Danas su kompjuteri i pametni uređaji postali dovoljno pristupačni da svako može imati i koristiti više njih, bilo da su to pametni telefoni, prenosni računari, tableti ili pak nosivi mikro uređaji poput pametnog sata. Uz trend prelaska sa klasičnih korporativnih servera na virtuelne servere i usluge u „oblaku“, raste potreba za sigurnom proverom autentičnosti korisnika, ali to takođe postaje sve veći izazov. To nas dovodi do koncepta višefaktornih mehanizama za proveru autentičnosti (autentikaciju) korisnika koji zavise od više faktora i nazivaju se višefaktornom autentikacijom (eng. multi-factor authentication, MFA). Šta to znači i kako se postiže?
Cilj višefaktorne autentikacije je da formira slojevitu odbranu, oslanjajući se na dva ili više različitih načina za utvrđivanje autentičnosti korisnika prilikom prijavljivanja u sistem i davanja privilegija pristupa. Kombinuje ono što korisnik zna (korisnička lozinka), ono što korisnik poseduje (token) i ono što fizički identifikuje korisnika (biometrijska verifikacija). Time što se bazira na više faktora za utvrđivanje autentičnosti korisnika otežava neovlašćeni pristup kompjuterima, mobilnim uređajima, fizičkim lokacijama, mrežama ili bazama podataka; a sa svakim dodatnim slojem postiže se bolja zaštita, jer svaki sloj štiti u onom delu u kojem ostali slojevi zaštite mogu biti slabi.
Kad bi samo mogli da razvijemo jedan metod autentifikacije koji je 100% pouzdan i da se ne može provaliti ni na koji način, onda nam ne bi ni trebala višefaktorna autentifikacija. Jer lozinke se mogu videti, čuti, pogađati ili zaobići; token može biti izgubljen ili ukraden; a jednojajčani blizanci, kao i korišćenje fotografije u stanju je da zavara biološke sisteme za prepoznavanje (identifikaciju). Upravo zbog toga je višefaktorna autentifikacija vrlo važna, a krucijalna je za bezbednost korisničkog naloga.
Zato višefaktorna autentifikacija postaje sve prisutnija, naročito u finansijskoj industriji i trenutno krupnim koracima grabi ka tome da obuhvati postupak skeniranja retine oka i otiska prsta, prepoznavanje glasa, pa čak i prepoznavanje lica.
Jednokratne lozinke
Dostupne su aplikacije koje generišu jednokratne lozinke na isti način kao što su sigurnosni tokeni funkcionisali u prošlosti. Jednokratna lozinka je generisana i poslata na mobilni telefon preko SMS-a i ograničenog je vremena validnosti.
Koristeći pametni telefon ili tablet eliminiše se potreba da korisnik vodi računa o tokenima, a kompanije imaju manje troškove za izgubljene tokene, deaktiviranje izgubljenih i aktiviranje novih tokena kad se zaposlenom izdaje novi token ili kad se novozaposleni prima u organizaciju.
Biometrijska autentifikacija
Vodeći proizvođači pametnih telefona prepoznaju da korisnicima bezbednost igra sve važniju ulogu, pa su počeli da ugrađuju biometrijske senzore i autentifikaciju kako bi se pobrinuli da samo autorizovani korisnik može imati pristup uređaju. Svaka od ovih tehnika (
autentifikacija preko otiska prsta, prepoznavanje glasa, prepoznavanje lica ili skeniranje mrežnjače) ima svoje prednosti i mane.
Implementacija višefaktorne autentifikacije u „oblaku“
Kako se podaci, alati za komunikaciju, prezentiranje, obuku, skladištenje i arhiviranje, kao i aplikaciona serverska infrastruktura sele u „oblak“, IT administratori moraju da se izbore sa rizicima koje donosi izlazak iz tradicionalnog domena servera smeštenog u prostorijama firme. Višefaktorna nasumična autentifikacija korisnika je neophodna da bi se podaci u „oblaku“ zaštitili na pravi način.
Microsoft, Google, Amazon Web Services, Facebook i Twitter — između ostalih — nude višefaktornu autentifikaciju za pristupanje servisima u „oblaku“, a neki od njih već proširuju sisteme opcijama kojima bi se podržala višefaktorna autentifikacija.
Višefaktorna autentifikacija za Office 365
Aplikacije u sistemu Office 365 zahtevaju od korisnika lozinku da bi pristupili aplikacijama na svojim PC, Mac, i prenosnim uređajčićima. A Office 365 adminstratorski alat automatski izdaje slučajno izabrani broj od 16 znakova kao token za korisnike prilikom prijavljivanja u sistem. Od korisnika se po prijavljivanju u sistem traži da podesi dodatni faktor autentikacije, koji može biti:
– Pozovi moj mobilni: Kad korisnik primi potvrdni poziv, potrebno je da pritisnu # na tastaturi, da bi im bilo omogućeno prijavljivanje.
– Pozovi moj kancelarijski telefon: Slično kao kod prethodne opcije, ali poziv za potvrdu ide na fiksni broj.
– Pošalji tekstualni kod na moj mobilni: Tajni kod se šalje na SMS broj korisnikovog telefona, da bi se isti mogao uneti u formular za prijavljivanje Office 365 paketa.
– Obavesti me preko aplikacije: Ako koristite aplikaciju za pametne telefone, primićete notifikaciju i dati potvrdu; aplikacija radi na Windows, iOS i i Android platformama.
– Prikaži jednokratni kod u aplikaciji. Ovaj sistem koristi istu aplikaciju kao u prethodnom pasusu, ali šalje jednokratni šestocifreni kod koji se mora ukucati na formi za logovanje u sistem Office 365.
Višefaktorna autentifikacija za Office 365 korišćenjem Microsoft Azure AD
Office 365 sa Microsoft Azure aktivnim direktorijumom je jedno rešenje za velike korporacije koje zahteva od korisnika da ispravno unesu lozinku, a onda da primi telefonski poziv, tekstualnu poruku, ili obaveštenje mobilne aplikacije, čime se prijavljuju u sistem.
Potreba za zaštitom
U 2014. više od 1.800 anketiranih u istraživanju Instituta Ponemon naznačilo je da njihove organizacije planiraju uvođenje jedne od formi višefaktorne autentifikacije, dok je dodatnih 40 procenata razmatralo tu opciju. Kako lozinke postaju sve više nebezbedna opcija, a kako naši mobilni uređaji osvajaju teritoriju računarstva u “oblaku”, VFA alati pronalaze primenu u gotovo svakom ćošku korporacija, naročito tamo gde se radi sa ličnim informacijama. Na primer, Symantec Validation and ID Protection Service predstavlja visokoskalabilno rešenje za rad u “oblaku” koje obezbeđuje vrlo sigurnu višefaktornu autentifikaciju za preduzeća svih veličina.