Two-factor authentication (2FA), denumita uneori verificare in doi pasi sau autentificare cu doi factori, este un proces de securitate in care utilizatorii folosesc doi factori de autentificare diferiti pentru verificare.
Autentificarea cu doi factori (2FA) este implementata pentru a proteja mai bine atat acreditarile unui utilizator, cat si resursele pe care utilizatorul le poate accesa. Autentificarea cu doi factori ofera un nivel mai ridicat de securitate decat metodele de autentificare care depind de autentificarea cu un singur factor (SFA) – de obicei, o parola sau un passcode. Metodele de autentificare cu doi factori se bazeaza pe un utilizator care furnizeaza o parola ca prim factor si un al doilea factor diferit – de obicei fie un token de securitate, fie un factor biometric, cum ar fi amprenta digitala sau scanarea faciala.
Autentificarea cu doi factori adauga un nivel suplimentar de securitate procesului de autentificare, ingreunand accesul infractorilor cibernetici la dispozitivele sau conturile online ale unei persoane. Chiar daca parola victimei este compromisa, o singura parola nu este suficienta pentru a trece procesul de verificare.
Autentificarea cu doi factori a fost folosita de multa vreme pentru a controla accesul la sisteme si date sensibile. Furnizorii de servicii online folosesc din ce in ce mai mult 2FA pentru a proteja datele utilizatorilor impotriva sustragerii acestora de catre hackeri sau care intreprind campanii de phishing pentru a obtine parole de utilizator.
Ce sunt factorii de autentificare?
Exista mai multe moduri prin care cineva poate fi autentificat folosind mai multe metode de autentificare. In prezent, majoritatea metodelor de autentificare se bazeaza pe knowledge factors, cum ar fi o parola traditionala. In timp ce metodele de autentificare cu doi factori adauga fie un factor de posesie, fie un factor de inerenta.
Factorii de autentificare includ:
- Un knowledge factor este ceva ce utilizatorul stie, cum ar fi o parola, un numar personal de identificare (PIN) sau un alt tip de secret partajat.
- Un factor de posesie este ceva pe care utilizatorul il detine, cum ar fi o carte de identitate, un token de securitate, un telefon mobil, un dispozitiv mobil sau o aplicatie pentru smartphone, pentru a aproba cererile de autentificare.
- Un factor biometric, cunoscut si sub numele de factor de inerenta, este ceva inerent sinelui fizic al utilizatorului. Acestea pot fi atribute personale mapate din caracteristicile fizice, cum ar fi amprentele autentificate printr-un cititor de amprente. Alti factori de inerenta utilizati in mod obisnuit includ recunoasterea faciala si vocala sau biometria comportamentala, cum ar fi dinamica apasarii tastelor, mersul sau modelele de vorbire.
- Un factor de locatie denota de obicei de locatia din care se face o incercare de autentificare. Acest lucru poate fi impus prin limitarea incercarilor de autentificare la anumite dispozitive dintr-o anumita locatie sau prin urmarirea sursei geografice a unei incercari de autentificare pe baza adresei sursei Internet Protocol sau a altor informatii de localizare geografica, cum ar fi datele sistemului de pozitionare globala (GPS), derivate din telefonul mobil sau alt dispozitiv al utilizatorului.
- Un factor de timp restrictioneaza autentificarea utilizatorului la o anumita fereastra de timp in care conectarea este permisa si restrictioneaza accesul la sistem in afara acelei ferestre.
Majoritatea a metodelor de autentificare cu doi factori se bazeaza pe primii trei factori de autentificare. Desi, sistemele care necesita o securitate mai mare le pot folosi pentru a implementa autentificarea multifactor (MFA), care se poate baza pe doua sau mai multe acreditari independente pentru o autentificare mai sigura.
Cum functioneaza autentificarea cu doi factori?
Activarea autentificarii cu doi factori variaza in functie de aplicatia specifica sau de furnizor. Cu toate acestea, procesele de autentificare cu doi factori implica acelasi proces general, in mai multi pasi:
- Utilizatorului i se solicita sa se conecteze de catre aplicatie sau site-ul web.
- Utilizatorul introduce ceea ce stie – de obicei, numele de utilizator si parola. Apoi, serverul site-ului gaseste o potrivire si recunoaste utilizatorul.
- Pentru procesele care nu necesita parole, site-ul web genereaza o cheie de securitate unica pentru utilizator. Instrumentul de autentificare proceseaza cheia, iar serverul site-ului o valideaza.
- Site-ul solicita apoi utilizatorului sa initieze al doilea pas de conectare. Desi acest pas poate lua mai multe forme, utilizatorul trebuie sa demonstreze ca are ceva ce doar el ar putea avea, cum ar fi biometrie, un token de securitate, o carte de identitate, un smartphone sau alt dispozitiv mobil. Acesta este factorul de inerenta sau posesie.
- Apoi, utilizatorul poate fi nevoit sa introduca un cod unic care a fost generat in timpul pasului patru.
- Dupa furnizarea ambilor factori, utilizatorul este autentificat si i se acorda acces la aplicatie sau site-ul web.
Elemente de autentificare cu doi factori
Autentificarea cu doi factori este o forma de MFA. Din punct de vedere tehnic, este utilizat oricand sunt necesari doi factori de autentificare pentru a obtine acces la un sistem sau serviciu. Cu toate acestea, utilizarea a doi factori din aceeasi categorie nu constituie 2FA. De exemplu, solicitarea unei parole si a unui secret partajat este in continuare considerata SFA, deoarece ambele apartin tipului de factor de autentificare a cunostintelor.
Autentificare cu doi factori pentru dispozitivele mobile
Telefoanele inteligente ofera o varietate de capabilitati 2FA, permitand companiilor sa foloseasca ceea ce functioneaza cel mai bine pentru ei. Unele dispozitive pot recunoaste amprentele digitale, pot folosi camera incorporata pentru recunoasterea faciala sau scanarea irisului si pot folosi microfonul pentru recunoasterea vocii. Smartphone-urile echipate cu GPS pot verifica locatia ca un factor suplimentar. Serviciul de mesaje vocale sau scurte (SMS) poate fi, de asemenea, utilizat ca si canal pentru autentificarea in afara benzii.
Un numar de telefon de incredere poate fi folosit pentru a primi coduri de verificare prin mesaj text sau apel telefonic automat. Un utilizator trebuie sa verifice cel putin un numar de telefon de incredere pentru a se inscrie in 2FA mobil.
Apple iOS, Google Android si Windows 10 au toate aplicatii care accepta 2FA, permitand telefonului insusi sa serveasca drept dispozitiv fizic pentru a satisface factorul de posesie.
Aplicatiile de autentificare inlocuiesc nevoia de a obtine un cod de verificare prin text, apel vocal sau e-mail. De exemplu, pentru a accesa un site web sau un serviciu web care accepta Google Authenticator, utilizatorii isi introduc numele de utilizator si parola – un factor de cunoastere. Utilizatorilor li se solicita apoi sa introduca un numar din sase cifre. In loc sa fie nevoie sa astepte cateva secunde pentru a primi un mesaj text, un autentificator genereaza numarul pentru ei. Aceste numere se schimba la fiecare 30 de secunde si sunt diferite pentru fiecare conectare. Introducand numarul corect, utilizatorii finalizeaza procesul de verificare si demonstreaza ca detin dispozitivul corect – un factor de proprietate.
Acestea si alte produse 2FA ofera informatii despre cerintele minime de sistem necesare pentru implementarea 2FA.
Viitorul autentificarii
Multe organizatii apeleaza in ultimul timp la autentificarea fara parola. Utilizarea metodelor precum biometria si protocoalele securizate permit utilizatorilor sa se autentifice in siguranta in aplicatiile lor, fara a fi nevoie sa introduca parole. In afaceri, aceasta inseamna ca angajatii isi pot accesa munca fara a fi nevoie sa introduca parole. Iar IT-ul pastreaza in continuare controlul total asupra fiecarei autentificari. Utilizarea blockchain-ului, de exemplu, prin identitate descentralizata sau identitate auto-suverana, castiga, de asemenea, atentia ca alternativa la metodele traditionale de autentificare.