podaci će biti potpuno zaštićeni od napada spolja i moći ćete bezbrižno da koristite internet za posao ili zadovoljstvo.