Wieloelementowy zawrót głowy
- Patryk Królikowski,
- 13.07.2009
Nie tylko dostęp do komputera
Mechanizmy uwierzytelniania wieloskładnikowego są obecnie szeroko wykorzystywane w bankowości elektronicznej czy serwisach finansowych. Tutaj do niedawna najpopularniejszą metodą uwierzytelniania był prosty wariant tokenów OTP, a mianowicie karty kodów iTAN (tzw. zdrapki). Jak dowodzą doświadczenia wielu banków na świecie, kody iTAN są zupełnie bezużyteczne w zderzeniu np. z trojanem Zeus/Zbot, realizującym ataki typu MITM przez zagnieżdżanie się na komputerach użytkowników. Trojany tego typu podmieniają dane transakcyjne "w locie", modyfikując dane beneficjenta oraz kwotę wykonywanych operacji. Co gorsza, modyfikacje przeprowadzane są tak, że zmiany w saldzie internetowego rachunku są niewidoczne dla użytkownika, a historia operacji zostaje zatarta. W takiej sytuacji nieco lepiej sprawdzają się inne mechanizmy uwierzytelniania OOB (Out of Band), takie jak hasła OTP przesyłane SMS-em w chwili, kiedy zlecenie dociera do banku. Wówczas dodatkowo weryfikowana jest już sama transakcja przed ostateczną akceptacją przez bank. Niestety, nie jest to mechanizm stuprocentowo skuteczny ze względu na czynnik ludzki. Użytkownicy rzadko kiedy sprawdzają szczegóły właściwej transakcji i bezmyślnie ją autoryzują.
Mówiąc o uwierzytelnianiu webowym, dobrze jest pamiętać o dwóch głównych architekturach uwierzytelniania: SAML i OpenID. Obie realizują koncepcję SSO (Single Sign-On) na stronach WWW, jednak istnieją między nimi pewne różnice (por. tabela niżej).
Na rynek uwierzytelniania wieloelementowego wprowadzane są również usługi typu Authentication-As-A-Service (AAAS). Przykład takiego rozwiązania może stanowić TriCipher Armored Credential System. W tej usłudze część kodu uwierzytelniającego powstaje na stacji użytkownika, a część w systemie TriCipher (ID Vault), który może "rezydować" w organizacji albo być udostępniany w infrastrukturze firmy TriCiper. Dopiero połączenie tych dwóch elementów pozwala użytkownikowi prawidłowo się uwierzytelnić.