5 nejčastějších mýtů, proč nejde zavést multifaktorové ověřování

Ověřovaní přístupů prostřednictvím více faktorů – multifaktorová autentizace (MFA) – je velmi efektivním nástrojem, jak odrazit až 98 % pokusů o neoprávněný přístup k uživatelským účtům, aplikacím a datům. V dnešní době je MFA podporováno výrobci všech hlavních podnikových softwarových produktů a poskytovateli cloudových služeb a bude také vyžadováno v rámci nového zákona o kybernetické bezpečnosti, vycházejícího z regulace NIS2 (jako jediná alternativa k jinak velmi náročné správě hesel). Jaké výmluvy a důvody u zákazníků slýcháme na otázku proč MFA (zatím) nechtějí používat?

Mýtus č. 1 – Je to nepohodlné

Právě tak zní nejčastější výmluva proti používání MFA. Ano, multifaktorové ověřování skutečně vyžaduje jeden krok při přihlašování navíc. To sice může být vnímáno jako nepohodlné, v porovnání s navyklým přístupem prostřednictvím uživatelského jména a hesla. Nicméně, tento jediný krok navíc opravdu stojí za výrazně vyšší úroveň ochrany proti kybernetickým útokům typu phishingu nebo útokům na hesla, kterým uživatelé jinak velmi těžko odolávají.

Aby organizace vyvrátila mýtus o nepohodlí MFA, mělo by mít oddělení IT vždy k dispozici více scénářů ověřování – typicky prostřednictvím mobilní aplikace, SMS, hardwarového tokenu, FIDO2 klíčů, jednorázových kódů, čipové karty nebo biometrie. Všechny tyto možnosti MFA je dnes možné nasadit relativně snadno.

Mýtus č. 2 – Je to složité

Multifaktorové ověřování ve svém soukromém životě dnes používají prakticky všichni majitelé bankovních účtů. Opravdu je to pro miliony klientů bank složité? Scénáře vyžadující dodatečný hardware mohou být komplikovanější a náročnější (obzvlášť, když toto zařízení ztratíme nebo zapomeneme doma). Ověřování přes mobilní aplikaci nebo SMS je ale rychlé, každý ho zná ze své banky a jistě nejde o nic komplikovaného.

Mýtus č. 3 – MFA není vždy dostupné

Skutečně mohou nastat situace, kdy nebude k dispozici výchozí způsob vícefaktorového ověřování. Ať už jde o zmíněnou ztrátu zařízení nebo třeba nedostupnost mobilního signálu. Právě na takové situace ale musí být implementace MFA v rámci organizace připravena a poskytovat různé alternativy bezpečného přihlášení. Ty se mohou lišit i podle typů uživatelských účtů – některé metody MFA mohou být použity pouze pro kriticky důležité účty nebo činnosti, zatímco pro ostatní účty může být použit jiný způsob bezpečného přihlašování.

Pečlivé plánování a testování scénářů MFA a využití podmíněného přístupu pomohou úspěšné integraci bezpečnějšího přihlašování do organizace. Po pár týdnech už budou uživatelé požadavek na další faktor brát jako naprosto automatickou součást práce.

Mýtus č. 4 – Obáváme se o soukromí

Někteří lidé se obávají, že poskytnutí osobních údajů nezbytných pro ověření (například telefonního čísla pro zasílání ověřovacích kódů, otisku prstu atd.) může zvýšit riziko ohrožení jejich soukromí. Tento argument často slýcháme u organizací s nejasně definovanými pravidly pro BYOD (přines si vlastní zařízení, anglicky Bring Your Own Device).

Jelikož existuje řada různých metod ověřování při použití MFA, nemusí uživatelé nutně sdílet informace, které považují za citlivé. Jejich identitu lze ověřovat pouze pomocí něčeho, co vědí (heslo) a něčeho, co vlastní (mobilní zařízení). Opět se jedná o stejnou situaci jako při používání mobilního bankovnictví – ovšem s jasně definovanou zodpovědností, kontrolou a konkrétní pověřenou osobou, která používání MFA v rámci firmy řeší.

Při vyplňování osobních údajů v e-shopech a registraci do slevových programů o sobě lidé prozradí mnohem víc, než při jakémkoli způsobu MFA. Je to snad proto, že v takových případech něco sami chtějí, zatímco v případě nasazení MFA po nich naopak něco chce jejich organizace?

Mýtus č. 5 – Nemáme důvěru ve funkčnost MFA

Obáváte se, že ověřování přes MFA selže v té nejméně vhodné situaci? Ve skutečnosti jsou problémy s funkčností multifaktorového ověřování vzácné a zpravidla jsou způsobeny nekvalitní implementací a nedostatečným testováním v konkrétním prostředí. Samotná technologie MFA je totiž důkladně prověřená mnoha předními producenty podnikového softwaru.

Pravý důvod? Spíše nepořádek v účtech

Za výše uvedenými obavami a argumenty proti nasazení MFA se často skrývají i důvody, které firmy a organizace velmi nerady veřejně prezentují. Zpravidla jde o sdílení uživatelských účtů, respektive přihlašovacích údajů k nim – ať už z důvodu delegování úkolů, které by jinak mohl provést pouze odpovědný manažer, nebo pro úsporu nákladů na související licence podnikových systémů a aplikací. Také anomálie v procesech, kdy vlastník účtu současně není jediným, kdo za něj odpovídá, bohužel MFA ošetřit nemůže. Nejsou ale právě toto důvody, na které útočníci spoléhají a využívají je k nepozorovanému napáchání co největších škod?