S vícefaktorovým přihlášením se pravděpodobně potkal každý uživatel internetu. Je součástí přihlašování uživatele do kritických on-line služeb a spočívá v tom, že uživatel musí prokázat svoji totožnost pomocí několika faktorů. Ty se zpravidla dělí do tří skupin – na znalostní faktory (sem spadá například heslo), faktory založené na vlastnictví (čipová karta nebo USB klíč) a behaviorální faktory (otisk prstu nebo obličeje). Důvodem vyžadování více faktorů při přihlašování je snaha zvýšit bezpečnost celého procesu v případě, že podvrhnutí totožnosti může u dané služby znamenat významné riziko.
bezpečnost vícefaktorové přihlašování phishing mojeID
Asi nejběžnějším případem, kdy na tento způsob přihlášení uživatel narazí, jsou portály on-line bankovnictví. V poslední době takovouto úroveň zabezpečení vyžaduje i stát pro přístup k celé řadě služeb veřejné správy prostřednictvím tzv. Identity občana.
Zavedení vícefaktorového přihlašování vzniklo primárně jako reakce na útoky, kterým byli uživatelé vystaveni v případech, kdy služba vyžadovala pouze zadání uživatelského jména a hesla. Ukazuje se totiž, že pro internetové podvodníky je velice jednoduché tyto údaje z uživatele vylákat a vydávat se následně za něj. Tito podvodníci jsou dnes schopni pomocí tzv. phishingu přesvědčit uživatele, že zapisuje své přihlašovací údaje na skutečných webových stránkách služby, zatímco ve skutečnosti se jedná o podvodné stránky provozované útočníkem. Aniž by si to uživatel uvědomil, vyplněním údajů na podvodné stránce svoje údaje útočníkovi předá. Rozšíření přihlašovacího procesu o ověření dalšího faktoru z jiné kategorie způsobí, že i když útočník náhodou heslo získá, je mu samo o sobě k ničemu.
Konkrétní způsoby realizace vícefaktorového přihlášení se u jednotlivých služeb značně liší a mezi těmito způsoby můžeme nalézt takové, které s novějšími poznatky již nelze označit jako jednoznačně bezpečné. V následujících odstavcích probereme ty možnosti, se kterými se uživatel může potkat nejčastěji, a zjistíme, jak moc jim může uživatel důvěřovat.
Prvním způsobem, který se při zavádění vícefaktorového přihlašování objevil, bylo potvrzení pomocí SMS zprávy. Tento druhý faktor je založen na vlastnictví telefonního čísla, na které uživateli služba pošle jednorázový kód. Tento jednorázový kód musí uživatel předat v rámci přihlašovacího procesu. Zejména díky jednoduchosti a dostupnosti (není vyžadován chytrý telefon) se tato možnost stala rychle populární. Časem se nicméně ukázalo, že tato metoda má svá slabá místa a v aktuálních bezpečnostních doporučeních se již označuje jako vyloženě nebezpečná. Jedním z důvodů je slabé zabezpečení technického řešení, kterým jsou SMS doručovány. V posledních letech bylo demonstrováno několik úspěšných odchycení SMS komunikace využívající zranitelnosti v protokolech, na kterých je právě toto řešení postaveno. Druhým důvodem je také zjištění, že řada telefonních operátorů není odolná vůči podvodníkům a umožní předání telefonního číslo jiné osobě, pokud tato osoba dostatečně přesvědčivě tvrdí, že ztratila telefon a toto číslo jí patří. Bez ohledu na zmíněné možnosti odchytit SMS mimo uživatelův telefon existuje i v tomto případě stále možnost, že podvodník uživatele přesvědčí, aby mu předal kromě hesla i jednorázový kód. Přestože tento jednorázový kód, na rozdíl od hesla, má obvykle krátkou dobu platnosti, jenom to podtrhuje fakt, že na SMS potvrzování se nelze dívat jako na bezpečný způsob vícefaktorového přihlášení.
Bohužel se ukazuje, že rozšířenost tohoto způsobu dosáhla takové míry, že bude pravděpodobně trvat ještě dlouhou dobu, než uživatelé tento způsob opustí. Klíčové je, aby uživatelé začali nebezpečnost použití SMS pro přihlašování (ale i pro potvrzování bankovních transakcí) vnímat, a v tom musí pomoci provozovatelé služeb, kde je stále možné tento způsob použít, tedy zejména banky. Pro banky je to pochopitelně těžké rozhodování, protože vyžadováním vyššího zabezpečení od zákazníka riskují, že o něj přijdou. I v rámci Identity občana od státu nicméně existuje přihlašovací prostředek označovaný jako NIA-ID, jehož bezpečnost je založená jen na SMS kódu. Bylo by dobré, kdyby i stát podnikl kroky vedoucí k tomu, že uživatelé přestanou tento prostředek používat a zvolí raději prostředek, který je bezpečnější.
V reakci na problémy spojené s potvrzováním pomocí SMS kódů se časem objevila bezpečnější alternativa v podobě potvrzovací aplikace na chytrém mobilním telefonu nebo tabletu. Ta navíc přináší řádově pohodlnější režim, ve kterém již není nutné opisovat dlouhý jednorázový kód. Mechanismus přihlášení je v tomto případě obvykle založen na existenci soukromého klíče uloženého bezpečně v mobilním zařízení, s jehož využitím je možné na základě techniky digitálního podpisu ověřit, že přihlášení potvrdil pouze držitel daného telefonu. V případě, že toto potvrzení je ještě ověřené uživatelovým otiskem prstu nebo obličeje, může samotná mobilní aplikace sloužit jako vícefaktorový prostředek a je možné se zbavit problematického zadávání hesla úplně. V současnosti se mezi potvrzovacími aplikacemi objevují v zásadě dvě varianty. První varianta využívá systému tzv. push-notifikací, kdy uživatel nejprve zadá nějaké údaje o sobě (uživatelské jméno, rodné číslo apod.) a do aplikace mu automaticky přijde výzva, aby potvrdil přihlášení ke službě. Tuto variantu používají např. Česká spořitelna, ČSOB nebo Raiffeisen banka. U druhé varianty se nezadávají žádné údaje. Přihlašovací stránka služby pouze zobrazí QR kód, který si potvrzovací aplikace naskenuje a po potvrzení uživatelem předá službě všechny potřebné informace. Toto je případ například Air banky nebo Mobilního klíče eGovernmentu.
V případě potvrzovacích aplikací se určitě uživatel může cítit mnohem bezpečněji, ale stále se nedá říct, že by byl chráněn dostatečně. Zejména v případě první varianty může útočník se znalostí např. rodného čísla vyzývat uživatele, aby potvrdil přihlášení, který ho např. omylem potvrdí a schválí tak přístup útočníkovi. Ale i ve druhé variantě může útočník připravit sofistikovanou webovou stránku vypadající jako ta správná a donutit nějakou lstí uživatele, aby se na ni přes svojí aplikaci přihlásil. Na pozadí pak útočník získá přístup k účtu oběti podobně, jako kdyby odchytil heslo.
Jednoznačně nejbezpečnější variantou jsou čipové karty spolu s obslužnou aplikací zajišťující funkcionalitu přihlašování. Jejich používání je nicméně, zdá-se, za hranicí toho, co jsou uživatelé ochotní obětovat v souvislosti s pohodlím celého přihlašovacího procesu. Kromě nutnosti mít kartu stále při sobě totiž tato technologie vyžaduje nosit s sebou i čtečku čipových karet, a to nejlépe takovou, která bude komunikovat s mobilním telefonem pro případ, že uživatel potřebuje provést přihlášení na telefonu. Nutnost instalovat si na svůj počítač nebo telefon příslušnou obslužnou aplikaci také nevyhovuje každému, a to ještě musí mít uživatel štěstí, že obslužná aplikace existuje pro jeho operační systém.
Asi nejmodernějším přírůstkem do rodiny prostředků pro vícefaktorové přihlašování je technologie bezpečnostních klíčů vybudovaná pod hlavičkou FIDO Alliance. Tato organizace sdružuje celou řadu firem se zájmem o vyřešení problému bezpečného a uživatelsky přívětivého přihlašování. Členy jsou i společnosti jako Google, Apple nebo Microsoft. Společně se tyto společnosti dohodly na standardu, který je z principu odolný proti phishingu a zároveň stále uživatelsky přívětivý. Na rozdíl od čipových karet je tato technologie integrována přímo do prohlížečů a není tedy nutné instalovat další aplikace. Přestože většina uživatelů se s těmito bezpečnostními klíči možná setkala v podobě fyzického zařízení s USB portem (např. Yubikey), které je třeba si zakoupit, v posledních letech se podařilo výrobcům operačních systému integrovat tyto klíče přímo do systému a nutnost cokoliv si pořizovat tedy odpadá. Uživatelé Windows 10, kteří si aktivují v nastavení přihlašování pomocí Windows Hello, mají automaticky vytvořen klíč integrovaný s daným počítačem. Tento klíč je poté možné spojit se službou, která tento typ přihlašování podporuje, a začít jej používat. Při vlastním přihlášení pak již uživatel nepotřebuje žádný další prvek (telefon nebo fyzický klíč). Stačí mu jen jeho počítač, který plní roli faktoru založeného na vlastnictví. Je třeba si ale uvědomit, že tento interní systémový klíč je svázán s daný počítačem a nebude fungovat jinde. Technologie FIDO ale umožňuje připojit více klíčů, kde jako další klíč může být například klíč svázaný s telefonem Android, který je již nyní možné v prohlížeči Chrome používat i vzdáleně přes Bluetooth.
Technologie vícefaktorového přihlašování pomocí bezpečnostních klíčů FIDO není u nás stále ještě dostatečně rozšířena, ale využívá ji například služba elektronické identity mojeID od sdružení CZ.NIC. Po ověření uživatelovy totožnosti buď na CzechPOINTu nebo pomocí jiného prostředku je pak tento účet možné používat pro přístup ke službám veřejné správy, a to nejen u nás, ale prostřednictvím celoevropské sítě eIDAS také ke všem veřejným službám států Evropské unie. Vzhledem k tomu, že službu mojeID pro přihlášení využívá celá řada komerčních služeb (Alza.cz, CZC.cz a další), jedná se jednoznačně o nejuniverzálnější elektronický prostředek pro přihlašování, který si uživatel může v tuto chvíli zdarma pořídit. V rámci účtu mojeID je možné nastavit jak několik bezpečnostních klíčů FIDO, tak i několik instancí mobilní autentizační aplikace MojeID Klíč. Je na uživateli, které z těchto dvou technologií dá přednost. Věřím, že tento článek dává k rozhodování o volbě bezpečného způsobu vícefaktorového přihlašování dostatečné vodítko.
