Többtényezős hitelesítés

A többtényezős hitelesítés (angolul: multi-factor authentication, rövidítve MFA) egy olyan azonosítási eljárás, amelyben a felhasználónak legalább két különböző típusú hitelesítési tényezővel kell igazolnia személyazonosságát. A leggyakoribb forma a kétlépcsős hitelesítés (angolul: two-factor authentication, 2FA), amely két eltérő típusú hitelesítési módszert kombinál, például jelszót és mobiltelefonra küldött kódot.

A többtényezős hitelesítés használata az utóbbi években jelentősen megnőtt. A módszer hatékonysága ellenére léteznek olyan biztonsági problémák, amelyek lehetővé tehetik a megkerülését, például a kimerítő támadások (fatigue attack), az adathalászat és a SIM-csere csalás (SIM swapping).^[1]

A többtényezős hitelesítéssel védett fiókok lényegesen kisebb eséllyel kerülnek illetéktelen kezekbe.^[2]

Hitelesítési tényezők

A hitelesítés akkor történik, amikor valaki megpróbál bejelentkezni egy számítógépes erőforráshoz (például egy számítógépes hálózathoz, eszközhöz vagy alkalmazáshoz). Az erőforrás ilyenkor megköveteli, hogy a felhasználó megadja a személyazonosságát jelző azonosítót, valamint olyan bizonyítékot, amely igazolja, hogy valóban jogosult az adott identitás használatára. Az egyszerű hitelesítéshez elegendő egyetlen ilyen bizonyíték (azaz tényező), amely általában egy jelszó. További biztonság érdekében azonban az erőforrás megkövetelheti több tényező megadását is — ezt nevezzük többtényezős hitelesítésnek (MFA), illetve ha pontosan két tényezőt kell megadni, akkor kétlépcsős hitelesítésnek (2FA).^[3]

A többtényezős hitelesítés azon az elven alapul, hogy egy illetéktelen felhasználó valószínűtlenül tudja egyszerre teljesíteni az összes megkövetelt tényezőt. Ha a hitelesítés során legalább egy tényező hiányzik vagy hibás, a felhasználó személyazonossága nem igazolható kellő bizonyossággal, és az erőforráshoz (például egy épülethez vagy adathoz) való hozzáférés blokkolva marad. A többtényezős hitelesítési eljárás a következő típusú tényezőket foglalhatja magában:^[4]

Amit a felhasználó birtokol – bármilyen fizikai tárgy, amely a felhasználó tulajdonában van, például biztonsági token, USB-kulcs, bankkártya, kulcs stb.
Amit a felhasználó tud – olyan ismeret, amelyet csak a felhasználó ismer, például jelszó, PIN-kód, PUK-kód stb.
Ami a felhasználó maga – a felhasználó fizikai jellemzői (biometria), például ujjlenyomat, szivárványhártya-mintázat, hang, billentyűleütési dinamika, a gépelés sebessége, leütési ritmus stb.

A kétlépcsős hitelesítés egyik példája az ATM-ből való pénzfelvétel: csak a bankkártya (amit a felhasználó birtokol) és a hozzá tartozó PIN-kód (amit a felhasználó tud) helyes kombinációja teszi lehetővé a tranzakciót. Egyéb példák: a jelszó kiegészítése egy egyszer használatos jelszóval (OTP), vagy egy hitelesítő eszköz által generált vagy fogadott kóddal (például biztonsági token vagy okostelefon), amely kizárólag a felhasználó birtokában van.^[5]

Egy hitelesítő alkalmazás más módon valósítja meg a kétlépcsős hitelesítést: nem SMS-ben küld kódot, hanem egy véletlenszerűen generált, folyamatosan frissülő kódot jelenít meg. Ez a kód egy időalapú egyszer használatos jelszó (angolul: TOTP), és az alkalmazás a szükséges kulcsadatokat is tartalmazza annak generálásához.^[6]

Amit a felhasználó tud

A tudásalapú tényezők (azaz „amit csak a felhasználó tud”) olyan hitelesítési módszerek, amelyek során a felhasználónak valamilyen titkos információ ismeretét kell bizonyítania a hitelesítéshez.

A jelszó egy titkos szó vagy karakterlánc, amelyet a felhasználó azonosítására használnak. Ez a leggyakrabban alkalmazott hitelesítési forma.^[4] Számos többtényezős hitelesítési rendszer egyik komponenseként is jelszót alkalmaznak. A jelszónak több változata is létezik, például:

a jelszómondat (passphrase), amely több szóból álló hosszabb titok,
vagy a rövidebb, kizárólag számokból álló PIN-kód, amelyet gyakran használnak például bankautomaták esetén.

Hagyományosan a jelszavakat fejben kell tartani, azaz meg kell jegyezni, de előfordulhat, hogy a felhasználó azokat leírja, például rejtett papíron vagy egy fájlban tárolva.

Amit a felhasználó birtokol

A birtokláson alapuló tényezők („amit csak a felhasználó birtokol”) már évszázadok óta jelen vannak a hitelesítésben — például egy zárhoz tartozó kulcs formájában. Az alapelv, hogy a kulcs egy titkot testesít meg, amely a kulcs és a zár között megosztott. Ugyanezen elv szerint működnek a modern számítógépes birtokláson alapuló hitelesítési módszerek is. Egy tipikus példa erre a biztonsági token.

A nem csatlakoztatott tokenek („disconnected tokens”) nincsenek közvetlen kapcsolatban a felhasználó számítógépével. Ezek általában egy beépített kijelzőn jelenítik meg az aktuálisan érvényes azonosító adatokat, amelyeket a felhasználónak kézzel kell begépelnie. Leggyakrabban egyszer használatos jelszót (OTP) használnak, amely csak az adott munkamenetre érvényes.^[7]

A csatlakoztatott tokenek olyan eszközök, amelyeket fizikailag csatlakoztatnak a számítógéphez, és az azonosító adatokat automatikusan továbbítják.^[8] Ilyen például:

Az utóbbi években egyre elterjedtebbé váltak a FIDO2-kompatibilis tokenek, amelyeket a FIDO Szövetség és a W3C támogat, és amelyekhez már 2015 óta létezik natív böngészőtámogatás.

A szoftveres token (más néven soft token) egy olyan kétlépcsős hitelesítési megoldás, amely számítógépes szolgáltatásokhoz való hozzáférést engedélyez. Ezek az adatok egy általános célú elektronikus eszközön tárolódnak, például:

A szoftveres tokenek viszonylag könnyen másolhatók, ellentétben a hardveres tokenekkel, ahol a hitelesítő adatokat dedikált eszköz tárolja, és fizikai beavatkozás nélkül nem másolhatók. Előfordulhat, hogy a felhasználó nem is lép közvetlen kapcsolatba a tokennel — például amikor egy X.509v3 tanúsítvány kerül biztonságosan betöltésre az eszközre ^[forrás?].

A többtényezős hitelesítés fizikai biztonsági rendszerekben is alkalmazható. Ezeket általában hozzáférés-vezérlési rendszereknek nevezik. A többtényezős hitelesítés ezeken a területeken jellemzően egy fizikai eszközzel (pl. kulcstartó, belépőkártya vagy egy eszközön megjelenített QR-kód) történik, amit kiegészít egy biometrikus azonosítás (pl. arcfelismerés vagy szivárványhártya-vizsgálat). Ezt az eljárást gyakran „arcalapú hitelesítésként” vagy „arcazonosításként” is emlegetik.

Ami a felhasználó maga

A tulajdonságalapú tényezők („ami a felhasználó maga”) olyan jellemzők, amelyek közvetlenül a felhasználó személyéhez kötődnek, és általában biometrikus azonosítás formájában jelennek meg. Ezek a tényezők lehetnek fizikai vagy viselkedésbeli sajátosságok, amelyek elméletileg egyediek és tartósak egy adott személyre nézve.

Fizikai (statikus) biometrikus példák:

Viselkedésalapú (dinamikus) biometrikus példák:

Billentyűleütési dinamika (a gépelés sebessége, ritmusa)
egérmozgási mintázatok
járásminta vagy testtartás

Ezek a tényezők előnyt jelentenek abból a szempontból, hogy nem lehet őket „elhagyni” vagy „elfelejteni”, mivel a felhasználó szerves részei. Ugyanakkor különleges figyelmet igényelnek az adatvédelem és a hibaarányok (pl. téves pozitív vagy negatív felismerés) szempontjából.

A modern többtényezős hitelesítési rendszerekben a biometrikus azonosítást gyakran más faktorokkal kombinálva használják. Például egy okostelefon feloldása során az arcfelismerés vagy ujjlenyomat-olvasás mellett a felhasználónak birtokolnia is kell az eszközt.

Ahol a felhasználó van

A helyalapú tényezők („ahol a felhasználó van”) a felhasználó fizikai vagy hálózati helyzetéhez kapcsolódnak, és egyre gyakrabban jelennek meg a többtényezős hitelesítési rendszerek kiegészítő elemeként. Noha a klasszikus háromfaktoros modell nem tartalmazza őket, negyedik tényezőként egyre inkább elfogadottá válnak a gyakorlatban.

A helyalapú hitelesítés során a rendszer a felhasználó eszközének földrajzi elhelyezkedését, IP-címét vagy hálózati kapcsolatát (pl. Wi-Fi vagy vezetékes hálózat) is figyelembe veszi. Ez lehetővé teszi, hogy a hitelesítési eljárás típusa vagy szigorúsága dinamikusan alkalmazkodjon a környezethez.

Például:

Ha egy felhasználó vezetékesen csatlakozik a céges hálózatra az irodában, elég lehet egy PIN-kód a belépéshez.

Ha ugyanaz a felhasználó otthonról vagy nyilvános Wi-Fi-ről próbál bejelentkezni, a rendszer további biztonsági lépést is kérhet, például egy szoftveres tokenből származó egyszer használatos jelszót.^[9]

Ez a módszer segíthet elkerülni azokat a biztonsági kockázatokat, amelyek a távoli munkavégzéshez kapcsolódnak, mivel a hitelesítés környezeti kontextus alapján változik.

Hasonló módon működnek a hálózati hozzáférés-vezérlő rendszerek is (Network Access Control), amelyek a felhasználó eszközének kapcsolódási módjától függően adnak eltérő jogosultságokat. Például egy vállalati laptop eltérő hálózati jogosultságokat kaphat Wi-Fi kapcsolat esetén, mint amikor vezetékesen csatlakozik egy irodai alhálózathoz. Ez a módszer lehetővé teszi, hogy a felhasználók irodáról irodára mozogjanak, miközben a rendszer dinamikusan azonos szintű hozzáférést biztosít számukra — bár ez egyes rendszerekben eltérő hozzáférési szinteket is jelenthet.

Használati területek

A többtényezős hitelesítés (MFA) egyre szélesebb körben elterjedt a digitális és fizikai biztonság területén, ahol a jogosulatlan hozzáférés súlyos következményekkel járhat. A technológia különböző ágazatokban és platformokon jelent meg, gyakran a felhasználók alapértelmezett védelmeként.

Online szolgáltatások

Számos népszerű internetes szolgáltató alkalmazza az MFA-t a fiókvédelem megerősítésére. Ezek közé tartoznak:

Google, Microsoft és Apple fiókok,
közösségi oldalak (pl. Facebook, Instagram, Twitter),
fejlesztői platformok (pl. GitHub, GitLab),
felhőszolgáltatások (pl. Dropbox, Nextcloud).

A legtöbb szolgáltatás támogatja a TOTP-alapú hitelesítő alkalmazásokat, valamint a SMS-es vagy e-mailes másodlagos kódokat.

Pénzügyi szektor

A bankok és pénzügyi szolgáltatók kiemelten alkalmazzák a többtényezős hitelesítést az ügyfélazonosítás során:

online banki belépéskor,
tranzakciók megerősítésekor (pl. SMS-kód, biometria),
kártyás fizetések során (pl. 3D Secure).

Egyes országokban (pl. az EU-ban) a PSD2 irányelv kötelezővé teszi a szigorú ügyfél-hitelesítést (SCA), amely gyakorlatilag MFA-t jelent.

Munkahelyi rendszerek

A vállalati környezetekben az MFA egyre inkább előírás:

VPN- és távoli asztal-hozzáférés (RDP),
felhőalapú vállalati szolgáltatások (pl. Microsoft 365, Google Workspace),
adminisztrátori hozzáférések (pl. szerverek, belső rendszerek).

A cégek gyakran használják a hardveres tokeneket, FIDO2 eszközöket, vagy céges okostelefonokra telepített hitelesítő alkalmazásokat.

Fizikai hozzáférés-vezérlés

Nem csupán digitális rendszerekben, hanem fizikai környezetekben is alkalmazzák:

beléptetőkártya + PIN kombináció,
QR-kód + arcfelismerés,
biometrikus beléptető rendszerek irodákban, laborokban vagy szervertermekben.

A fizikai és digitális MFA-rendszerek egyre inkább integrálódnak.

Támadások és kockázatok

Bár a többtényezős hitelesítés jelentős biztonsági előnyt nyújt az egylépcsős rendszerekhez képest, mégsem véd minden támadással szemben. Egyes módszerek lehetővé teszik a hitelesítési folyamat megkerülését vagy megtévesztését, különösen akkor, ha az MFA nem megfelelően van konfigurálva.

Adathalászat (phishing)

A klasszikus adathalászat során a támadó hamis bejelentkezési felület segítségével próbálja megszerezni a felhasználó jelszavát és másodlagos hitelesítő kódját. Mivel a TOTP-kódok rövid ideig érvényesek, a támadónak valós időben kell továbbítania az adatokat a célrendszerbe (ún. real-time phishing proxy). Egyes támadók MFA-t támogató portálokat is képesek klónozni.

Kimerítő támadás (fatigue attack)

Ez a módszer főként olyan rendszerek ellen irányul, amelyek push-alapú MFA-t alkalmaznak (pl. mobilértesítés „Engedélyez / Elutasít” gombokkal). A támadó folyamatosan új bejelentkezési kéréseket küld, abban bízva, hogy a felhasználó véletlenül vagy kényelemből jóváhagyja az egyiket. Ez különösen veszélyes lehet kevésbé tájékozott felhasználók esetén.^[10]

SIM-csere (SIM swap) támadás

A támadó megszerzi a felhasználó mobilszámát, például szolgáltatói ügyfélszolgálat megtévesztésével (social engineering). Ezután a támadó új SIM-kártyát igényel az áldozat nevében, így megkapja az SMS-alapú másodlagos kódokat. Ez a támadási forma különösen veszélyezteti azokat, akik csak SMS-alapú 2FA-t használnak, mivel a támadó az összes bejövő hitelesítési kódot megkapja.

Közbeékelődéses támadás (man-in-the-middle, MitM)

Ebben a támadásban a támadó közvetítőként működik a felhasználó és a valódi rendszer között. Ha sikerül elfogni a bejelentkezési adatokat és az MFA-kódot is, a támadó be tud lépni a célrendszerbe. Az ilyen támadások ellen FIDO2/WebAuthn típusú eszközök hatékonyabb védelmet nyújtanak, mivel azok kiszolgáló-specifikus kriptográfiai kihívásra válaszolnak, nem másolható tokenekkel.

Szabványok és technológiák

A többtényezős hitelesítés különböző technikai megoldásokon alapul, amelyeket iparági szabványok és nyílt protokollok írnak le. Ezek lehetővé teszik az MFA széleskörű és interoperábilis alkalmazását különféle rendszerek között.

Egyszer használatos jelszavak (OTP)

Az egyik legelterjedtebb MFA-megvalósítás az egyszer használatos jelszó (OTP), amely minden bejelentkezéshez más és más kódot generál.

A két legismertebb szabvány:

HOTP – HMAC-alapú egyszer használatos jelszó algoritmus, az RFC 4226 szabványban definiálva. Azonosítók generálása események (pl. gombnyomás) alapján történik.
TOTP – Időalapú egyszer használatos jelszó algoritmus, az RFC 6238 szabvány szerint. A kód az aktuális idő alapján számolódik, jellemzően 30 másodperces időablakokban.

Ezeket a szabványokat számos hitelesítő alkalmazás és rendszer támogatja, például Google Authenticator, Aegis, FreeOTP, Authy, Microsoft Authenticator.

FIDO2 és WebAuthn

A FIDO Szövetség által létrehozott FIDO2 szabvány egy jelszómentes, nyilvános kulcsú hitelesítési rendszer. A WebAuthn (Web Authentication API) a FIDO2 egyik fő eleme, amelyet a W3C is szabványosított.

Használatához speciális hardveres eszköz szükséges (pl. YubiKey, USB-token, biometrikus kulcs),
a hitelesítés során nem küld titkos kódokat a hálózaton, hanem egyedi kriptográfiai válaszokat generál a kiszolgáló kihívására.

A WebAuthn támogatott a legtöbb modern böngészőben (Chrome, Firefox, Edge, Safari), és egyre több szolgáltatás integrálja.

X.509 és tanúsítványalapú hitelesítés

Bizonyos környezetekben, például vállalati hálózatokban elterjedt a tanúsítványalapú hitelesítés, amely az X.509 szabványra épül. A felhasználó eszközén digitális tanúsítvány található, amelyet a rendszer ellenőriz bejelentkezéskor.

Ez gyakran kiegészítő MFA-faktorként működik, például:

céges VPN-hozzáféréshez,
adminisztrátori portálokhoz való bejelentkezés során.

Jegyzetek

↑ Russell, Steve (2023. február 22.). „Bypassing Multi-Factor Authentication”. ITNOW 65 (1), 42–45. o. DOI:10.1093/combul/bwad023. ISSN 1746-5702.
↑ (2023) „How effective is multifactor authentication at deterring cyberattacks?”. arXiv preprint.
↑ Two-factor authentication: What you need to know (FAQ) – CNET. CNET . (Hozzáférés: 2015. október 31.)
↑ ^a ^b (2021. február 1.) „An Extensive Formal Analysis of Multi-factor Authentication Protocols” (angol nyelven). ACM Transactions on Privacy and Security, New York City 24 (2), 1–34. o, Kiadó: Association for Computing Machinery. DOI:10.1145/3440712. ISSN 2471-2566.
↑ kaitlin.boeckl@nist.gov: Back to basics: Multi-factor authentication (MFA) (angol nyelven). NIST , 2016. június 28. [2021. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2021. április 6.)
↑ Barrett, Brian. How to Secure Your Accounts With Better Two-Factor Authentication (2018. július 22.)
↑ Configuring One-Time Passwords. www.sonicwall.com . Sonic Wall. (Hozzáférés: 2022. január 19.)
↑ Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media, 1305. o. (2011). ISBN 9781441959058
↑ 11 Tips for Protecting Active Directory While Working from Home (angol nyelven). www.darkreading.com . (Hozzáférés: 2024. augusztus 29.)
↑ Russell, Steve (2023. február 22.). „Bypassing Multi-Factor Authentication”. ITNOW 65 (1), 42–45. o. DOI:10.1093/combul/bwad023.

[1] Russell, Steve (2023. február 22.). „Bypassing Multi-Factor Authentication”. ITNOW 65 (1), 42–45. o. DOI:10.1093/combul/bwad023. ISSN 1746-5702.

[2] (2023) „How effective is multifactor authentication at deterring cyberattacks?”. arXiv preprint.

[Note1-3] Two-factor authentication: What you need to know (FAQ) – CNET. CNET . (Hozzáférés: 2015. október 31.)

[:2-4] (2021. február 1.) „An Extensive Formal Analysis of Multi-factor Authentication Protocols” (angol nyelven). ACM Transactions on Privacy and Security, New York City 24 (2), 1–34. o, Kiadó: Association for Computing Machinery. DOI:10.1145/3440712. ISSN 2471-2566.

[5] tlin.boeckl@nist.gov: Back to basics: Multi-factor authentication (MFA) (angol nyelven). NIST , 2016. június 28. [2021. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2021. április 6.)

[6] Barrett, Brian. How to Secure Your Accounts With Better Two-Factor Authentication (2018. július 22.)

[7] Configuring One-Time Passwords. www.sonicwall.com . Sonic Wall. (Hozzáférés: 2022. január 19.)

[:0-8] Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media, 1305. o. (2011). ISBN 9781441959058

[9] 11 Tips for Protecting Active Directory While Working from Home (angol nyelven). www.darkreading.com . (Hozzáférés: 2024. augusztus 29.)

[10] Russell, Steve (2023. február 22.). „Bypassing Multi-Factor Authentication”. ITNOW 65 (1), 42–45. o. DOI:10.1093/combul/bwad023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]