Metody uwierzytelniania

Dzięki uwierzytelnianiu można mieć pewność, że osoba, która próbuje uzyskać dostęp do określonego zasobu, ma jeden lub więcej elementów uwierzytelniających, powiązanych ze swoimi danymi. Procedura ta nie służy do autoryzacji ani do ustalania uprawnień dostępu. Przykładowo, nie pozwala ustalić, jakie czynności może wykonać dana osoba po pomyślnym uzyskaniu dostępu do usługi cyfrowej.

Podstawą klasycznego modelu systemów uwierzytelniania są trzy czynniki:

  • wiedza, czyli „coś, co użytkownik wie” — system zaakceptuje użytkownika, jeśli wykaże on, że zna określoną informację, np. kod PIN, odpowiedź na pytania zabezpieczające, szczegółowe dane z zeznania podatkowego itp.;
  • posiadanie, czyli „coś, co użytkownik ma” — system zaakceptuje użytkownika, jeśli udowodni on, że ma przy sobie określone urządzenie fizyczne, np. smartfon, telefon komórkowy lub pendrive;
  • nieodłączność, czyli „coś, czym użytkownik jest” — system zaakceptuje użytkownika na podstawie porównania cech biometrycznych, np. skanując odcisk palca lub tęczówkę, rozpoznając głos bądź stosując metody biometrii behawioralnej.

Uwierzytelnianie wieloczynnikowe oznacza użycie więcej niż jednego z wyżej wymienionych czynników. Możliwości systemów uwierzytelniania w znacznym stopniu zależą od wdrożonej technologii i liczby uwzględnionych czynników — im jest ich więcej, tym skuteczniej działa dany system.

 

Obecnie środowiska dostępu stają się coraz bardziej złożone, a liczba punktów dostępu wciąż rośnie. Przedsiębiorstwa mają więc wiele powodów, aby wdrażać mechanizmy uwierzytelniania wieloczynnikowego (multi-factor authentication — MFA). Niezależnie od rozwiązań MFA wprowadzane są systemy uwierzytelniania bezhasłowego (np. FIDO i Windows Hello), dzięki którym nie trzeba posługiwać się hasłem w postaci tekstu. Zamiast tego użytkownik potwierdza swoją tożsamość innymi metodami uwierzytelniania.

 

Bezpieczeństwo i wygoda rozwiązań bezhasłowych zależą od sposobu ich wdrożenia. Systemy te zyskały popularność dzięki łatwiejszej procedurze logowania i wyeliminowaniu zagrożeń, które nieodłącznie wiążą się z hasłami tekstowymi. Przekłada się to na znaczne korzyści.

 

Uwierzytelnianie adaptacyjne

Rozwój uwierzytelniania adaptacyjnego i kontekstowego to wynik innowacji technologicznych – takich jak niezwykle popularne urządzenia mobilne ze zintegrowanymi mechanizmami analizy biometrycznej i geolokalizacji oraz innymi czujnikami. Funkcja uwierzytelniania adaptacyjnego – badając lokalizację, sieć, urządzenie, rodzaj transakcji, historię aktywności i wiele innych atrybutów – weryfikuje (w uzasadnionym stopniu) tożsamość osoby, która loguje się w aplikacji.

 

Metoda ta zyskuje popularność, ponieważ nie wymaga żadnego działania ze strony użytkownika. Zależnie od potrzeb można ją stosować albo w warunkach niewielkiego ryzyka, albo w powiązaniu z innymi, bardziej skutecznymi sposobami uwierzytelniania.

 

Firmy chętnie wprowadzają funkcję uwierzytelniania adaptacyjnego, ponieważ zwiększa to zarówno elastyczność zarządzania ryzykiem, jak i komfort obsługi.

 

Hasła, czyli tajne wyrażenia przechowywane w pamięci

Hasło to sekretne wyrażenie, wybrane i zapamiętane przez użytkownika. Musi być wystarczająco złożone i tajne, aby jego odgadywanie (lub odkrywanie w inny sposób) było praktycznie niemożliwe.

 

Ograniczenia i wady tego rozwiązania są dobrze znane. Po pierwsze, hasła są trudne do zapamiętania i łatwe do wykradzenia. Po drugie, zarządzanie nimi to skomplikowany proces. To sprawia, że użytkownicy zazwyczaj nieprawidłowo dobierają swoje hasło.

 

Próbą lepszego zabezpieczenia tej metody jest wymóg ustawiania dłuższych i bardziej złożonych wyrażeń – hasła jednak stają się przez to jeszcze mniej skuteczne. Żeby bowiem je zapamiętać, użytkownicy zapisują je na karteczkach, co naraża je na ujawnienie.

 

Uwierzytelnianie w oparciu o wzorce

Procedura uwierzytelniania w oparciu o wzorce polega na wykorzystaniu fizycznego lub elektronicznego rejestru, w którym przechowywany jest zbiór tajnych wyrażeń, współużytkowanych przez daną osobę i podmiot weryfikujący.

 

Użytkownik posługuje się elementem uwierzytelniającym, aby wyszukać jedno lub wiele odpowiednich tajnych wyrażeń i użyć ich w odpowiedzi na przesłany komunikat. W przypadku elektronicznych elementów uwierzytelniających tajne wyrażenia tworzy zatwierdzony generator losowych bitów.

 

Magiczne łącza

Magiczne łącza to uwierzytelnione lokalizatory URL, które można przesyłać do konsumenta jako wiadomość SMS/e-mail. Otrzymana wiadomość umożliwia zalogowanie się poprzez jedno kliknięcie i nie wymaga interakcji człowieka z systemem.

 

Takie rozwiązanie stanowi krok w stronę metod bezhasłowych i usuwa wszystkie utrudnienia, które wiążą się z uwierzytelnianiem użytkownika. Magiczne łącza budzą jednak obawy dotyczące bezpieczeństwa. Ktoś bowiem, kto działa w złej wierze, może podszyć się pod uprawnionego użytkownika (lub włamać się na jego konto e-mail) i używając magicznego łącza, uzyskać dostęp do informacji poufnych.

 

Uwierzytelnianie pozapasmowe

W metodzie uwierzytelniania pozapasmowego wykorzystuje się sprzęt fizyczny (zazwyczaj urządzenie mobilne lub specjalistyczne urządzenie uwierzytelniające), któremu można nadać niepowtarzalny adres. Za pośrednictwem odrębnego kanału łączności – zwanego kanałem podrzędnym – sprzęt nawiązuje bezpieczną komunikację z podmiotem weryfikującym.

 

Takie urządzenie ma i kontroluje osoba, która chce uzyskać prawo dostępu. Aby umożliwić uwierzytelnienie, urządzenie obsługuje komunikację w (oddzielonym od kanału głównego) kanale podrzędnym.

 

Warianty uwierzytelniania pozapasmowego, które opierają się na komunikacji głosowej i wiadomościach SMS, stały się popularne, jednak są podatne na wiele różnych ataków (np. podmianę karty SIM). W związku z tym Amerykański Instytut Standaryzacji i Technologii (National Institute of Standards and Technology — NIST) opublikował wytyczne, w których odradza firmom i agencjom rządowym wykorzystywanie kanału SMS do uwierzytelniania pozapasmowego.

 

Znacznie wyższy stopień ochrony zapewnia rozwiązanie, które polega na połączeniu hasła z wiadomością SMS. Uznaje się je jednak za mniej bezpieczne niż inne metody wzmocnionego uwierzytelniania. Nie chodzi tu tylko o ryzyko kradzieży telefonu – problemem jest raczej to, że wiadomość SMS jest przesyłana do telefonu w niezabezpieczonych kanałach sieci komórkowych. Co więcej, NIST stwierdził, że „uwierzytelnianie pozapasmowe NIE MOŻE opierać się na metodach, za pomocą których nie da się udowodnić faktu posiadania określonego urządzenia, takich jak kanał Voice over IP (VoIP) czy poczta elektroniczna”.

 

Sposobem na uniknięcie powyższych luk w zabezpieczeniach są inne metody – np. uwierzytelnianie pozapasmowe, które opiera się na powiadomieniach push. Polega to na wysyłaniu kodu do urządzenia mobilnego za pośrednictwem aplikacji uwierzytelniającej. Przy tym powiadomienie zawiera podpis kryptograficzny i nie jest dostarczane kanałem sieci komórkowej przeznaczonym dla wiadomości SMS. To sprawia, że metody uwierzytelniania pozapasmowego w trybie push zyskują na popularności. Zwiększają bowiem nie tylko bezpieczeństwo, ale także komfort obsługi.

 

Tokeny hasła jednorazowego

Tokeny hasła jednorazowego są generowane przez sprzęt fizyczny lub specjalistyczne oprogramowanie, które jest zainstalowane w urządzeniach takich jak telefony komórkowe. W urządzeniach tych zapisany jest tajny ciąg znaków, który jest wykorzystywany jako ziarno kryptograficzne przy generowaniu haseł jednorazowych.

 

Hasło wyświetla się na ekranie urządzenia, a użytkownik ręczne je wpisuje i przesyła do podmiotu weryfikującego (alternatywnie hasło może wyświetlać się jako powiadomienie push). W ten sposób uprawniona osoba wykazuje, że posiada i kontroluje urządzenie.

 

System uwierzytelniania za pomocą haseł jednorazowych może stać się jedynym czynnikiem uwierzytelniającym, zastępując dotychczasowe hasła. Można też połączyć go z dodatkową metodą, aby zaoferować uwierzytelnianie wieloczynnikowe. W wielu sytuacjach tokeny haseł jednorazowych w powiązaniu z lokalnym kodem PIN lub funkcjami biometrycznymi, wbudowanymi w urządzenie, zapewniają wystarczający poziom zaufania.

 

W przypadku uwierzytelniania, które opiera się na hasłach jednorazowych, klucz symetryczny – używany przez podmiot uwierzytelniający – musi być solidnie zabezpieczony przed ujawnieniem. W opinii NIST „podczas pobierania haseł jednorazowych podmiot weryfikujący MUSI używać zatwierdzonych mechanizmów szyfrowania i uwierzytelnionego zabezpieczonego kanału, tak aby zapewnić ochronę przez podsłuchem i atakami typu MITM (man-in-the-middle)”.

 

Uwierzytelnianie w oparciu o certyfikat (X.509)

W uwierzytelnianiu w oparciu o certyfikat (zwanym także uwierzytelnianiem w oparciu o infrastrukturę klucza publicznego) wykorzystuje się tokeny programowe lub sprzętowe. Użytkownik zostaje uwierzytelniony, jeśli udowodni, że klucz znajduje się w jego posiadaniu i pod jego kontrolą.

 

Jeśli wykorzystywany jest programowy kryptograficzny mechanizm uwierzytelniania, certyfikat należy przechowywać w bezpiecznym module urządzenia (TPM), aby uniemożliwić jego ujawnienie. Taka konfiguracja odpowiada uwierzytelnianiu jednoczynnikowemu, ponieważ certyfikat używany do sprawdzania tożsamości użytkownika nie jest oddzielony od urządzenia dostępowego.

 

Lepiej zabezpieczony, wieloczynnikowy wariant uwierzytelniania opartego na certyfikacie polega na tym, że certyfikat jest chroniony wewnątrz układu scalonego karty mikroprocesorowej, która jest zintegrowana z niezależnym urządzeniem – takim jak token USB czy obudowa karty mikroprocesorowej.

 

Uwierzytelnianie za pomocą mechanizmów stowarzyszenia FIDO

Celem stowarzyszenia FIDO (Fast Identity Online) jest oferowanie bezpiecznej metody uwierzytelniania konsumenta w usługach elektronicznych. Istotą tego podejścia jest oddzielenie mechanizmów uwierzytelniania od samego procesu uwierzytelniania. Dzięki temu proces ten może przebiegać w wielu różnych infrastrukturach sprzętowych, aplikacjach i mechanizmach sprawdzania tożsamości cyfrowej.

 

Co do zasady protokoły FIDO służą do udostępniania bezhasłowych tokenów uwierzytelniania wieloczynnikowego. Mechanizm uwierzytelniający FIDO obejmuje jeden lub dwa klucze prywatne, z których każdy jest przypisany do jednego konta elektronicznego. Zgodnie z wymaganiami protokołów, klucza prywatnego można użyć do podpisania odpowiedzi na pytanie uwierzytelniające dopiero wtedy, gdy użytkownik wykona „gest” (wpisze kod PIN lub posłuży się metodą biometryczną bądź tokenem uwierzytelniającym).

 

Uwierzytelnianie metodą FIDO jest korzystne, ponieważ umożliwia zabezpieczenie wieloczynnikowe. Użyty protokół nie rozwiązuje jednak problemów, które dotyczą potwierdzania tożsamości i zarządzania cyklem życia danych uwierzytelniających. Obie te kwestie mają kluczowe znaczenie przy wdrażaniu systemów uwierzytelniania klasy korporacyjnej. Potwierdzanie tożsamości daje pewność, że token jest rejestrowany przez uprawnioną osobę, a systemy informatyczne przedsiębiorstwa – dzięki zarządzaniu cyklem życia danych uwierzytelniających – mogą unieważnić te dane w przypadku zgubienia lub kradzieży tokena.

 

Uwierzytelnianie bezhasłowe

Uwierzytelnianie bezhasłowe polega na zastąpieniu haseł innymi sposobami potwierdzania tożsamości, co zwiększa poziom bezpieczeństwa i wygodę. Rozwiązania te stały się popularne dzięki łatwiejszej procedurze logowania i wyeliminowaniu zagrożeń, które nierozerwalnie wiążą się z hasłami tekstowymi. Przekłada się to na znaczne korzyści. Obejmują one ułatwioną obsługę, poprawę bezpieczeństwa w każdej aplikacji i – co najważniejsze – wyeliminowanie dotychczas stosowanych haseł.

 

Mechanizm uwierzytelniania bezhasłowego składa się z wielu warstw o różnym poziomie zabezpieczeń. Wdrożenie konkretnego modelu zależy więc od zakresu danych dotyczących tożsamości oraz od poziomu uwierzytelniania i ujednolicania. To parametry, które przedsiębiorstwo określa na podstawie ryzyka biznesowego, zagrożeń dla bezpieczeństwa i stopnia poufności danych, które podlegają ochronie.

 

Bezczynnikowe uwierzytelnianie bezhasłowe obejmuje reguły do analizy sieci, urządzeń i oznaczeń lokalizacji, które pełnią funkcję znajomych sygnałów. Jeśli znajome sygnały są niedostępne lub rodzą wątpliwości co do osoby, która próbuje potwierdzić swoją tożsamość, urządzenie musi zażądać uwierzytelnienia metodą tradycyjną (opartą na haśle lub bezhasłową). Kiedy się to nie powiedzie, należy odmówić dostępu.

 

Wadą uwierzytelniania bezczynnikowego  jest to, że nie zapewnia ono pełnego sprawdzenia tożsamości. Najlepiej więc, żeby mechanizm ten pełnił funkcję zapasową lub działał w powiązaniu z innymi metodami uwierzytelniania.

 

Dzięki metodom wieloczynnikowego uwierzytelniania bezhasłowego przedsiębiorstwa wdrażające system uwierzytelniania wieloczynnikowego mogą zamiast haseł stosować łącznie urządzenia, które wykorzystują hasła jednorazowe, rozwiązania oparte na certyfikacie, kody PIN i funkcje biometryczne. Należy przy tym zaznaczyć, że – zgodnie z wytycznymi NIST SP 800-63-3 – mimo że element biometryczny uznaje się za czynnik,  sam w sobie nie stanowi elementu uwierzytelniającego. W przypadku uwierzytelniania, które opiera się na narzędziach biometrycznych, należy więc używać dwóch elementów uwierzytelniających. Powiązane urządzenie pełni bowiem funkcję „czegoś, co użytkownik ma”, natomiast element biometryczny – „czegoś, czym użytkownik jest”.

 

Uwierzytelnianie ciągłe

Rozwój technologii uwierzytelniania odzwierciedla konflikt, jaki rośnie między koniecznością oferowania użytkownikom metod logowania, które są łatwe w obsłudze, a potrzebą zabezpieczenia dostępu. Żeby pogodzić te dwa cele, przedsiębiorstwa chcą wyeliminować hasła. Umożliwiają to nowe technologie uwierzytelniania – takie jak metody adaptacyjne i rozwiązania oparte na urządzeniach mobilnych.

 

Niestety decyzje dotyczące uwierzytelniania są podejmowane w określonym momencie i dotyczą pojedynczego żądania dostępu. W przypadku tradycyjnych metod uwierzytelniania użytkownicy logują się w aplikacji lub usłudze, tworząc sesję WWW. Następnie mogą wykonywać określone czynności, zależnie od udzielonych uprawnień.

 

Problemem, który wiąże się z metodą uwierzytelniania opartego na sesjach, jest to, że ta metoda nie uwzględnia zmian kontekstowych – takich jak przejście użytkownika z sieci zaufanej do sieci publicznej w ramach tej samej sesji. Biorąc więc pod uwagę wszystkie środowiska, w jakich może się znaleźć użytkownik, uwierzytelnianie oparte na sesji nie zawsze zapewnia wystarczający poziom bezpieczeństwa.

 

Takie sytuacje mogą wymagać uwierzytelniania w sposób ciągły, aż do momentu wylogowania się użytkownika z usługi. Rozwiązanie polega na nieustannym sprawdzaniu tożsamości użytkownika w toku czynności, które wykonuje on w danej aplikacji, co przywraca równowagę między bezpieczeństwem a wygodą.

 

Na przykład użytkownik, który już został uwierzytelniony, może w pewnym momencie chcieć pobrać poufny plik. W takim przypadku aplikacja, która działa w konwencji uwierzytelniania ciągłego, wywoła mechanizm dodatkowego uwierzytelnienia, aby – zanim użytkownik przejdzie dalej – potwierdzić jego tożsamość.


Analiza mechanizmów uwierzytelniania

W wytycznych NIST SP 800-63-3 zapisano, że skuteczność transakcji uwierzytelniania jest opisywana miarą porządkową, zwaną poziomem zapewniania uwierzytelnienia (ang. Authentication Assurance Level – AAL). W przypadku skutecznej metody (wyższego poziomu AAL) osoby o złych intencjach, aby pomyślnie obejść proces uwierzytelniania, muszą dysponować większymi możliwościami i użyć większej ilości zasobów. Dzięki rozwiązaniom o wyższym wskaźniku AAL można skutecznie zmniejszać ryzyko ataków i mieć większe zaufanie do zastosowanej metody uwierzytelniania.

 

I poziom zapewniania uwierzytelnienia (AAL1)

Rozwiązanie dające pewien stopień pewności, że osoba, która próbuje uzyskać dostęp, kontroluje element uwierzytelniający powiązany z kontem subskrybenta. Na poziomie AAL1 wymagane jest uwierzytelnianie jedno- lub wieloczynnikowe, które opiera się na szerokiej gamie dostępnych technologii.

 

Żeby uwierzytelnianie przebiegło pomyślnie, osoba ubiegająca się o dostęp musi – za pośrednictwem bezpiecznego protokołu uwierzytelniania – udowodnić, że dany element uwierzytelniający znajduje się w jej posiadaniu i pod jej kontrolą.
Poziom zaufania tej metody uwierzytelniania jest niski.

 

II poziom zapewniania uwierzytelnienia (AAL2)

Rozwiązanie dające wysoki stopień pewności, że osoba, która próbuje uzyskać dostęp, kontroluje jeden lub wiele elementów uwierzytelniających powiązanych z kontem subskrybenta. Osoba ta musi – przy użyciu jednego lub wielu bezpiecznych protokołów uwierzytelniania – udowodnić, że posiada i kontroluje dwa różne czynniki uwierzytelnienia. Ponadto w przypadku poziomu AAL2 konieczne jest zastosowanie zatwierdzonych technik kryptograficznych.

 

Poziom zaufania tej metody uwierzytelniania jest średni.

 

III poziom zapewniania uwierzytelnienia (AAL3)

Rozwiązanie dające bardzo wysoki stopień pewności, że osoba, która próbuje uzyskać dostęp, kontroluje jeden lub wiele elementów uwierzytelniających powiązanych z kontem subskrybenta. Żeby uwierzytelnić się na poziomie AAL3, należy – przy użyciu protokołu kryptograficznego – udowodnić, że jest się w posiadaniu klucza. Ponadto uwierzytelnianie na poziomie AAL3 wymaga zastosowania sprzętowego elementu uwierzytelniającego i elementu uwierzytelniającego odpornego na próby podszycia się pod daną osobę (oba te warunki mogą być spełnione przez jedno urządzenie).

 

Żeby uwierzytelnić się na poziomie AAL3, osoba ubiegająca się o dostęp musi – za pośrednictwem jednego lub wielu bezpiecznych protokołów uwierzytelniania – udowodnić, że posiada i kontroluje dwa odrębne czynniki uwierzytelniające. Wymagane jest także użycie zatwierdzonych technik kryptograficznych.
Poziom zaufania tej metody uwierzytelniania jest wysoki.

 

Poniższa tabela przedstawia metody uwierzytelniania z poziomem ich bezpieczeństwa i zaufania

Tabela 1. Poziom bezpieczeństwa różnych metod uwierzytelniania

Metoda uwierzytelnianiaAAL1 – niski poziom zaufaniaAAL2 – średni poziom zaufaniaAAL3 – wysoki poziom zaufania
Hasłaxx
Metoda oparta na wzorcachxx
Pozapasmowe wiadomości SMSxx
Tokeny haseł jednorazowychxx
Klucz zabezpieczeń FIDO-x
Oparta na certyfikacie infrastruktura klucza publicznego-x
Wzorzec + hasło-x
Komunikat push w urządzeniu mobilnym + funkcje biometryczne-x
Hasła jednorazowe w urządzeniu mobilnym + funkcje biometryczne-x
Hasła jednorazowe w urządzeniu mobilnym + hasło-x
Mechanizm FIDO + hasło / funkcje biometryczne--
Hasła jednorazowe w rozwiązaniu sprzętowym + hasło--
Metody kryptograficzne + hasło--
Hasła jednorazowe + metody kryptograficzne--

Instytut NIST opublikował wytyczne odnośnie do wymaganych poziomów bezpieczeństwa w transakcjach cyfrowych, ustalanych poprzez ocenę potencjalnego oddziaływania każdej z kategorii wyszczególnionych powyżej. Chociaż dokument ten jest przeznaczony dla przedsiębiorstw, które muszą spełniać amerykańskie federalne wytyczne ws. bezpieczeństwa, to stanowi także przydatne ramy odniesienia dla wszystkich organizacji. Poniższa tabela zawiera opis trzech potencjalnych stopni oddziaływania.

Tabela 2. Stopnie oddziaływania według standardu FIPS 199

NiskiUmiarkowanyWysoki
Można oczekiwać, że zdarzenie – polegające na utracie poufności i integralności oraz niedostępności danych – przyniesie ograniczone negatywne skutki dla działalności operacyjnej i zasobów przedsiębiorstwa lub dla osób fizycznych.Można oczekiwać, że zdarzenie – polegające na utracie poufności i integralności oraz niedostępności danych – przyniesie istotne negatywne skutki dla działalności operacyjnej i zasobów przedsiębiorstwa lub dla osób fizycznych.Można oczekiwać, że zdarzenie– polegające na utracie poufności i integralności oraz niedostępności danych – przyniesie poważne lub katastrofalne skutki dla działalności operacyjnej i zasobów przedsiębiorstwa lub dla osób fizycznych.

FIPS – Federal Information Processing Standards (Federalne Standardy Przetwarzania Informacji).

Tabela 3. Przegląd metod uwierzytelniania pod kątem poziomów bezpieczeństwa, zagrożeń i potencjalnych skutków ich niewielkiej skuteczności

Metoda uwierzytelnianiaPoziom AAL / Poziom zaufaniaStopień oddziaływaniaZagrożenia
HasłaAAL1/niskiNiskiMetody podatne na ataki typu MITM i próby wyłudzenia informacji (phishing).
Metoda oparta na wzorcachAAL1/niskiNiskiMetody podatne na ataki typu MITM i próby wyłudzenia informacji (phishing).
Uwierzytelnianie pozapasmoweAAL1/niskiNiskiMetoda podatna na podmianę karty SIM i ataki typu MITM.
Tokeny haseł jednorazowychAAL1/niskiNiskiMetody podatne na ataki kryptograficzne, przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Klucz zabezpieczeń FIDOAAL2/średniUmiarkowanyMetody podatne na ataki kryptograficzne, przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Metody kryptograficzneAAL2/średniUmiarkowanyMetody podatne na ataki kryptograficzne, przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Wzorzec + hasłoAAL2/średniUmiarkowanyMetody podatne na przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Hasła jednorazowe w urządzeniu mobilnym + funkcje biometryczneAAL2/średniUmiarkowanyMetody podatne na przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Hasła jednorazowe w urządzeniu mobilnym + hasłoAAL2/średniUmiarkowanyMetody podatne na przejęcie kontroli nad sesją i naruszenie tajności klucza. Zapobiegają atakom typu MITM i podsłuchom.
Mechanizm FIDO + hasło / funkcje biometryczneAAL3/wysokiWysokiMetoda podatna na incydenty kryptograficzne w centrach certyfikacji oraz na naruszenie tajności klucza.
Hasła jednorazowe w rozwiązaniu sprzętowym + hasłoAAL3/wysokiWysokiMetoda podatna na incydenty kryptograficzne w centrach certyfikacji oraz na naruszenie tajności klucza.
Metody kryptograficzne + hasłoAAL3/wysokiWysokiMetoda podatna na incydenty kryptograficzne w centrach certyfikacji oraz na naruszenie tajności klucza.
Hasła jednorazowe + metody kryptograficzneAAL3/wysokiWysokiMetoda podatna na incydenty kryptograficzne w centrach certyfikacji oraz na naruszenie tajności klucza.

Zaleca się, żeby przed wyborem dla przedsiębiorstwa optymalnych metod uwierzytelniania przejrzeć rozwiązania dostępne na rynku oraz poznać poziom oferowanego przez nie bezpieczeństwa i ich podatność na znane zagrożenia. Należy także wziąć pod uwagę najważniejsze kwestie związane z tymi metodami i zastanowić się, co oznaczają one dla danego przedsiębiorstwa.

 

Ponadto zdecydowanie warto rozpocząć planowanie procesu, który pozwoli przedsiębiorstwu ograniczyć używanie haseł. W tym celu należy zastosować metody adaptacyjne i funkcje analityczne, żeby poprawiać poziom zaufania użytkowników, jednocześnie usuwając napotykane przez nich utrudnienia.