Aby uzyskać dostęp do wielu systemów komputerowych, musisz się uwierzytelnić. Uwierzytelnianie to proces potwierdzania tożsamości. W informatyce zwykle odbywa się to w dwóch częściach. Pierwszy dotyczy twojej tożsamości; druga to przedstawienie pewnych dowodów. Klasycznym przykładem jest użycie nazwy użytkownika, aby potwierdzić swoją tożsamość, a następnie podanie hasła, aby to udowodnić. Inną formą uwierzytelniania może być interakcja typu wyzwanie-odpowiedź.
Przydatność we współczesnym świecie
Uwierzytelnianie ma kluczowe znaczenie dla funkcjonowania współczesnego świata cyfrowego. Pierwsza forma uwierzytelnienia dotyczy Twojego urządzenia. Chociaż niekoniecznie musisz mieć hasło na swoim komputerze, prawdopodobnie masz jakąś formę uwierzytelnienia, aby uzyskać dostęp do swojego smartfona. Bez tego kroku każdy mógłby uzyskać dostęp do dowolnego urządzenia, do którego miał fizyczny dostęp.
Uwierzytelnianie jest podwójnie ważne podczas logowania się do usługi online. Najbardziej oczywistym przypadkiem jest udowodnienie swojej tożsamości na stronie internetowej. Dzięki temu możesz zalogować się na swoje konto i uniemożliwić innym osobom dostęp do niego. Uwierzytelnianie jest również niezbędne do sprawdzenia, czy łączysz się z witryną, za którą się uważasz.
HTTPS i inne szyfrowane połączenia wykorzystują system certyfikatów do uwierzytelniania witryny dla użytkownika. Jako część silnego systemu kryptograficznego, system certyfikatów umożliwia użytkownikowi uwierzytelnienie, że ma bezpieczne połączenie bezpośrednio z określonym serwerem WWW i że żadna strona pośrednicząca nie może „podsłuchiwać” bezpiecznej komunikacji.
Wskazówka: Należy pamiętać, że certyfikaty HTTPS nie wskazują, że witryna internetowa jest legalna ani nawet witryna, z którą użytkownik chciał się połączyć. Sprawdza tylko, czy połączenie z wpisywaną witryną jest zabezpieczone przed szpiegowaniem. Złośliwe oprogramowanie, phishing i spam mogą być obsługiwane za pomocą legalnych certyfikatów.
Coś, co wiesz, coś, co masz i coś, czym jesteś
Najbardziej podstawową formą uwierzytelniania jest nazwa użytkownika i hasło. Opiera się to na poufności czegoś, co znasz, twojego hasła. Wiąże się to z możliwością celowego ujawnienia hasła, na przykład w celu umożliwienia członkowi rodziny dostępu do urządzenia lub hasła. Pozostawia cię również otwartym na to, że zostaniesz oszukany, aby go rozdać. Częstym sposobem na to jest phishing. W zależności od wybranego hasła, może być również możliwe odgadnięcie.
Inna forma uwierzytelnienia polega na użyciu fizycznego tokena. Ten typ uwierzytelniania opiera się na czymś, co masz. Ma to tę zaletę, że można ograniczyć się do jednej kopii, co uniemożliwia współdzielenie dostępu. Ma to jednak duże konsekwencje, jeśli Twój fizyczny token zostanie zgubiony lub skradziony. Nie tylko ty nie możesz uzyskać dostępu do systemu, który jest od niego zależny, ale złodziej może, zakładając, że wie, jaki system go używa. Dlatego wiele identyfikatorów dostępu RFID jest nieoznakowanych i prostych. Oznacza to, że złodziej nie może od razu wiedzieć, do którego budynku ma dostęp.
Ostatnim obszarem uwierzytelniania jest biometria. Wiąże się to z weryfikacją czegoś o swojej osobie. Najczęstszym przykładem jest Twój odcisk palca, ale można użyć między innymi skanów twarzy, skanów tęczówki i odbitek głosowych. Techniki uwierzytelniania biometrycznego są doskonałymi sposobami weryfikacji tożsamości, ale wiążą się z pewnymi problemami. Po pierwsze, wiele z tych funkcji jest w pewnym sensie publicznych.
Na przykład zwykle pozostawiasz odciski palców na wielu powierzchniach, a w przypadku zdjęć wysokiej jakości nawet to nie jest konieczne. Innym szczególnym problemem jest to, że nie można zmienić cech biometrycznych, jeśli są one zagrożone. Gdy Twoje odciski palców staną się publiczne, każdy będzie mógł z nich korzystać. I odwrotnie, wypadek może zmienić szereg funkcji biometrycznych, blokując dostęp do konta.
Najlepsze z obu światów
Chociaż każda forma uwierzytelniania wiąże się z własnymi problemami, ich połączenie może być bardzo skuteczne. Uwierzytelnianie dwuskładnikowe 2FA wykorzystuje powyższe techniki do uwierzytelnienia Twojej tożsamości. MFA lub Multi-Factor Authentication to to samo, ale może obejmować więcej niż dwa czynniki.
Ta koncepcja opiera się na fakcie, że większość atakujących, którzy mają możliwość wykonania jednego rodzaju ataku, zazwyczaj nie może również wykonać innych typów ataków. Na przykład haker znający Twoje hasło zwykle nie będzie miał dostępu do aplikacji uwierzytelniającej na smartfonie. I odwrotnie, złodziej ze smartfonem może mieć Twoją aplikację uwierzytelniającą, ale nie zna Twojego hasła.
Ataki biometryczne zazwyczaj powodują, że jesteś specjalnie ukierunkowany. Inne rodzaje ataków są zazwyczaj oportunistyczne. Osoba atakująca wystarczająco zaangażowana, aby wycelować w Ciebie i Twoje dane biometryczne, prawdopodobnie jest również w stanie przeprowadzić różne ataki. Taki napastnik jest również znacznie mniej powszechny i nie stanowi zagrożenia dla większości ludzi, którzy nie będą na tyle interesujący, aby wybrać go jako cel.
Wniosek
Uwierzytelnianie to proces weryfikacji tożsamości. Zwykle odbywa się to poprzez coś, co wiesz, coś, co masz, coś, czym jesteś, lub jakąś kombinację tych trzech. Tajne hasła są standardową formą uwierzytelniania, chociaż certyfikaty i procesy odpowiedzi na wyzwania również działają w oparciu o wiedzę.
Fizyczne tokeny bezpieczeństwa, w tym aplikacje 2FA na smartfony, pozwalają udowodnić swoją tożsamość poprzez posiadanie określonego przedmiotu. Dane biometryczne pozwolą Cię zidentyfikować na podstawie Twoich cech. Połączenie tych form uwierzytelniania znacznie zwiększa zaufanie do procesu uwierzytelniania i znacznie utrudnia hakerom dostęp do Twoich kont.