Jednofaktorové ověřování znamená ověření identity uživatele pouze jedním údajem (faktorem), nejčastěji heslem nebo pinem. SFA je zkratka Single Factor Authentication (tedy jednofaktorové ověřování). Heslo zadáváte v kombinaci s uživatelským jménem, abyste se někam přihlásili. Je to nejjednodušší a nejběžnější způsob přihlášení, zároveň může být nejméně bezpečný, pokud uživatelé nedodržují základní zásady chování a zacházení s heslem. Jeho bezpečnost je závislá zejména na délce hesla a disciplíně uživatelů.
- Pokud někdo heslo odcizí nebo uhodne, může se snadno za vás přihlásit a dostat se k vašim informacím.
- Je třeba dodržovat základní zásady délky hesla a zacházení s nimi, pak může být jednofaktorové ověřování bezpečné
- Mnoho firem přechází na vícefaktorové ověřování, které kombinuje více faktorů pro vyšší úroveň zabezpečení.
Co znamená jednofaktorové ověřování pro firmy
1. Nástup zaměstnance (onboarding)
- Pokud firma používá jen SFA, nový zaměstnanec dostane zpravidla uživatelské jméno a heslo k systémům a aplikacím nebo do wifi sítě
- HR nebo IT musí tyto přístupy bezpečně předat a bezpečně evidovat.
- Riziko: pokud je heslo slabé, opakovaně použité nebo se unikne, útočník má snadný přístup.
2. Odchod zaměstnance, odebírání hesel a přístupů (offboarding)
- Firmy často vedou evidence hesel (tabulky, poznámky, papíry), což je velké bezpečnostní riziko.
- Pokud zůstane heslo v oběhu i po odchodu zaměstnance, bývalý pracovník se může přihlásit.
- Proto je nutné mít proces: reset nebo zrušení hesel při offboardingu.
3. Evidence hesel a přístupů
- Firma musí vědět, kdo má jaký přístup a jak jsou účty zabezpečené.
Jaké jsou výhody a nevýhody jednofaktorového ověřování
Výhody jednofaktorového ověřování
- Jednoduchost a pohodlí – uživatel si pamatuje jen heslo a nepotřebuje žádné další aplikace nebo tokeny.
- Rychlý onboarding – IT/HR vytvoří účet, předá heslo → zaměstnanec hned pracuje.
- Nízké náklady – není potřeba zavádět mobilní aplikace, SMS brány nebo hardwarové klíče.
Nevýhody
- Bezpečnost hodně závisí na lidech, jestli nastaví silné heslo a jak s ním zacházejí
- Pokud unikne nějakým způsobem heslo, tak útočník získá přístup
Jaká jsou rizika jednofaktorového ověřování?
Lidský faktor
- Jednofaktorové ověřené je silně závislé na lidském faktoru, lidé v praxi nedodržují základní principy bezpečného nastavení a sdílení hesel, hesla si zapisují a podobně
- Slabé heslo nebo opakovaně používané heslo. Mnoho lidí používá jednoduchá hesla („123456“, „heslo“, „qwerty“) nebo stejné heslo na více webech. Pokud je heslo silné a uživatel dodržuje hygienu (unikátní hesla, pravidelná změna, nepoužívá ho jinde), riziko se snižuje, ale nikdy úplně nezmizí.
- Vylákání hesla - Phishing – vylákání hesla, útočník pošle e-mail nebo vytvoří falešnou přihlašovací stránku (třeba kopii přihlášení Google nebo Microsoft).
- Malware nebo keylogger - Pokud je počítač nakažený škodlivým softwarem, může zaznamenávat stisky kláves nebo číst uložená hesla z prohlížeče.
Technický únik hesla
- Únik z databáze - I když vy děláte vše správně, může být napadena služba, kde máte účet. Pokud nemají hesla správně zašifrovaná (hashovaná), útočníci je mohou přečíst.
- Odposlech (man-in-the-middle) - Když se připojujete přes nezabezpečenou Wi-Fi (např. v kavárně), útočník může zachytit přihlašovací data, pokud spojení není šifrované (HTTP místo HTTPS).
Jak bezpečně používat jednofaktorové přihlašování
Přihlašování uživatelským jménem a heslem může být dostatečné, pokud firma nastaví jasná pravidla:
- silná hesla, možnost vynucení politiky hesel (síla, změna hesla atd.)
- školení zaměstnanců o bezpečnosti,
- odebírání nebo reset hesel při offboardingu
- možnost centrálně měnit nebo resetovat hesla uživatelům
- Další ochrana firemní sítě proti útokům z vnějšího prostředí (například privátní cloud)