Wat is multifaktor-verifikasie (MFA) en hoe dit werk

Wanneer jy by jou aanlynrekeninge aanmeld, "verifieer" jy jouself teenoor die diens. Tipies word 'n gebruikersnaam en wagwoord gebruik. Dis 'n slegte strategie. Gebruikersname is dikwels jou e-posadres. Mense kies basiese wagwoorde of hergebruik dit op webwerwe omdat dit moeilik is om te onthou.

Byna alle aanlyndienste, insluitend bankdienste, sosiale netwerke, e-handel en Microsoft 365, het sekuriteitsmaatreëls geïmplementeer. Die goeies gebruik “Tweestap-verifikasie" of "Multifaktor-verifikasieEerste aanmeldings op 'n nuwe toestel of program (soos 'n webblaaier) vereis meer as die gebruikersnaam en wagwoord. Die tweede "faktor" is nodig om identiteit te bevestig.

Wat is multifaktor-verifikasie?

Multifaktor-verifikasie (MFA) is 'n sekuriteitstegnologie wat meer as een manier gebruik om 'n gebruiker se identiteit vir 'n aanmelding of ander transaksie te verifieer. Elke metode kom van 'n ander kategorie geloofsbriewe. Multifaktor-verifikasie gebruik twee of meer onafhanklike inligtingstukke oor die gebruiker, soos 'n wagwoord, 'n sekuriteitstoken of biometriese metodes om te verifieer wie die gebruiker is.

Die doel van MFA is om 'n verdediging te bou met veelvuldige lae wat dit moeiliker maak vir 'n ongemagtigde persoon om toegang tot 'n teiken, soos 'n gebou, rekenaar, netwerk of databasis, te kry. Selfs al is een faktor gebreek of gekompromitteer, moet die aanvaller steeds verby ten minste een of meer hindernisse kom voordat hulle die teiken kan binnedring.

Twee-faktor-verifikasie is gewoonlik gebruik in MFA stelsels in die verlede twee-faktor-verifikasie (2FA). Multifaktor is 'n term wat verskaffers al hoe meer gebruik om enige verifikasiemetode te beskryf wat twee of meer identiteitsbewyse benodig om dit vir hackers moeiliker te maak om in te breek. Multifaktor-verifikasie is een van die belangrikste dele van 'n stelsel om te bestuur wie toegang tot wat het.

multi-factor-authentication

Hoe werk MFA?

Die oorgrote meerderheid multifaktor-verifikasiestelsels sal nie gebruikersname en wagwoorde afskaf nie. In plaas daarvan voeg hulle nog 'n verifikasiemeganisme by om seker te maak dat slegs die regte individue toegelaat word en dat misdadigers uitgehou word.

  • Registrasie: Om te registreer, moet 'n gebruiker eers eienaarskap van 'n stuk eiendom beweer deur dit aan die stelsel te koppel, soos 'n selfoon of 'n sleutelhanger, en dan die item aan die stelsel te koppel.
  • Aanmelding: 'n Persoon kan by 'n veilige stelsel "aanmeld" deur die stelsel van 'n gebruikersnaam en 'n wagwoord te voorsien.
  • Verifikasie: Die stelsel vestig 'n verbinding met die item wat geregistreer is. Daar is 'n moontlikheid dat sleutelhouers sal oplig of dat fone met verifikasienommers sal ping.
  • Reaksie: Die aksie wat volg, is dat die individu die prosedure met die gevalideerde item voltooi. Die volgende stap behels dikwels óf die invoer van verifikasienommers óf die druk van 'n knoppie op 'n sleutelhanger.

Die volgende is 'n voorbeeld van 'n tipiese MFA-prosedure:

Terwyl verskeie stelsels jou toestel onthou, vereis ander dat jy elke keer deur hierdie verifikasieproses gaan wanneer jy aanmeld. Dit is moontlik dat jy nie jou identiteit met elke besoek hoef te verifieer as jy altyd met dieselfde mobiele toestel of rekenaar aanmeld nie. As jy egter probeer om op 'n ander rekenaar as gewoonlik of op 'n vreemde tyd van die dag aan te meld, kan jy vir bykomende verifikasie gevra word.

MFA mag dalk eenvoudig lyk, maar dit is nogal kragtig. Microsoft beweer byvoorbeeld dat MFA in staat is om ongeveer honderd persent van rekeningkapings te voorkom. Hierdie een baie klein stap kan 'n baie lang pad stap om jou veiligheid te beskerm.

Waarom MFA-Multifaktor-verifikasie gebruik?

Gebruikers kan probleme ondervind om gebruikersname en wagwoorde te stoor, te onthou en te bestuur vir verskeie rekeninge, en baie mense hergebruik wagwoorde oor dienste heen en maak wagwoorde wat nie baie kompleks is nie. Dit maak verifikasie gebaseer op gebruikersname en wagwoorde alleen onbetroubaar en moeilik om te gebruik. Wagwoorde is ook nie baie veilig nie, want hackers, phishers en wanware kan dit maklik kry.

Multifaktor-verifikasie is belangrik omdat dit dit moeiliker maak vir die gemiddelde dief om jou inligting te steel. As jou inligting nie baie interessant is nie, is diewe meer geneig om iemand anders te agtervolg.

Soos die naam aandui, is MFA 'n mengsel van ten minste twee verskillende dinge. Een is gewoonlik jou aanmeldnaam en wagwoord, wat jy ken. Die ander moontlikheid is:

  • Jy het iets. Jy kan bewys wie jy is met 'n foon, 'n sleutelkaart of 'n USB.
  • Dit wat jy is. Jy kan bewys dat jy is wie jy sê jy is met jou vingerafdrukke, iris-skanderings of ander biometriese data.

Deur hierdie ekstra stap by jou gebruikersnaam en wagwoord te voeg, word jou privaatheid beskerm. En die meeste mense kan dit binne 'n baie kort tydjie opstel.

MFA-metodes van verifikasie

'n Verifikasiefaktor is 'n tipe geloofsbrief wat gebruik word om iemand se identiteit na te gaan. Vir MFA is elke ekstra faktor bedoel om dit meer waarskynlik te maak dat 'n persoon of ding wat kommunikeer of vra om in 'n stelsel te kom, is wie of wat dit sê dit is. Deur meer as een manier te gebruik om te bewys wie jy is, kan dit moeiliker wees vir hackers om in te kom.

Die drie mees algemene kategorieë, of verifikasiefaktore, is iets wat jy weet, of die kennisfaktor, iets wat jy het, of die besitfaktor, en iets wat jy is, of die inherensiefaktor. MFA werk deur twee of meer van hierdie dinge saam te voeg.

1. Kennisfaktor

Die gebruiker moet gewoonlik 'n persoonlike sekuriteitsvraag beantwoord as deel van kennisgebaseerde verifikasie. Wagwoorde, viersyfer persoonlike identifikasienommers (PIN's) en eenmalige wagwoorde is algemene tipes kennisfaktortegnologieë (OTP's). Hier is 'n paar algemene maniere waarop mense dit gebruik:

  • Debietkaart deurswaai en PIN by die kruidenierswinkel se betaalpunt invoer
  • Laai 'n virtuele privaat netwerkkliënt met 'n geldige digitale sertifikaat af en meld aan by die VPN voordat jy toegang tot 'n netwerk kry
  • Om inligting te gee, soos jou ma se nooiensvan of 'n vorige adres, om in 'n stelsel te kom.

2. Besitfaktor

Om aan te meld, moet gebruikers iets by hulle hê, soos 'n kenteken, teken, sleutelhanger of intekenaaridentiteitsmodule (SIM)-kaart vir hul foon. Saam met 'n OTP-app word 'n slimfoon dikwels as die besitfaktor vir mobiele verifikasie gebruik.

Hierdie tegnologieë is deel van die besitfaktor:

  • Sekuriteitstokens – Hulle is klein stukkies hardeware wat persoonlike inligting oor 'n gebruiker stoor en word gebruik om daardie persoon se identiteit elektronies te verifieer. Die toestel kan 'n slimkaart wees, 'n voorwerp met 'n ingeboude skyfie soos 'n USB-skyf, of 'n draadlose etiket.
  • Sagte tekens – ’n Eenmalige aanmeld-PIN word deur ’n sagteware-gebaseerde sekuriteitstokentoepassing geskep. Sagte tokens word dikwels gebruik vir multifaktor-verifikasie op mobiele toestelle, waar die toestel self, soos ’n slimfoon, die besitfaktor verskaf.

Hier is 'n paar algemene maniere waarop die besitfaktor gebruik word:

Mobiele verifikasie. Met mobiele verifikasie kry gebruikers 'n kode op hul foon om toegang te verkry of te weier. Daar is verskillende maniere om dit te doen, soos om 'n gebruiker 'n buite-band SMS of telefoonoproep te stuur, deur 'n slimfoon te gebruik.

USB-hardewaretoken. OTP-programme, SIM-kaarte, of slimkaarte wat verifikasiedata stoor, of 'n USB-hardewaretoken aan 'n rekenaar koppel wat 'n OTP genereer en dit gebruik om by 'n VPN-kliënt aan te meld.

3. Erflikheidsfaktor

Enige van die gebruiker se biologiese eienskappe wat nagegaan word om aan te meld. Sommige tegnologieë wat die "inherensiefaktor" gebruik, is Metodes van biometriese verifikasie:

  • Vingerafdruk-skandering
  • Handgeometrie
  • Retina- of iris-skandering
  • Stemverifikasie
  • Gesigsherkenning
  • Digitale handtekeningskandeerders
  • Oorlelgeometrie

Die dele van 'n biometriese toestel sluit in 'n leser, 'n databasis en sagteware om die geskandeerde biometriese data in 'n standaard digitale formaat te omskep en die ooreenstemmende punte van die waargenome data met die data wat gestoor is, te vergelyk.

Die volgende is voorbeelde van tipiese inherensiefaktorsituasies:

  • Gebruik 'n vingerafdruk- of gesigsherkenning om 'n slimfoon oop te maak
  • 'n Digitale handtekening by 'n winkelkassa gee
  • Om uit te vind wie 'n misdadiger is deur na die vorm van hul oorlelle te kyk

Mense sê dikwels dat 'n gebruiker se ligging 'n vierde faktor vir verifikasie kan wees. Weereens, die feit dat slimfone so algemeen is, kan help om verifikasie makliker te maak. Gebruikers dra gewoonlik hul fone saam met hulle, en selfs die mees basiese slimfone kan hul ligging opspoor deur die Globale PosisioneringstelselDit maak dit meer waarskynlik dat die aanmeldligging akkuraat is.

Tydgebaseerde verifikasie is nog 'n manier om 'n persoon se identiteit te bewys. Dit doen dit deur hul teenwoordigheid op 'n sekere tyd van die dag na te gaan en hulle in 'n sekere stelsel of plek toe te laat. Byvoorbeeld, 'n bankkliënt kan nie dieselfde OTM-kaart in die VSA gebruik en dan 15 minute later in Rusland nie. Baie soorte aanlyn bankbedrog kan met hierdie soort logiese slotte gestop word.

4. Gebaseer op ligging en tyd

MFA kan gedoen word met GPS-koördinate, netwerkparameters, metadata oor die netwerk wat gebruik word, en toestelherkenning. Aanpasbare verifikasie kombineer hierdie datapunte met gebruikersdata uit die verlede of uit die gebruiker se huidige omgewing.

Hierdie dinge werk in die agtergrond en vereis nie veel insette van gebruikers nie, wat beteken dat hulle nie in die pad van produktiwiteit staan nie. Aangesien hulle egter spesiale sagteware en kennis benodig om te gebruik, is hulle die beste vir groot organisasies wat die hulpbronne het om hulle te bestuur.

5. Eenmalige wagwoord gebaseer op tyd (TOTP)

Dit word gewoonlik in 2FA gebruik, maar dit kan in enige MFA-metode gebruik word waar 'n tweede stap dinamies bygevoeg word by aanmelding nadat 'n eerste stap voltooi is. Meestal neem dit nie lank om te wag vir die tweede stap nie, waarin tydelike wagwoorde per SMS of e-pos gestuur word. Die proses is maklik om te gebruik vir 'n wye reeks gebruikers en toestelle. Hierdie metode word tans baie gebruik.

Aan die sakekant benodig tweestap-verifikasie sagteware of 'n derdeparty-diensverskaffer om te werk. Mobiele netwerke kan hul sekuriteitsprobleme hê, net soos om mobiele toestelle as fisiese tokens te gebruik.

Meestal is die sekuriteitsleutel 'n QR-kode wat die gebruiker met 'n mobiele toestel skandeer om 'n nommervolgorde te kry. Die gebruiker voer dan daardie nommers in die webwerf of toepassing in om in te kom. Na 'n sekere tydperk hou die wagwoorde op werk, en 'n nuwe een word gemaak die volgende keer wat 'n gebruiker by 'n rekening aanmeld.

6. Druk-gebaseerde verifikasiefaktor

Stootgebaseerde 2FA is beter as SMS- en TOTP-2FA omdat dit meer sekuriteit byvoeg en dit makliker maak om te gebruik. Dit verifieer 'n gebruiker se identiteit deur verskeie faktore te gebruik wat ander metodes nie kan doen nie. Omdat stootgebaseerde 2FA kennisgewings oor datanetwerke soos sellulêr of Wi-Fi stuur, moet gebruikers datatoegang op hul mobiele toestelle hê om die 2FA-funksie te gebruik.

7. Sosiale media

In hierdie geval gee 'n gebruiker 'n webwerf toestemming om hul gebruikersnaam en wagwoord van 'n sosiale media-webwerf te gebruik om hulle aan te meld. Dit maak dit maklik vir alle gebruikers om aan te meld, en alle gebruikers kan dit gebruik.

Aanlynmisdadigers gaan egter dikwels sosiale medianetwerke agterna omdat hulle baie inligting oor hul gebruikers het. Sommige gebruikers is ook bekommerd oor hoe die deel van aanmeldings met sosiale medianetwerke hul sekuriteit en privaatheid kan beïnvloed.

8. Risikogebaseerde verifikasiefaktor

Hierdie metode kombineer aanpasbare verifikasie met algoritmes wat risiko bereken en na die konteks van elke aanmeldversoek kyk. Hierdie metode word soms aanpasbare multifaktor-verifikasie genoem. Die doel van hierdie metode is om duplikaat-aanmeldings te verminder en die werkvloei makliker te gebruik.

Risikogebaseerde verifikasie kan baie tyd bespaar vir gebruikers wat by baie verskillende stelsels moet aanmeld. Maar om dit te ontplooi en te bestuur, benodig jy sagteware wat leer hoe gebruikers met 'n stelsel omgaan en IT-vaardighede.

Verskil tussen 2FA en MFA

Toe verifikasiestrategieë aanvanklik ontwikkel is, was die doel om dinge so eenvoudig as moontlik te hou terwyl steeds seker gemaak word dat hulle veilig is. Gebruikers is slegs gevra vir twee tipes sekuriteitsleutels wat 'n stelsel sou laat weet dat hulle eg is en toegelaat word om dit te gebruik. Tweefaktor-verifikasie is dikwels gedoen met 'n gebruikers-ID en wagwoord of 'n bankkaart en PIN vir 'n OTM.

Hackers het vinnig maniere gevind om wagwoorde te koop of te breek en inligting van debietkaarte by OTM'e te steel. Dit het maatskappye en sekuriteitsverskaffers laat soek na veiliger maniere om 'n gebruiker se identiteit te verifieer wat meer as een sekuriteitsfaktor gebruik.

Wat is die voordele en nadele van MFA?

Multifaktor-verifikasie is geskep om dit vir hackers moeiliker te maak om toegang tot stelsels en toepassings te verkry deur beide hardeware en sagteware te gebruik. Die doel was om seker te maak dat gebruikers is wie hulle sê hulle is en dat hul digitale transaksies veilig is. Die probleem met MFA is dat gebruikers dikwels die antwoorde op die persoonlike vrae vergeet wat hul identiteit verifieer, en sommige gebruikers deel hul ID-tokens en wagwoorde. MFA het ook 'n paar ander voor- en nadele.

MFA-voordele

  • MFA voeg lae sekuriteit by op die hardeware-, sagteware- en persoonlike ID-vlakke
  • Kan eenmalige wagwoorde (OTP's) gebruik wat na fone gestuur word en wat lukraak intyds gegenereer word en moeilik is vir hackers om te breek
  • Kan sekuriteitsbreuke met tot 99.9% verminder in vergelyking met wagwoorde alleen
  • Kan maklik deur gebruikers opgestel word
  • Laat besighede kies om toegang te beperk gebaseer op die tyd van die dag of ligging
  • Het skaalbare koste, aangesien daar duur en hoogs gesofistikeerde MFA-gereedskap sowel as goedkoper gereedskap vir klein besighede is.

Foute van multifaktor-verifikasie

  • Om 'n SMS-kode te kry, benodig jy 'n foon;
  • Hardeware-tokens kan verlore raak of gesteel word
  • Selfone kan vermis raak of gesteel word
  • Die biometriese inligting wat MFA-algoritmes gebruik om ID's te maak,
  • As duimafdrukke is dit nie altyd akkuraat nie en kan dit tot vals positiewe of negatiewe resultate lei.
  • MFA-verifikasie kan misluk as daar 'n probleem met die netwerk of die internet is;
  • Misdadigers werk hard om maniere te vind om MFA-tegnieke te breek, daarom moet hulle heeltyd opgedateer word.

Hoe om die uitdagings met multifaktor-verifikasie te verlig

Deur meer sekuriteit by MFA te voeg, word dit moeiliker vir mense wat meer as een wagwoord moet onthou om te gebruik. Die doel van MFA is dus om dit maklik te maak vir gebruikers om MFA-tegnieke te gebruik. Hier is drie maniere waarop MFA makliker gemaak word om te gebruik:

  1. Aanpasbare MFA. Dit pas kennis, besigheidsreëls of beleide toe op gebruikersgebaseerde faktore soos 'n toestel of ligging. Byvoorbeeld, 'n korporatiewe VPN weet dat dit reg is vir 'n gebruiker om van die huis af aan te meld, want dit kan sien waar die gebruiker is en uitwerk hoe waarskynlik dit is dat die gebruiker die netwerk sal misbruik of kompromitteer. Maar as 'n werknemer die VPN van 'n koffiewinkel af gebruik, sal die stelsel afgeskakel word en sal hulle hul MFA-besonderhede moet invoer.
  2. Teken slegs een keer aan (SSO)Hierdie eenstop-verifikasiemetode laat gebruikers toe om een rekening te hou wat hulle outomaties by verskeie toepassings of webwerwe aanmeld met 'n enkele ID en wagwoord. SSO werk deur uit te vind wie die gebruiker is en dan hierdie inligting te deel met elke stelsel of toepassing wat dit benodig.
  3. Stoot-verifikasiemetode. Dit is 'n metode om 'n mobiele toestel outomaties te verifieer. Die sekuriteitstelsel stuur 'n derde, eenmalige identifikasiekode na die gebruiker se mobiele toestel. Byvoorbeeld, as 'n gebruiker toegang tot 'n veilige stelsel wil hê, voer hulle hul gebruikers-ID en wagwoord in, en die sekuriteitstelsel stuur 'n derde, eenmalige kode na hul mobiele toestel. Mense moet daardie kode in die stelsel invoer om toegang te kry. MFA word makliker gemaak deur gebruikers 'n derde kode te gee wat hulle nie hoef te onthou nie. Dit word "stootverifikasie" genoem.

Gevolgtrekking

'n Gekompromitteerde wagwoord is een van die mees algemene metodes waarmee kwaadwillige akteurs toegang tot sensitiewe inligting soos 'n gebruiker se data, identiteit of finansies kan kry. Die gebruik van verskeie vorme van verifikasie gelyktydig is een van die eenvoudigste maniere om dinge vir hulle aansienlik moeiliker te maak.

 

 

Blaai na bo