Lekce 6 - Bezpečné přihlašování - 2FA a vícefaktorové ověřování Nové

V předchozí lekci, Bezpečnost hesla - Tvorba hlavních hesel, jsme se dozvěděli, jak správně vytvářet hlavní hesla a jejich kategorizaci podle použití a stupňů zabezpečení.

V tomto tutoriálu kyberbezpečnosti navážeme na předchozí lekce o tvorbě a správě hesel. Připomeneme si jejich roli při ochraně dat a ukážeme si, proč ani ta nejsilnější hesla dnes často nestačí.

Dvoufaktorové a vícefaktorové ověřování

Ačkoli dobře zvolené heslo tvoří základ zabezpečení, praxe ukazuje, že lidský faktor bývá nejslabším článkem. Hesla bývají znovu používána, příliš jednoduchá nebo uniknou při prolomení databáze.

Proto je dalším krokem dvoufaktorové (2FA) a vícefaktorové ověřování (MFA), které k běžnému přihlášení přidává další vrstvu ochrany.

Díky MFA nestačí útočníkovi znát samotné heslo – musí mít i přístup k dalšímu ověřovacímu prvku, například k mobilnímu zařízení nebo biometrickému údaji. Tím se výrazně snižuje riziko neoprávněného přístupu i při úniku přihlašovacích údajů.

Princip 2FA a MFA

Vícefaktorové ověřování (MFA) rozšiřuje klasické přihlášení o další formu potvrzení identity. Zatímco heslo představuje pouze jeden faktor ("něco, co víme"), MFA kombinuje dva nebo více faktorů z různých kategorií:

• něco, co víme – například heslo nebo PIN,
• něco, co máme – například mobilní telefon, hardwarový klíč nebo čipovou kartu,
• něco, čím jsme – tedy biometrické údaje, jako je otisk prstu nebo rozpoznání obličeje.

Pokud používáme pouze dva z těchto faktorů, mluvíme o dvoufaktorovém ověřování (2FA). Každý přidaný faktor zvyšuje odolnost systému proti útoku – útočník by musel získat nejen heslo, ale i fyzické zařízení nebo biometrická data.

Z bezpečnostního hlediska platí, že kombinace více typů faktorů (například heslo + mobilní klíč) je výrazně silnější než opakování jednoho typu (například dva různé kódy zaslané e-mailem).

Druhy MFA v praxi

Existuje několik způsobů, jak lze vícefaktorové ověřování realizovat. Jednotlivé metody se liší úrovní bezpečnosti, pohodlím pro uživatele i rizikem zneužití. Níže si představíme ty nejčastější.

SMS kód

Nejrozšířenější formou 2FA je zaslání jednorázového ověřovacího kódu prostřednictvím SMS. Po zadání hesla uživatel obdrží krátký číselný kód, který musí zadat pro potvrzení přihlášení.

Tento způsob je sice jednoduchý a široce podporovaný, ale z pohledu zabezpečení má své slabiny. Útočník může kód ze SMS zachytit. SMS ověření by tedy mělo být považováno pouze za základní formu 2FA. Pro běžné účty postačí, ale u důležitých systémů by měla být nahrazena bezpečnější metodou.

Aplikační ověřování

Bezpečnější variantou je ověřování pomocí mobilní aplikace, která generuje jednorázové časové kódy (TOTP – Time-Based One-Time Passwords).

Mezi nejznámější nástroje patří Google Authenticator, Microsoft Authenticator nebo Authy:

Nastavení je jednoduché – do mobilního telefonu nainstalujeme aplikaci, v zabezpečení dané služby (například e-mailu nebo cloudového úložiště) aktivujeme volbu Zapnout dvoufázové ověření a na obrazovce se zobrazí QR kód.

Tento kód naskenujeme pomocí aplikace v mobilu, čímž dojde k propojení účtu s naším zařízením. Od té chvíle aplikace každých 30 sekund vytváří nový šestimístný kód, který zadáváme společně s heslem při přihlášení.

Díky tomu se bezpečnost účtu výrazně zvýší – útočníkovi už nestačí znát jen naše heslo, ale musel by získat i přístup k mobilnímu zařízení, na kterém se kódy generují.

Výhodou této metody je, že kód se nevysílá přes internet ani přes SMS, takže ho nelze zachytit. Kódy se generují přímo v zařízení, které je propojeno se službou.

TOTP představuje ideální kompromis mezi bezpečností a jednoduchostí. Nastavení zvládne i běžný uživatel a většina online služeb tuto metodu dnes podporuje.

Push notifikace

Alternativní metoda vícefaktorového ověřování využívá push notifikace – potvrzení přihlášení přímo v autentizační nebo bankovní aplikaci v mobilu. Po zadání hesla se na telefonu zobrazí upozornění s informací o pokusu o přihlášení, které uživatel jednoduše schválí nebo zamítne.

Z hlediska principu funguje tato metoda podobně jako TOTP aplikace, jen místo ručního zadávání kódu stačí potvrdit žádost jedním klepnutím. Autentizace tak probíhá prostřednictvím zařízení, které uživatel fyzicky vlastní, tedy faktoru typu něco, co máme.

Tato metoda je velmi rychlá a pohodlná, ale může vést k nepozornému chování – pokud uživatel dostává výzvy často, může je začít potvrzovat automaticky. Výzvy k přihlášení potvrzujme jen tehdy, když si jsme jisti, že přístup skutečně iniciujeme my.

Hardwarové bezpečnostní klíče

Nejvyšší úroveň zabezpečení nabízejí hardwarové bezpečnostní klíče, například YubiKey nebo Feitian. Tyto zařízení komunikují se systémem přes USB, NFC nebo Bluetooth a přihlašování funguje fyzickým připojením nebo dotykem klíče.

Hardwarový klíč nelze snadno zkopírovat ani napadnout vzdáleně, což z něj dělá ideální řešení pro přístup k firemním účtům, cloudovým službám nebo správu kritické infrastruktury.

Hardwarové klíče využívají standardy FIDO2 a U2F (Universal 2nd Factor), které jsou podporovány většinou moderních prohlížečů a systémů.

Biometrické ověřování

Dalším faktorem, který lze využít v rámci MFA, je biometrie – tedy ověření uživatele na základě jedinečných fyzických vlastností, jako je otisk prstu, sken obličeje nebo hlasový vzor.

Biometrie je rychlá a pohodlná, ale má i své limity. Biometrické údaje jsou trvalé a nelze je změnit stejným způsobem jako heslo — můžeme sice znovu zaregistrovat jiný prst nebo jiný biometrický vzor, ale pokud unikne digitální šablona, nelze "vyměnit" tělo uživatele. Kompromitace biometrických dat proto představuje trvalejší riziko než únik hesla.

Proto se biometrie nejčastěji používá v kombinaci s jiným faktorem, například s PINem nebo heslem, zejména na úrovni zařízení (mobilní telefon, notebook).

Útoky na MFA

Ačkoli všechny uvedené metody výrazně zvyšují úroveň zabezpečení, žádný systém není zcela bez rizik. Ani vícefaktorové ověřování není totiž zcela neprůstřelné. Útočníci využívají různé způsoby, jak uživatele oklamat nebo obejít celý proces ověření.

Nejčastější rizika představují phishingové útoky, kdy falešná přihlašovací stránka vyláká nejen heslo, ale i ověřovací kód, nebo SIM swapping, při němž útočník převede telefonní číslo oběti na svou SIM kartu a přebírá ověřovací SMS.

Zvláštní pozornost si zaslouží i push bombing – zahlcování uživatele opakovanými výzvami k potvrzení přihlášení, které může vést k nechtěnému schválení přístupu.

Proto je důležité používat bezpečnější formy MFA, jako jsou mobilní aplikace nebo hardwarové klíče, a zároveň se při každé výzvě ujistit, že přístup skutečně iniciujeme my sami.

Bezpečné používání MFA

Aby MFA plnilo svůj účel, je potřeba dodržovat několik jednoduchých zásad:

• Aktivujme MFA všude, kde to služba umožňuje.
• Preferujme mobilní aplikace nebo hardwarové klíče před SMS kódy.
• Nikdy nezadávejme kódy na stránkách, u nichž si nejsme jisti jejich pravostí.
• Využívejme biometrii jako doplněk, nikoli jediný faktor.
• Mějme připravené záložní možnosti přihlášení (např. recovery kódy nebo druhé zařízení).
• Potvrzujme výzvy k přihlášení jen tehdy, když víme, že jsme je opravdu spustili my.

I když jsou hesla stále základem ochrany, teprve vícefaktorové ověřování výrazně snižuje riziko neoprávněného přístupu. Správně nastavené MFA je dnes nezbytným prvkem kybernetické ochrany – představuje jednoduchý krok, který dokáže zabránit většině útoků na uživatelské účty.

V další lekci, Nastavujeme operační systém - Uživatelé a přihlašování, se dozvíme, jak správně využívat zabezpečení na základě uživatelských účtů operačního systému.