Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe, uwierzytelnianie wielopoziomowe (ang. multi-factor authentication, MFA) – używanie dodatkowych składników w procesie uwierzytelniania (weryfikacji tożsamości). W szczególności uwierzytelnianie dwuskładnikowe (2FA) może polegać na podaniu hasła jednorazowego (ang. one-time password, OTP) przy logowaniu się do poczty elektronicznej^[1]^[2].

MFA jest sposobem ochrony dostępu do zasobów cyfrowych, ponieważ utrudnia zalogowanie się do tych zasobów przez nieuprawnione osoby, które zdobyły identyfikator użytkownika i hasło uwierzytelniające. W przypadku stosowania uwierzytelniania wieloskładnikowego użytkownik oprócz podania identyfikatora oraz hasła musi (w kolejnych etapach) podać dodatkowy składnik^[3].

Formy uwierzytelniania

Do uwierzytelniania MFA mogą zostać wykorzystane metody, które można skategoryzować wg następujących kryteriów^[4]:

„coś, co użytkownik wie”: dane, które zna tylko użytkownik np. hasło, kod PIN;
„coś, czym użytkownik jest”: dane biometryczne, unikalne cechy fizyczne użytkownika np. odcisk palca, skan tęczówki oka, skan twarzy itp.
"coś, co użytkownik posiada”: przedmiot lub urządzenie do uwierzytelniania np. token, aplikacja na smartfonie, klucz, karta bankomatowa itp.
„miejsce, w jakim użytkownik aktualnie się znajduje”: np. wykorzystanie GPS, albo IP do potwierdzenia typowych lokalizacji użytkownika.

Dodatkowe składniki uwierzytelniania użytkownika mogą przybierać różne formy^[5]:

ograniczone czasowe hasło jednorazowe (TOTP) z aplikacji zainstalowanej na przenośnym urządzeniu internetowym (np. smartfon, tablet), czyli np. token z dedykowanej aplikacja typu Google Authenticator czy Authy;
token sprzętowy;
hasło lub link wysłany za pośrednictwem e-mail;
kod wysłany za pomocą SMS;
kod z powiadomienia push;
uwierzytelnianie biometryczne (skanowanie źrenicy oka, linii papilarnych, twarzy, weryfikacja tonu głosu);
autoryzacja behawioralna;
pytanie zabezpieczające (użytkownik musi odpowiedzieć na pytanie wg określonego wzorca).

Przypisy

↑ Two-factor authentication: What you need to know (FAQ). cnet.com. (ang.).
↑ SecurEnvoy – What is Two Factor Authentication. securenvoy.com. (ang.).
↑ Weryfikacja dwuetapowa (2FA): Poradnik o uwierzytelnianiu dwuskładnikowym [online] [dostęp 2023-03-16] (pol.).
↑ KumarK. Abhishek KumarK. i inni, A Comprehensive Study on Multifactor Authentication Schemes, NatarajanN. Meghanathan, DhinaharanD. Nagamalai, NabenduN. Chaki (red.), „Advances in Computing and Information Technology”, 177, Berlin, Heidelberg: Springer, 2013, s. 561–568, DOI: 10.1007/978-3-642-31552-7_57, ISBN 978-3-642-31552-7 [dostęp 2023-02-21] (ang.).
↑ Na czym polega uwierzytelnienie wieloskładnikowe (MFA)? [online], sebitu.pl [dostęp 2023-02-21] (pol.).

[:0-1] Two-factor authentication: What you need to know (FAQ). cnet.com. (ang.).

[2fa-2] SecurEnvoy – What is Two Factor Authentication. securenvoy.com. (ang.).

[:1-3] Weryfikacja dwuetapowa (2FA): Poradnik o uwierzytelnianiu dwuskładnikowym [online] [dostęp 2023-03-16] (pol.).

[4] KumarK. Abhishek KumarK. i inni, A Comprehensive Study on Multifactor Authentication Schemes, NatarajanN. Meghanathan, DhinaharanD. Nagamalai, NabenduN. Chaki (red.), „Advances in Computing and Information Technology”, 177, Berlin, Heidelberg: Springer, 2013, s. 561–568, DOI: 10.1007/978-3-642-31552-7_57, ISBN 978-3-642-31552-7 [dostęp 2023-02-21] (ang.).

[5] Na czym polega uwierzytelnienie wieloskładnikowe (MFA)? [online], sebitu.pl [dostęp 2023-02-21] (pol.).

[1]

[2]

[3]

[4]

[5]