If you're seeing this message, it means we're having trouble loading external resources on our website.

Jeżeli jesteś za filtrem sieci web, prosimy, upewnij się, że domeny *.kastatic.org i *.kasandbox.org są odblokowane.

Główna zawartość

Kurs: Podstawy informatyki - program rozszerzony > Rozdział 7

Lekcja 7: Metody uwierzytelniania użytkowników
Informatyka
Podstawy informatyki - program rozszerzony
Bezpieczeństwo danych w sieci
Metody uwierzytelniania użytkowników
© 2024 Khan AcademyWarunki użytkowaniapolitykę prywatnościInformacja o plikach cookie

Uwierzytelnianie wielopoziomowe

Google Classroom
Użycie hasła jest najczęstszą formą uwierzytelniania, ale nie jest to jedyna forma uwierzytelniania — ani najbezpieczniejsza. Atakujący musi poznać tylko jedną informację (np. hasło), aby się uwierzytelnić.
Bardziej bezpiecznym sposobem ochrony przed niepożądanym dostępem do prywatnych danych jest uwierzytelnianie wielopoziomowe, które wymaga podania wielu informacji w celu uwierzytelnienia.

Czynniki uwierzytelniające

Uwierzytelnienie wymaga przedstawienia dowodów potwierdzających Twoją tożsamość. Dowody te występują w trzech popularnych formach:
  1. Dowód oparty na wiedzy (tj. czymś, co wiesz). Często udowadniasz swoją tożsamość stronie internetowej, przedstawiając jej dowód w postaci hasła. Twoje hasło reprezentuje coś, co znasz. Inne przykłady to PIN-y lub frazy.
Ilustracja dymka z hasłem "Be3tP@ssw0rd3ver"
  1. Dowód oparty na posiadaniu (tj. czymś, co się ma). Bankomaty weryfikują tożsamość użytkowników, wymagając od nich przedstawienia karty bankowej jako dowodu. Twoja karta bankowa reprezentuje coś, co posiadasz. Przykładem mogą być telefony, klucze lub tokeny bezpieczeństwa.
Ilustracja dłoni trzymającej kartę bankomatową
  1. Dowód oparty na wnioskowaniu (tj. coś, czym jesteś). Nowsze telefony mogą uwierzytelnić Cię poprzez zeskanowanie Twojego odcisku palca. Twój odcisk palca reprezentuje coś, czym jesteś. Inne przykłady to rozpoznawanie twarzy lub głosu.
Ilustracja odcisku kciuka i mówiącej kobiety z wydobywającymi się falami dźwiękowymi
Różne formy poświadczeń są również znane jako czynniki uwierzytelniania. Istnieją inne czynniki uwierzytelniania (np. miejsce, w którym się znajdujesz), ale te powyższe są najczęściej stosowane.
Atakujący mogą wykraść te czynniki uwierzytelnienia, aby uzyskać nieautoryzowany dostęp do konta. W zależności od lokalizacji atakującego, pewne formy poświadczeń są łatwiejsze do kradzieży niż inne. Na przykład, osobie atakującej zdalnie może być łatwiej ukraść hasła niż karty bankowe, podczas gdy osobie atakującej lokalnie może być łatwiej w drugą stronę.
Ilustracja dwóch napastników: napastnik po lewej stronie monitoruje hasło przesyłane zwykłym tekstem przez Internet, napastnik po prawej stronie jest pokazany jako kradnący kartę bankomatową

Uwierzytelnianie wielopoziomowe

W celu obrony przed atakami zarówno lokalnymi, jak i zdalnymi, systemy uwierzytelniania wykorzystują wspólną technikę kontroli dostępu znaną jako uwierzytelnianie wielopoziomowe (ang. multi-factor authentication, MFA).
MFA wymaga od użytkownika przedstawienia dowodów z wielu różnych czynników (np. coś, co wiesz i coś, co masz), aby uzyskać dostęp do systemu.

Uwierzytelnianie dwuskładnikowe

Najpopularniejsza forma MFA wykorzystuje dwa czynniki do uwierzytelniania. Uwierzytelnianie dwuskładnikowe (ang. two-factor authentication, 2FA) wymaga dwóch dowodów tożsamości i te dwa dowody muszą pochodzić z dwóch różnych czynników.
System uwierzytelniania wymagający hasła i kodu PIN wykorzystuje tylko jeden czynnik, mimo że wymaga dwóch dowodów. Hasła i PINy należą do czynnika wiedzy, więc ten system uwierzytelniania nie spełnia wymagań uwierzytelniania wieloskładnikowego.
Więc jeśli ten system nie używa dwuskładnikowego uwierzytelniania, jak wygląda rzeczywisty system 2FA? Popularny schemat najpierw prosi o podanie hasła (coś, co znasz), a następnie prosi o wpisanie kodu wygenerowanego na telefonie (coś, co masz).
Przejdźmy przez przepływ uwierzytelniania dwuskładnikowego w celu zalogowania się do Github, witryny do repozytoriów kodu źródłowego i kontroli wersji.
Najpierw Github prosi mnie o podanie nazwy użytkownika i hasła:
Zrzut ekranu logowania na Githubie z dwoma polami formularza (jeden dla nazwy użytkownika, jeden dla hasła) i przyciskiem „Zaloguj się”.
Github prosi mnie o wprowadzenie kodu uwierzytelniającego wygenerowanego przez aplikację na moim urządzeniu:
Zrzut ekranu z ekranem Github 2FA z polem formularza oznaczonym jako „kod uwierzytelniający” i przyciskiem oznaczonym jako "Weryfikuj". Tekst znajdujący się na dole mówi „Otwórz aplikację uwierzytelniania dwuskładnikowego na twoim urządzeniu, aby wyświetlić kod uwierzytelniający i zweryfikować swoją tożsamość”.
Otwieram aplikację uwierzytelniającą na moim telefonie i widzę wygenerowany kod dla mojego konta Github:
Zdjęcie ręki przytrzymującej telefon z otwartą aplikacją. Aplikacja jest zatytułowana "Authenticator" i pokazuje kod "188 071" oznaczony jako "Github".
Jeśli przyjrzysz się bliżej, zobaczysz timer, który odlicza czas do wygaśnięcia wygenerowanego kodu. Gdy odliczanie się skończy, zostanie wygenerowany nowy kod, a timer zostanie zresetowany. Wiele systemów 2FA dodaje datę ważności do dowodu, aby uniemożliwić atakującym korzystanie z niego przez nieograniczony czas.
Ponieważ wygenerowany kod wygaśnie za kilka minut, muszę szybko wkleić go na stronę Github na moim laptopie:
Zrzut ekranu Github 2FA z polem formularza oznaczonym „kod uwierzytelniający” i przyciskiem oznaczonym „Weryfikuj”. Pole jest wypełnione, ale zawartość jest zamaskowana kropkami.
I po tym, jestem teraz zalogowany na moje konto Github!
Dodatkowy krok polegający na użyciu mojego telefonu do wygenerowania kodu więcej niż podwoił czas i złożoność logowania się do Github, ale także sprawił, że dużo trudniej jest napastnikowi włamać się na moje konto Github.
W maju 2019 r. wielu użytkowników na Githubie odkryło, że ich repozytoria kodu zostały wymazane i zastąpione notatką z żądaniem okupu. Użytkownicy nie używali 2FA i przypadkowo ujawnili swoje hasła, a to ułatwiło napastnikom przejęcie kontroli nad ich kontami. Dlatego Github zdecydowanie zaleca stosowanie 2FA. 1
Ponieważ każdy dodatkowy czynnik uwierzytelniania dodaje kolejną warstwę bezpieczeństwa przed atakami, dlaczego nie użyć 3FA lub nawet 4FA? Dla użytkowników może być niewygodne przedstawianie 3 lub więcej form dowodów w celu uwierzytelnienia, zwłaszcza że systemy często wymagają ponownego uwierzytelnienia po pewnym czasie. Jest to przykład powszechnego kompromisu w cyberbezpieczeństwie: użyteczność kontra bezpieczeństwo. Wraz ze wzrostem bezpieczeństwa systemu, może być konieczne zmniejszenie jego użyteczności.

Zalecenia

Aby chronić nasze konta, najlepiej oprócz silnego hasła stosować uwierzytelnianie wieloczynnikowe. Według badań Google MFA zapobiegło większej liczbie ataków niż uwierzytelnianie jednoczynnikowe, zapobiegając w 100% atakom ze strony automatycznych botów i znacznie ograniczając inne ataki. 2
Nie jest możliwe użycie MFA, jeśli witryna go nie obsługuje, ale ponieważ coraz więcej witryn aktualizuje swoje systemy, aby wspierać MFA, możemy od czasu do czasu sprawdzić, czy już obsługują MFA. Jeśli używasz menedżera haseł, może on nawet powiadomić Cię, gdy jedno z Twoich kont może być chronione przez MFA.
Musimy również uważać, aby dowody z jednego czynnika nie zawierały dowodów z innego czynnika. Na przykład, jeśli przechowujesz hasła w aplikacji Notes w telefonie, a komuś uda się ukraść i odblokować twój telefon, będzie miał dostęp zarówno do dowodów, które są oparte na posiadaniu i na wiedzy. 😬
🤔 Kiedy system używa wielu czynników uwierzytelniania, przechowuje więcej informacji o Tobie. Czy jest to problem z punktu widzenia prywatności?
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Masz pytania związane z tym zagadnieniem? Możesz zadać swoje pytanie poniżej!

Chcesz dołączyć do dyskusji?

Zaloguj się
Na razie brak głosów w dyskusji
Rozumiesz angielski? Kliknij tutaj, aby zobaczyć więcej dyskusji na angielskiej wersji strony Khan Academy.