Kas ir divfaktoru autentifikācija (2FA/MFA)?

Kāpēc paroles vien vairs nepietiek

Parole kā vienīgais autentifikācijas mehānisms ir novecojusi koncepcija, kas vairs neatbilst mūsdienu draudu ainavai. Vairāki fundamentāli faktori padara paroles neuzticamas.

Datu noplūdes ir kļuvušas par ikdienu — ik gadu tiek publiskotas miljardiem paroļu no kompromitētām datubāzēm. Šīs paroles nonāk tumšajā tīmeklī (dark web), kur uzbrucēji tās izmanto credential stuffing uzbrukumos — automātiski izmēģina nopludinātās paroles citos pakalpojumos, cerot, ka lietotāji ir atkārtojuši paroli.

Cilvēka uzvedība ir otrs vājais punkts. Pētījumi konsekventi rāda, ka vidējais lietotājs izmanto vienu un to pašu paroli 5–7 dažādos kontos. Populārākās paroles joprojām ir „123456”, „password” un vienkāršas variācijas. Pat uzņēmumos ar stingru paroļu politiku darbinieki bieži apiet prasības, pievienojot ciparu vai simbolu esošajai vājajai parolei.

Pikšķerēšana ir tiešākais paroles kompromitēšanas ceļš — uzbrucējs izveido viltotu pieteikšanās vietni, un lietotājs pats ievada savu paroli. Nekāda paroļu sarežģītība vai garums neaizsargā pret šo scenāriju.

Brute force un dictionary uzbrukumi izmanto datora skaitļošanas jaudu, lai automātiski izmēģinātu miljoniem paroļu kombināciju. Mūsdienu aparatūra var pārbaudīt miljardus hešu sekundē, padarot pat sarežģītas 8–10 simbolu paroles ievainojamas.

Divfaktoru autentifikācija risina šos draudus fundamentāli — pat ja parole ir noplūdusi vai uzminēta, uzbrucējs nevar piekļūt kontam bez otrā faktora, kas atrodas lietotāja fiziskajā valdījumā.

Autentifikācijas faktoru veidi

Autentifikācija balstās uz trim fundamentāliem faktoru veidiem, un droša MFA apvieno vismaz divus no tiem.

Zināšanu faktors (something you know) ir tas, ko lietotājs zina — parole, PIN kods, drošības jautājuma atbilde. Šis ir tradicionālais un visplašāk izmantotais faktors, bet arī visvieglāk kompromitējamais, jo zināšanas var nozagt, uzminēt vai izvilināt.

Valdījuma faktors (something you have) ir tas, kas lietotājam fiziski pieder — mobilais telefons, aparatūras drošības atslēga (YubiKey), viedkarte vai tokens. Šis faktors ir ievērojami grūtāk kompromitējams, jo uzbrucējam jāiegūst fiziska piekļuve ierīcei. Valdījuma faktors ir MFA pamats — tieši tas nodrošina otro aizsardzības slāni papildus parolei.

Biometriskais faktors (something you are) ir lietotāja fiziskās īpašības — pirkstu nospiedumi, sejas atpazīšana, īrisa skenēšana, balss atpazīšana. Biometriskie dati ir unikāli katram cilvēkam un tos nevar aizmirst vai nozaudēt. Tomēr tiem piemīt arī trūkumi — biometriskos datus nevar nomainīt, ja tie tiek kompromitēti, un viltojumu (spoofing) tehnoloģijas kļūst arvien labākas.

Atrašanās vietas faktors (somewhere you are) un uzvedības faktors (something you do) ir papildu faktori, ko izmanto adaptīvajā autentifikācijā. Piemēram, sistēma var pieprasīt papildu verifikāciju, ja pieslēgšanās notiek no neierastas atrašanās vietas vai neierastā laikā.

MFA metodes — no SMS līdz aparatūras atslēgām

Praksē tiek izmantotas vairākas MFA metodes, un katrai ir savas priekšrocības un ierobežojumi.

SMS verifikācija ir vienkāršākā un visplašāk izplatītā MFA metode — lietotājs saņem vienreizēju kodu īsziņā, ko ievada papildus parolei. Tā ir labāka nekā tikai parole, bet drošības eksperti to uzskata par vājāko MFA metodi. SIM kartes pārņemšana (SIM swapping), SMS pārtveršana un sociālā inženierija pret mobilo operatoru var ļaut uzbrucējam saņemt SMS kodu. NIST (ASV Nacionālais standartu un tehnoloģiju institūts) jau 2017. gadā ieteica pārtraukt SMS izmantošanu kā MFA faktoru.

TOTP (Time-Based One-Time Password) lietotnes — Google Authenticator, Microsoft Authenticator, Authy — ģenerē vienreizējus 6 ciparu kodus, kas mainās ik pēc 30 sekundēm. Kodi tiek ģenerēti lokāli ierīcē, bez nepieciešamības pēc tīkla savienojuma, kas padara tos izturīgākus pret pārtveršanu. Šī ir rekomendētā minimālā MFA metode uzņēmumiem.

Push paziņojumi (piemēram, Microsoft Authenticator push, Duo Push) nosūta autentifikācijas pieprasījumu uz lietotāja mobilo ierīci — lietotājs apstiprina vai noraida pieslēgšanos ar vienu klikšķi. Tas ir ērtāk nekā TOTP kodu manuāla ievadīšana, bet ir pakļauts „MFA noguruma” (MFA fatigue) uzbrukumiem, kur uzbrucējs atkārtoti nosūta push pieprasījumus, cerot, ka lietotājs nejauši apstiprinās.

Aparatūras drošības atslēgas (YubiKey, Titan Security Key, Feitian) ir fiziskas ierīces, kas pieslēdzas datoram caur USB, NFC vai Bluetooth. Tās izmanto FIDO2/WebAuthn standartu, kas kriptogrāfiski verificē vietnes autentiskumu — atslēga vienkārši nereaģēs uz pikšķerēšanas vietni, jo tā neatbilst reģistrētajam domēnam. Šī ir drošākā MFA metode, ko rekomendē augsta riska lietotājiem un administratoriem.

NIS2 un MFA — regulatīvās prasības

NIS2 direktīva nepārprotami nosaka daudzfaktoru autentifikāciju kā vienu no obligātajiem kiberdrošības pasākumiem. Direktīvas 21. pants pieprasa „piekļuves kontroles un aktīvu pārvaldības politiku”, kas praksē nozīmē MFA ieviešanu visām kritiskajām sistēmām un privilēģētajiem kontiem.

NKDL (Nacionālais kiberdrošības likums) Latvijā konkretizē šīs prasības vietējā kontekstā. Organizācijām, kas ietilpst NKDL tvērumā — gan būtiskajām, gan svarīgajām vienībām — jānodrošina, ka piekļuve kritiskajām sistēmām un datiem tiek kontrolēta ar vairākiem autentifikācijas faktoriem.

CERT.LV rekomendācijas ir skaidras — MFA jāievieš vismaz šādos scenārijos: attālinātā piekļuve korporatīvajam tīklam (VPN), e-pasta konti, administratoru un privilēģēto lietotāju konti, mākoņpakalpojumu pārvaldības konsoles, finanšu un grāmatvedības sistēmas. Faktiski CERT.LV rekomendē MFA visiem lietotāju kontiem, ne tikai kritiskajiem.

GDPR kontekstā DVI (Datu valsts inspekcija) uzskata MFA par piemērotu tehnisku pasākumu personas datu aizsardzībai. Ja notiek datu pārkāpums un organizācijai nebija ieviesta MFA, tas var tikt uzskatīts par neatbilstošu drošības līmeni saskaņā ar GDPR 32. pantu.

Praktiskā ziņā regulatīvās prasības nozīmē, ka MFA ieviešana vairs nav „nice to have” — tā ir obligāta prasība, kuras neievērošana var rezultēt finansiālās sankcijās un personīgā vadības atbildībā.

MFA ieviešanas stratēģija uzņēmumam

MFA ieviešana uzņēmumā nav tikai tehnisks projekts — tā prasa arī organizatorisku plānošanu un darbinieku iesaisti, lai nodrošinātu veiksmīgu adaptāciju.

Pirmais solis ir risku novērtēšana un prioritizēšana. Identificējiet visas sistēmas un kontus, kas prasa aizsardzību, un sakārtojiet tos prioritārā secībā. Augstākā prioritāte ir administratoru kontiem, VPN piekļuvei, e-pasta kontiem un finanšu sistēmām. Otrā prioritāte — visiem darbinieku kontiem un mākoņpakalpojumiem.

Otrais solis ir MFA metodes izvēle atbilstoši riska līmenim. Administratoriem un augsta riska lietotājiem rekomendējam aparatūras atslēgas (YubiKey). Parastajiem darbiniekiem — TOTP lietotnes (Microsoft Authenticator, Google Authenticator). SMS izmantojiet tikai kā pēdējo iespēju, ja citas metodes nav iespējamas.

Trešais solis ir tehniskā ieviešana. Lielākā daļa mūsdienu sistēmu atbalsta MFA — Microsoft 365/Azure AD, Google Workspace, AWS, VPN risinājumi. Centralizēta identitātes pārvaldība (piemēram, Azure AD vai Okta) ļauj ieviest MFA visām lietotnēm caur vienu punktu, izmantojot Single Sign-On (SSO) ar MFA.

Ceturtais solis ir darbinieku apmācība. Skaidri komunikējiet, kāpēc MFA tiek ieviesta, kā to lietot un ko darīt problēmu gadījumā. Sagatavojiet atkāpšanās procedūras — ko darīt, ja darbinieks zaudē telefonu vai aparatūras atslēgu. Nodrošiniet rezerves atkopšanas kodus un IT atbalsta pieejamību ieviešanas periodā.

Piektais solis ir nepārtraukta uzraudzība un uzlabošana. Monitorējiet MFA lietojuma statistiku — cik darbinieku ir aktivizējuši MFA, cik bieži tiek izmantoti atkāpšanās mehānismi. Regulāri pārskatiet MFA politikas un pielāgojiet tās jaunām prasībām.

securIT palīdz uzņēmumiem plānot un ieviest MFA — no tehnoloģijas izvēles līdz darbinieku apmācībai un atbilstības nodrošināšanai. Sazinieties: [email protected] vai +371 27555221.

Biežākās kļūdas MFA ieviešanā

MFA ieviešana var neizdoties, ja netiek ņemtas vērā biežākās kļūdas, ko pieļauj organizācijas.

Daļēja ieviešana ir visizplatītākā kļūda — MFA tiek aktivizēta tikai dažiem kontiem vai sistēmām, atstājot neaizsargātus „sānu ieejas” punktus. Uzbrucēji vienmēr meklēs vājāko posmu — ja administratora konts ir aizsargāts ar MFA, bet servisa konts nav, uzbrucējs izmantos servisa kontu.

Atkāpšanās mehānismu ļaunprātīga izmantošana ir vēl viens risks. Daudzas sistēmas piedāvā alternatīvus autentifikācijas ceļus gadījumam, ja MFA nav pieejama — drošības jautājumi, e-pasta verifikācija, IT helpdesk manuāla atsaukšana. Uzbrucēji var izmantot šos mehānismus, lai apietu MFA. Svarīgi ir nodrošināt, ka atkāpšanās ceļi ir tikpat droši kā primārā MFA.

MFA noguruma uzbrukumi (MFA fatigue) ir salīdzinoši jauns drauds. Uzbrucējs, kurš jau zina lietotāja paroli, atkārtoti nosūta push paziņojumus, līdz lietotājs no noguruma vai kļūdas apstiprina pieprasījumu. Aizsardzība ietver number matching (lietotājam jāievada konkrēts skaitlis no pieslēgšanās ekrāna) un ģeogrāfiskās pārbaudes.

Neatbilstoša metodes izvēle var radīt drošības ilūziju. SMS kā vienīgā MFA metode augsta riska sistēmām neatbilst labākajai praksei un var neatbilst NIS2 prasībām. Organizācijām jāizvērtē katra MFA metodes drošības līmenis un piemērotība konkrētajam lietojumam.

Lietotāju pretestība ir reāla problēma, ja ieviešana nav pareizi komunicēta. Darbinieki var uztvert MFA kā apgrūtinājumu un meklēt veidus, kā to apiet. Svarīga ir skaidra komunikācija, vadības atbalsts un pakāpeniska ieviešana.