Dwuskładnikowe uwierzytelnienie (2FA) to sposób zabezpieczania dostępu do aplikacji, logowania do systemów bankowości internetowej, poczty elektronicznej czy mediów społecznościowych.
Zalety 2FA:
1. Dodatkowy poziom bezpieczeństwa
- Wymagane dwa elementy weryfikacyjne są niezależne od siebie. Najczęściej są to dwa elementy z zestawu:
- składnik, który użytkownik zna (np. hasło),
- składnik, który użytkownik posiada (np. kod służący do uwierzytelnienia, który jest wysłany do użytkownika na wcześniej zdefiniowane urządzenie poprzez wiadomość SMS, odcisk palca).
- Zdobycie przez atakującego wyłącznie jednego elementu uwierzytelniającego nie daje mu możliwości dostępu do chronionej aplikacji. Atakujący potrzebuje zarówno hasła (pozyskanego np. w wyniku phishingu), jak i drugiego czynnika weryfikacyjnego (który jest wysyłany wyłącznie na urządzenie użytkownika użytkownika).
2. Zabezpieczenie przed atakami na hasła
- Redukcja ryzyka związanego z wyciekiem hasła – w przypadku wycieku bazy danych z hasłami (np. w wyniku ataku na witrynę internetową), przestępcy nadal nie będą mieli pełnego dostępu do kont użytkowników, ponieważ nie będą posiadali drugiego elementu weryfikacyjnego.
- Ochrona przed atakami typu brute force – ataki polegające na wielokrotnym próbowaniu różnych kombinacji haseł, są praktycznie uniemożliwione, ponieważ atakujący w celu weryfikacji poprawności testowanego hasła potrzebują poprawnego drugiego elementu weryfikacyjnego.
3. Elastyczność i wygoda
- Różne sposoby dostarczenia drugiego elementu weryfikacyjnego: kody SMS, wiadomości PUSH, token sprzętowy, dane biometryczne. Użytkownicy mogą wybrać metodę, która najlepiej odpowiada ich preferencjom.
4. Minimalizacja skutków utraty hasła
- Powiadomienie o próbie nieautoryzowanego dostępu – użytkownik otrzymując powiadomienie lub prośbę o potwierdzenie przy pomocy drugiego elementu uwierzytelniającego jest jednocześnie informowany o aktywności na koncie (ewentualnej próbie włamania), co umożliwia mu natychmiastową reakcję.
- Zdalne zarządzanie bezpieczeństwem konta – rozwiązania korzystające z 2FA umożliwiają użytkownikom zdalne zarządzanie bezpieczeństwem, co zwiększa kontrolę zarówno nad dostępem jak i aktywnością.
Choć wprowadzenie 2FA przyczyniło się do znacznego podniesienia poziomu bezpieczeństwa w środowisku online, a korzyści wynikające z tej praktyki są istotne zarówno dla jednostek, jak i organizacji, to w zakresie oceny bezpieczeństwa stosowanych elementów uwierzytelniających oraz sposobów ich dostarczania wciąż następują zmiany. Aktualnie z powszechnie stosowanych metod dostarczania elementu uwierzytelnienia największą popularnością, wynikającą zarówno z kosztów związanych z implementacją jak i przystępnością w użytkowaniu, cieszy się metoda dostarczania poprzez wiadomości PUSH kierowane do wskazanego przez użytkownika smartfonu (zdefiniowanego dla konta użytkownika w systemie).
Ataki na rozwiązania stosujące 2FA
Przestępcy zauważyli rosnącą popularność 2FA i dostosowali narzędzia i techniki ataku. Aby atak miał szanse przynieść efekt, ofierze wysyła się link prowadzący do fałszywej bramki płatności, przez którą przechodzi ona do podstawionej strony logowania do banku. Po wpisaniu loginu i hasła zostają one przesłane do atakującego, a on przesyła je dalej do serwisu bankowego. Bank widzi, że klient próbuje się zalogować, więc wysyła do niego SMS z kodem albo oczekuje podania ciągu znaków wygenerowanych w aplikacji. Oczywiście ten etap też jest przewidziany na podstawionej stronie, gdzie wyświetla się okienko w celu podania wybranej metody, z której korzysta klient. Atakujący, po wprowadzeniu przez nieświadomą osobę swoich danych i kodu, uzyskuje w dostęp do konta bankowego ofiary.
Inną metodą ataku jest wyrobienie duplikatu karty SIM. Operatorzy telekomunikacyjni są wyczuleni i podchodzą do prośby o duplikat z większą uwagą, tym nie mniej przestępca może podać się za właściciela numeru i wystąpić o wyrobienie drugiej karty przypisanej do numeru. W tym scenariuszu zakłada się, że atakujący ma już dostęp do konta bankowego ofiary. Gdy pozyskany duplikat karty SIM zostanie aktywowany na telefonie przestępcy, prawowity właściciel utraci zasięg na swoim telefonie (nie jest w stanie korzystać ze swojej karty SIM). Od tego momentu przestępca otrzymuje wszystkie połączenia i wiadomości SMS. Mając dostęp do konta, zleca przelew i poprzez SMS otrzymuje kod, po wpisaniu którego bank weryfikuje transakcję. Z tego powodu dostęp do np. konta bankowego powinien być potwierdzany za pomocą aplikacji (komunikacją PUSH).
Jak się chronić przed atakiem
- Zarówno w SMS jak i PUSH podawane są szczegóły transakcji - jeżeli coś się nie zgadza, nie należy autoryzować takiej transakcji. Bardzo ważne jest czytanie, co się akceptuje (tak samo jak czytanie treści dokumentu przed podpisaniem). Często treść komunikatu to jedyny element umożliwiający zorientowanie się, że jesteśmy na celowniku oszustów.
- Należy dbać o bezpieczeństwo fizyczne urządzenia, które służy nam do pozyskania drugiego elementu uwierzytelniającego (token, smartfon). W przypadku jego utraty należy bezzwłocznie o tym fakcie poinformować stronę dostarczającą usługę.
- Należy dbać o bezpieczeństwo konfiguracji urządzenia, które służy nam do pozyskania drugiego elementu uwierzytelniającego. Jeśli do odblokowania urządzenia wykorzystujemy elementy biometryczne, np. odcisk palca, to dbajmy o to by nikt poza nami nie dodał swojego odcisku.
- Należy mieć na uwadze możliwość pozyskania przez atakującego duplikatu karty SIM – zduplikowanie telefonu lub sparowanie nowego telefonu do aplikacji.
- Należy z dużą dozą nieufności podchodzić do wszelkich stron realizacji płatności podstawianych w aktywnych linkach – najlepiej z takich linków nigdy nie korzystać. Każdą wątpliwość w zakresie autentyczności strony płatności należy brać bardzo poważnie.
- Nie należy ufać osobom w rozmowie telefonicznej przychodzącej podającym się za pracownika instytucji zaufania publicznego (policjanta, prokuratora, bankowca). Dla weryfikacji pracownika naszego banku należy skorzystać z opcji podania przez niego hasła zwrotnego lub potwierdzenia realizacji kontaktu poprzez wiadomość PUSH.