Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe, uwierzytelnianie wielopoziomowe (ang. multi-factor authentication, MFA) – używanie dodatkowych składników w procesie uwierzytelniania (weryfikacji tożsamości). W szczególności uwierzytelnianie dwuskładnikowe (2FA) może polegać na podaniu hasła jednorazowego (ang. one-time password, OTP) przy logowaniu się do poczty elektronicznej^[1]^[2].

MFA jest sposobem ochrony dostępu do zasobów cyfrowych, ponieważ utrudnia zalogowanie się do tych zasobów przez nieuprawnione osoby, które zdobyły identyfikator użytkownika i hasło uwierzytelniające. W przypadku stosowania uwierzytelniania wieloskładnikowego użytkownik oprócz podania identyfikatora oraz hasła musi (w kolejnych etapach) podać dodatkowy składnik^[3].

Formy uwierzytelniania

Do uwierzytelniania MFA mogą zostać wykorzystane metody, które można skategoryzować wg następujących kryteriów^[4]:

„coś, co użytkownik wie”: dane, które zna tylko użytkownik np. hasło, kod PIN;
„coś, czym użytkownik jest”: dane biometryczne, unikalne cechy fizyczne użytkownika np. odcisk palca, skan tęczówki oka, skan twarzy itp.
"coś, co użytkownik posiada”: przedmiot lub urządzenie do uwierzytelniania np. token, aplikacja na smartfonie, klucz, karta bankomatowa itp.
„miejsce, w jakim użytkownik aktualnie się znajduje”: np. wykorzystanie GPS, albo IP do potwierdzenia typowych lokalizacji użytkownika.

Dodatkowe składniki uwierzytelniania użytkownika mogą przybierać różne formy^[5]:

ograniczone czasowe hasło jednorazowe (TOTP) z aplikacji zainstalowanej na przenośnym urządzeniu internetowym (np. smartfon, tablet), czyli np. token z dedykowanej aplikacja typu Google Authenticator czy Authy;
token sprzętowy;
hasło lub link wysłany za pośrednictwem e-mail;
kod wysłany za pomocą SMS;
kod z powiadomienia push;
uwierzytelnianie biometryczne (skanowanie źrenicy oka, linii papilarnych, twarzy, weryfikacja tonu głosu);
autoryzacja behawioralna;
pytanie zabezpieczające (użytkownik musi odpowiedzieć na pytanie wg określonego wzorca).

Ustawodawstwo i regulacja MFA w Polsce

Dyrektywa NIS2 oraz wynikająca z niej nowelizacja polskiej ustawy o krajowym systemie cyberbezpieczeństwa kładą duży nacisk na stosowanie uwierzytelniania wieloskładnikowego (MFA) w organizacjach. Dyrektywa NIS2 wymaga, aby podmioty krytyczne wdrożyły MFA w celu zabezpieczenia połączeń głosowych, tekstowych i wideo. Ponadto, MFA może zostać również zastosowane, aby spełnić wymogi dotyczące ochrony zasobów ludzkich, kontroli dostępu oraz zarządzania łańcuchem dostaw^[6]. W Polsce przepisy te są wdrażane poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. W projekcie znowelizowanej ustawy pojawiły się wymagania dotyczące zarządzania bezpieczeństwem informacji, w tym obowiązek implementacji MFA w celu stosowania bezpiecznych środków komunikacji elektronicznej^[7]. Wdrożenie uwierzytelniania wieloskładnikowego (MFA) w celu zabezpieczenia systemów łączności wewnątrz firmy, tymczasowego przydzielania dostępu, czy ochrony dostępu dostawców do systemu firmy może pomóc w spełnieniu wymagań ustawy o krajowym systemie cyberbezpieczeństwa^[8].

Przypisy

↑ Two-factor authentication: What you need to know (FAQ). cnet.com. (ang.).
↑ SecurEnvoy – What is Two Factor Authentication. securenvoy.com. (ang.).
↑ Weryfikacja dwuetapowa (2FA): Poradnik o uwierzytelnianiu dwuskładnikowym [online] [dostęp 2023-03-16] (pol.).
↑ KumarK. Abhishek KumarK. i inni, A Comprehensive Study on Multifactor Authentication Schemes, NatarajanN. Meghanathan, DhinaharanD. Nagamalai, NabenduN. Chaki (red.), „Advances in Computing and Information Technology”, 177, Berlin, Heidelberg: Springer, 2013, s. 561–568, DOI: 10.1007/978-3-642-31552-7_57, ISBN 978-3-642-31552-7 [dostęp 2023-02-21] (ang.).
↑ Na czym polega uwierzytelnienie wieloskładnikowe (MFA)? [online], sebitu.pl [dostęp 2023-02-21] (pol.).
↑ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG), t. 333, 14 grudnia 2022 [dostęp 2025-01-08] .
↑ Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - Kancelaria Prezesa Rady Ministrów - Portal Gov.pl [online], Kancelaria Prezesa Rady Ministrów [dostęp 2025-01-08] (pol.).
↑ RublonR. Authors RublonR., MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa - Rublon [online], rublon.com [dostęp 2025-01-08] (pol.).

[:0-1] Two-factor authentication: What you need to know (FAQ). cnet.com. (ang.).

[2fa-2] SecurEnvoy – What is Two Factor Authentication. securenvoy.com. (ang.).

[:1-3] Weryfikacja dwuetapowa (2FA): Poradnik o uwierzytelnianiu dwuskładnikowym [online] [dostęp 2023-03-16] (pol.).

[4] KumarK. Abhishek KumarK. i inni, A Comprehensive Study on Multifactor Authentication Schemes, NatarajanN. Meghanathan, DhinaharanD. Nagamalai, NabenduN. Chaki (red.), „Advances in Computing and Information Technology”, 177, Berlin, Heidelberg: Springer, 2013, s. 561–568, DOI: 10.1007/978-3-642-31552-7_57, ISBN 978-3-642-31552-7 [dostęp 2023-02-21] (ang.).

[5] Na czym polega uwierzytelnienie wieloskładnikowe (MFA)? [online], sebitu.pl [dostęp 2023-02-21] (pol.).

[6] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG), t. 333, 14 grudnia 2022 [dostęp 2025-01-08] .

[7] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw - Kancelaria Prezesa Rady Ministrów - Portal Gov.pl [online], Kancelaria Prezesa Rady Ministrów [dostęp 2025-01-08] (pol.).

[8] RublonR. Authors RublonR., MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa - Rublon [online], rublon.com [dostęp 2025-01-08] (pol.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]