İki faktörlü kimlik doğrulama

Anahtarlık üzerinde YubiKey 4 güvenlik belirteci

İkili kimlik doğrulama ( 2FA sık olarak adlandırılan), iki öğeli kimlik doğrulama farklı ve daha özel olarak, bağımsız bileşenlerin (faktörleri) elde etmek için ikisinin birleşimi vasıtasıyla temsil eder, bir kullanıcının kimlik belgesi anılacaktır. Tipik örnekler banka kartı artı ATM'lerde PIN , parmak izi artı binalardaki erişim kodu veya çevrimiçi bankacılık için parola ve işlem numarasıdır (TAN) . İki faktörlü kimlik doğrulama, çok faktörlü kimlik doğrulamanın özel bir durumudur .

Uygulama ve amaç

İki faktörlü kimlik doğrulama Alman, örneğin Uygulamanın güvenlik-kritik alanlarda özellikle tavsiye edilir Bilgi Güvenliği Federal Ofisi onun içinde BT-Grundschutz katalogları . BSI für Bürger ve Stiftung Warentest, tüketicilere mümkün olduğunca çok sayıda web tabanlı hizmet ve çevrimiçi portal için iki faktörlü kimlik doğrulama kullanmalarını tavsiye ediyor. Bunun nedeni, tüketicilerin genellikle uygun olmayan veya zayıf şifreler seçmeleri ve birkaç kullanıcı hesabı veya web hizmeti için tek ve aynı şifreyi kullanmalarıdır. Tek seferlik şifreler birkaç saniye veya dakika sonra geçersiz hale gelir - bu, şifreleri gözetlemek isteyen saldırganları savuşturur, örn. B. Şifreleri girilirken okuyarak veya bir keylogger tarafından .

Bankacılıkta, AB Ödeme Hizmetleri Direktifi, 2018'de Avrupa Ekonomik Alanı için iki faktörlü kimlik doğrulamasını zorunlu hale getirdi . Amazon veya Google gibi web platformları ve mail.de ( 2012'den beri), posteo (2014'ten beri) ve mailbox.org gibi e-posta sağlayıcıları da kullanıcılara kullanıcı hesaplarını iki faktörlü kimlik doğrulama ile koruma seçeneği sunuyor.

Bileşenler

İki faktörlü kimlik doğrulama, yalnızca belirtilen iki bileşen veya faktör birlikte kullanıldığında ve her ikisi de doğruysa başarılı olur. Bir bileşen eksikse veya yanlış kullanılıyorsa erişim yetkisi kesin olarak belirlenemez ve erişim reddedilir.

Faktörler şunlar olabilir:

Dolaylı iki faktörlü kimlik doğrulama

Bir gizlilik öğesi olarak bir güvenlik belirteci aracılığıyla kimlik doğrulamanın dezavantajı , kullanıcı herhangi bir zamanda oturum açabilmek istiyorsa , her zaman taşınması gerektiğidir. Öğe çalınırsa, kaybolursa veya kullanıcının yanında yoksa, erişim imkansızdır veya çok fazla çaba gerektirir. Ayrıca, ilk satın alma ve gerekirse değiştirme satın alma maliyetleri vardır. Bu risklerden kaçınmak için alternatif olarak dolaylı iki faktörlü kimlik doğrulama geliştirilmiştir. Cep telefonları ve akıllı telefonlar gibi mobil cihazları bir gizlilik öğesi olarak kullanır, yani "kullanıcının sahip olduğu bir şey" (ama aynı zamanda kaybedebilir). Mobil cihaz bugünlerde birçok insan için sürekli bir arkadaş olduğundan, ek bir jeton satın alınmasına ve korunmasına gerek yoktur.

Kullanıcı kimliğini doğrulamak isterse, genellikle bir parola ve bir defalık geçerli, dinamik olarak oluşturulmuş bir defalık parola girmesi gerekir. Bu kodu mobil cihazında SMS veya e-posta yoluyla alır veya (daha iyisi) iki faktörlü kimlik doğrulama için ilgili uygulama mobil cihazda bir kerelik şifre oluşturur.

Kullanıcı bir basamak dizisi kullanmışsa, otomatik olarak silinir ve sistem mobil cihaza yeni bir kod gönderir. Belirlenen süre içerisinde yeni kod girilmezse sistem tarafından otomatik olarak değiştirilir. Bu sayede mobil bileşen üzerinde daha önce kullanılmış eski kodlar kalmaz. Daha da fazla güvenlik için, sistem erişimi engellemeden önce kaç tane yanlış girişe izin verileceğini belirleyebilirsiniz.

Kimliği doğrulayan kullanıcının artık manuel veri girişi yapması gerekmiyorsa, işlem yarı otomatik olarak kabul edilir . Bu, NFC yöntemi ile elde edilir . Bunun için önceden kişiselleştirilmiş bir mobil cihaz kullanılır.

İşlem, yalnızca kimliği doğrulayan kullanıcının artık herhangi bir işlem yapması gerekmediğinde tam otomatik olarak kabul edilir . Bu, uluslararası bir endüstri standardı olarak piconets ( Bluetooth ) kullanılarak elde edilir . Bunun için önceden kişiselleştirilmiş bir mobil cihaz kullanılır.

Zamana dayalı tek seferlik parolalar (TOTP) kullanan iki faktörlü kimlik doğrulama uygulamaları

İlk olarak, kullanıcı bir veya daha fazla web tabanlı hizmete karşı dolaylı iki faktörlü kimlik doğrulama için kullanılacak olan ilgili uygulamayı mobil cihaza yükler. Web tabanlı bir hizmet daha sonra, uygulamayı hizmete ikinci bir faktör olarak kaydederek iki faktörlü kimlik doğrulama ile korunabilir. Bunu yapmak için, hizmetin güvenlik sunucusu ve uç cihaz, bir karakter dizisini gizli veya belirteç olarak değiştirir - örn. B. Mobil cihazla bir QR kodu tarayarak veya güvenlik sunucusu tarafından görüntülenen ilgili karakter dizisini manuel olarak girerek. Bu ilk adımdan sonra, sır ideal olarak yalnızca güvenlik sunucusu ve kullanıcının kişisel cihazı tarafından bilinir ve bu hafızayı asla bırakmamalıdır. İlgili bir fonksiyon testinden sonra, web hizmeti kullanıcı hesabı için iki faktörlü doğrulamayı etkinleştirir.

Kullanıcı şimdi web tabanlı hizmeti kullanmak isterse, kullanıcı adını ve şifresini girdikten sonra , kimlik doğrulama için ikinci bir faktör olarak uygulama tarafından oluşturulan bir kerelik şifreyi girmesi istenir . Uygulama, geçerli zamandan ve sırdan bir kerelik şifreyi hesaplar . Bu nedenle client ve server saatlerinin yaklaşık olarak senkronize olması gerekmektedir . Genellikle süreç uçak modunda da çalışır. Aşağıdaki sözde kod, her 30 saniyede bir yeni bir parola sağlar. Uygulamada, sunucu, istemcinin bir dakikaya kadar olan zaman sapmalarını karşılamak için öncül ve ardıl kodunu da kabul edecek şekilde programlanabilir. Tek kullanımlık parola oluşturmak için gereken sır artık iletilmez ve bu nedenle ele geçirilemez.

Bugün, bazıları çok sayıda platformda kullanılabilen TOTP aracılığıyla iki faktörlü kimlik doğrulama için bir dizi uygulama var. Bu uygulamalar, HOTP ( RFC 4226 ) ve TOTP ( RFC 6238 ) açık standartlarını uygular; bu, güvenlik sunucusu bu standartları uygulayan herhangi bir web hizmetiyle kullanılabilecekleri anlamına gelir.

Uygulama desteklenen platformlar İçe aktarma / dışa aktarma işlevi? Uyarılar
Google Kimlik Doğrulayıcı Android, iOS, Blackberry işletim sistemi Evet Anında bildirim yoluyla Google hesaplarına giriş yapın. Android için geliştirilen uygulama, başlangıçta 2.21 sürümüne kadar açık kaynak kodluydu , daha sonra tescilli oldu.
ve OTP Android Evet Açık kaynak
ÜcretsizOTP Doğrulayıcı Android (son güncelleme 25 Ocak 2016) ve iOS numara Açık kaynaklı yazılım, GitHub dizininde bulunan Google Authenticator sürümüne dayalı olarak geliştirildi. FreeOTP, Red Hat tarafından sağlanmaktadır .
ÜcretsizOTP + Android Evet Açık kaynaklı yazılım FreeOTP +, uzantıları entegre eden bir FreeOTP çatalıdır.
Authy (Twilio) Android, BlackBerry OS, iOS, Windows, Mac OS ve Linux Evet Sırlar/belirteçler bulutta saklanır (şifrelenir), böylece paralel olarak birden fazla cihazda kullanılabilirler.
Microsoft Kimlik Doğrulayıcı Android ve iOS Evet Anında iletme bildirimi yoluyla Microsoft hesabına giriş yapın

Ayrıca LastPass , Bitwarden veya 1Password gibi şifre yöneticileri artık üçüncü taraflara iki faktörlü kimlik doğrulamayı destekliyor.

Evrensel iki faktörlü kimlik doğrulama

FIDO Alliance 9 Aralık 2014 tarihinde evrensel ve lisans gerektirmeyen standartların ilk versiyonunu başlattı U2F çeşitli yöntemler ve cihazlar ile uyumludur iki faktörlü kimlik doğrulama için yayınladı. Şubat 2015'te Microsoft , FIDO Alliance'ın İnternet üzerinde kimlik doğrulama için 2.0 standardının Windows 10 işletim sistemi tarafından destekleneceğini duyurdu .

Güvenlik yönleri

Güvenlik uzmanları , bir saldırganın sahte bir oturum açma sayfası sunduğu SMS sahtekarlığı ve ortadaki adam saldırılarının , tek seferlik şifrelere dayalı iki faktörlü kimlik doğrulama ile sistemlere girmek için kullanılabileceği konusunda uyarıyor . Fido U2F burada ek koruma sağlar.

İki faktör, iki ayrı iletim kanalı aracılığıyla iletilmelidir. Kaydedilmemeleri veya aynı yerde tutulmama gerekliliği artık çoğu zaman karşılanmamaktadır, bu nedenle bugün çok sayıda banka, aynı uç cihazda bir kerelik bir şifre aracılığıyla iki faktörlü kimlik doğrulama için e-bankacılık uygulamasını ve uygulamasını kullanmaktadır. Kaybolması durumunda, yalnızca 2FA uygulamasındaki olası bir PIN kodunun bankacılık uygulamasını koruyacağını. Ancak, TOTP kullanarak iki faktörlü kimlik doğrulama uygulamasını, 2FA güvenli BT hizmetini kullandığınız cihaza yüklemiş olsanız bile, bu, yalnızca bir oturum açma adı ve parola ile kimlik doğrulamaya kıyasla güvenlikte bir artış anlamına gelir. tek kullanımlık parolanın benzersizliği. Ancak, kimlik doğrulama uygulamasını ikinci bir cihazda kullanmak, ikinci bir faktör için de güvenlik sağlar.

Ayrıca çoğu sağlayıcı, belirli bilgisayarların, oturum açma işlemlerinin tek seferlik bir parola olmadan gerçekleştirilebileceği güvenilir istemciler olarak tanımlanmasına izin verir. Saldırgan böyle bir bilgisayara erişebilirse, ek koruma artık kullanılamaz.

İlgili Makaleler

İnternet linkleri

Bireysel kanıt

  1. SYS.2.1.M1 kullanıcı kimlik doğrulaması , BSI, IT-Grundschutz-Kompendium Edition 2020, 28 Ağustos 2020'de erişildi.
  2. Daha fazla güvenlik için iki faktörlü kimlik doğrulama . Vatandaşlar için BSI, Federal Bilgi Güvenliği Ofisi
  3. Çevrimiçi hesapları 2FA ile koruyun. İki faktörlü kimlik doğrulama böyle çalışır . Test.de, Stiftung Warentest, 11 Aralık 2020
  4. tek kullanımlık şifre (OTP) . TechTarget Ağı
  5. Çevrimiçi bankacılık için iki faktörlü kimlik doğrulama geliyor. futurezone.at, 2 Ağustos 2017 (8 Temmuz 2019'da erişildi).
  6. Daha fazla güvenlik: Amazon, iki faktörlü kimlik doğrulama sunar. İçinde: Der Standard çevrimiçi, 5 Aralık 2016.
  7. İkinci faktör: Yalnızca birkaç kullanıcı ek olarak Google hesaplarının güvenliğini sağlar. İçinde: Der Standard çevrimiçi, 22 Ocak 2018.
  8. İki faktörlü kimlik doğrulama: bu şekilde çalışır , test.de , 28 Ocak 2015, erişim tarihi 20 Şubat 2015
  9. datenschutzticker.de , 29 Nisan 2020 (KINAST Rechtsanwälte)
  10. İki faktörlü kimlik doğrulama (Virtual Solution AG)
  11. Michel Smidt: Kısaca açıkladı: İki faktörlü kimlik doğrulama ile güvenli oturum açma. İçinde: Univention Blogu. univention, 27 Nisan 2017, erişim tarihi 14 Ağustos 2018 .
  12. Ocak 2021 itibarıyla, 12 Mayıs 2020 tarihli sürümde
  13. Yedekleme biçimi. İçinde: andOTP wiki. 2 Ocak 2021'de erişildi .
  14. Göç. İçinde: andOTP wiki. 2 Ocak 2021'de erişildi .
  15. Ocak 2021 itibarıyla, 25 Ocak 2016 tarihli sürümde
  16. Willis, Nathan: FreeOTP çok faktörlü kimlik doğrulama . LWN.net, 22 Ocak 2014
  17. FreeOTP , github.com
  18. FreeOTP +, F-Droid'de
  19. Microsoft Authenticator: Uygulama bu şekilde çalışır . Nicole Hery-Moßmann, Chip.de, 29 Haziran 2019
  20. Microsoft Authenticator uygulamasını kullanarak hesap kimlik bilgilerini yedekleyin ve kurtarın . Microsoft Belgeleri, 3 Haziran 2020
  21. FIDO 1.0 Spesifikasyonları Yayınlandı ve 2015'te Güçlü Kimlik Doğrulamanın Geniş Sektörde Kabulü İçin Son Hazırlanıyor , FIDO Alliance, erişim tarihi 12 Aralık 2014
  22. Dustin Ingalls: Microsoft, Windows 10'a Gelecek FIDO Desteğini Duyurdu ( İnternet Arşivinde 15 Şubat 2015'ten Memento ), windows.com, 15 Şubat 2015'te erişildi
  23. tek kullanımlık şifre (OTP) . TechTarget Ağı
  24. Çok faktörlü kimlik doğrulama. A-SIT Güvenli Bilgi Teknolojisi Merkezi, onlinesicherheit.gv.at üzerinde; 8 Temmuz 2018'de erişildi.