Autentificarea cu mai multi factori (MFA) este o metoda de autentificare electronica in care unui utilizator i se acorda acces la un site web sau la o aplicatie, numai dupa ce a prezentat cu succes doua sau mai multe dovezi (sau factori) pentru un mecanism de autentificare: cunoasterea (ceva ce doar utilizatorul stie), posesia (ceva ce doar utilizatorul are) si inerenta (ceva ce doar utilizatorul este).
MFA protejeaza datele utilizatorului – care pot include identificarea personala sau activele financiare – impotriva accesarii de catre o terta parte neautorizata care ar fi putut sa descopere, de exemplu, o singura parola.
O aplicatie de autentificare terta parte (TPA) permite autentificarea cu doi factori, de obicei prin afisarea unui cod generat aleatoriu si care se schimba frecvent pentru a fi utilizat pentru autentificare.
Factori
Autentificarea are loc atunci cand cineva incearca sa se conecteze la o resursa de computer (cum ar fi o retea, un dispozitiv sau o aplicatie). Resursa cere utilizatorului sa furnizeze identitatea prin care utilizatorul este cunoscut de resursa, impreuna cu dovezi ale autenticitatii pretentiei utilizatorului la acea identitate.
Autentificarea simpla necesita doar o astfel de dovada (factor), de obicei o parola. Pentru securitate suplimentara, resursa poate necesita mai mult de un factor – autentificare cu mai multi factori sau autentificare cu doi factori, in cazurile in care urmeaza sa fie furnizate exact doua dovezi.
Utilizarea mai multor factori de autentificare pentru a-si dovedi identitatea se bazeaza pe premiza ca un actor neautorizat este putin probabil sa fie capabil sa furnizeze factorii necesari pentru acces. Daca, intr-o incercare de autentificare, cel putin una dintre componente lipseste sau este furnizata incorect, identitatea utilizatorului nu este stabilita cu suficienta siguranta si accesul la activ (de exemplu, o cladire sau date) fiind protejat prin autentificare multifactor, ramane blocat. Factorii de autentificare ai unei scheme de autentificare multifactoriala pot include:
- Ceva pe care utilizatorul il are: Orice obiect fizic in posesia utilizatorului, cum ar fi un token de securitate (stick USB), un card bancar, o cheie etc.
- Ceea ce utilizatorul stie: anumite cunostinte cunoscute doar de utilizator, cum ar fi o parola, PIN etc.
- Ceva ce este utilizatorul: O anumita caracteristica fizica a utilizatorului (biometrie), cum ar fi amprenta digitala, irisul ochiului, vocea, viteza de tastare, modelul in intervalele de apasare a tastelor etc.
- Undeva utilizatorul este: O conexiune la o anumita retea de calcul sau folosind un semnal GPS pentru a identifica locatia.
Un bun exemplu de autentificare cu doi factori este retragerea de bani de la un bancomat; numai combinatia corecta a unui card bancar (ceva pe care utilizatorul il poseda) si un PIN (ceva pe care utilizatorul il cunoaste) permite efectuarea tranzactiei. Alte doua exemple sunt completarea unei parole controlate de utilizator cu o parola unica (OTP) sau un cod generat sau primit de un autentificator (de exemplu, un token de securitate sau un smartphone) pe care numai utilizatorul il detine.
O aplicatie de autentificare terta parte permite autentificarea cu doi factori intr-un mod diferit, de obicei prin afisarea unui cod generat aleatoriu si actualizat constant pe care utilizatorul il poate folosi, in loc sa trimita un SMS sau sa utilizeze o alta metoda.
Un mare avantaj al acestor aplicatii este ca de obicei continua sa functioneze chiar si fara o conexiune la internet. Exemple de aplicatii de autentificare terta parte includ Google Authenticator, Authy si Microsoft Authenticator.
Cunostinte
Factorii de cunoastere sunt cea mai utilizata forma de autentificare. In aceasta forma, utilizatorului i se cere sa dovedeasca cunoasterea unui secret pentru a se autentifica.
O parola este un cuvant secret sau sir de caractere care este folosit pentru autentificarea utilizatorului. Acesta este cel mai frecvent utilizat mecanism de autentificare. Multe tehnici de autentificare multifactor se bazeaza pe parole ca factor de autentificare. Variatiile includ atat cele mai lungi formate din mai multe cuvinte (o expresie de acces), cat si numarul de identificare personala (PIN) mai scurt, pur numeric, utilizat in mod obisnuit pentru accesul la bancomat. In mod traditional, se asteapta ca parolele sa fie memorate.
Multe intrebari secrete precum „Unde te-ai nascut?” sunt exemple slabe de factor de cunoastere deoarece pot fi cunoscute de un grup larg de oameni sau pot fi cercetate.
Detinere
Factorii de posesie („ceva pe care il are doar utilizatorul”) au fost folositi pentru autentificare de secole, sub forma unei chei a unui incuietori. Principiul de baza este ca o cheie intruchipeaza un secret care este impartasit intre lacat si cheie, iar acelasi principiu sta la baza autentificarii factorului de posesie in sistemele informatice. Un jeton de securitate este un exemplu de factor de posesie.
Tokenurile deconectate nu au conexiuni la computerul client. De obicei, folosesc un ecran incorporat pentru a afisa datele de autentificare generate, care sunt introduse manual de utilizator. Acest tip de token foloseste in cea mai mare parte o „parola unica” care poate fi folosita numai pentru acea sesiune specifica.
Jetoanele conectate sunt dispozitive care sunt conectate fizic la computerul care urmeaza sa fie utilizat. Aceste dispozitive transmit automat date. Exista o serie de tipuri diferite, inclusiv jetoane USB, carduri inteligente si etichete wireless. Din ce in ce mai mult, token-urile capabile FIDO2, sustinute de Alianta FIDO si de World Wide Web Consortium (W3C), au devenit populare cu suportul pentru browsere de masa, incepand cu 2015.
Un token software (cunoscut si sub numele de soft token) este un tip de dispozitiv de securitate cu autentificare cu doi factori, care poate fi utilizat pentru a autoriza utilizarea serviciilor informatice. Token-urile software sunt stocate pe un dispozitiv electronic de uz general, cum ar fi un computer desktop, laptop, PDA sau telefon mobil si pot fi duplicate. (Token-uri de contrast, unde acreditarile sunt stocate pe un dispozitiv hardware dedicat si, prin urmare, nu pot fi duplicate, in absenta unei invazii fizice a dispozitivului.)