Od listopada 2024 r. w portalu CBE wykorzystywane jest uwierzytelnianie wieloskładnikowe (MFA - Multi-Factor Authentication). Uwierzytelnianie wieloskładnikowe znacznie podnosi bezpieczeństwo – zabezpieczenie przed dostępem do portalu osób nieuprawnionych.
Stosowanie do identyfikacji samych identyfikatorów użytkownika i haseł, obecnie, stało się już niewystarczające ze względu na duże zagrożenie włamaniami do systemu a także metody stosowane przez hakerów.
Wdrożenie mechanizmu uwierzytelniania wieloskładnikowego (MFA) ma kluczowe znaczenie dla zapewnienia bezpieczeństwa. Często klasyczne hasła nie są już bezpieczne głównie dlatego, że użytkownicy np. nadal używają słabych haseł, nadal używają tych samych haseł w wielu portalach, strony nadal źle zabezpieczają hasła, co powoduje możliwość wycieku haseł.
Czym jest uwierzytelnianie wieloskładnikowe?
Uwierzytelnianie wieloskładnikowe składa się z czegoś co użytkownik zna, czyli np. hasła, kodu, PIN-u i dodatkowo czegoś co użytkownik ma, czyli np. telefon, token sprzętowy, karta kodów. Mogą być również wykorzystywane indywidualne cechy użytkownika, czyli odcisk palca, tęczówka (może być wykorzystywana biometria).
MFA wymaga dwóch lub więcej składników do uwierzytelnienia. W systemie Narodowego Funduszu zdrowia zastosowano uwierzytelnianie dwuskładnikowe, czyli składające się z hasła (jak do tej pory) i z systemu jednorazowych kodów wysyłanych na urządzenie świadczeniodawcy np. na telefon komórkowy.
Tokeny TOTP.
TOTP (Time-based One-Time Password), jest to mechanizm oparty na czasie. Od momentu wygenerowania hasła/kodu użytkownik ma określoną liczbę sekund na jego użycie, w przeciwnym wypadku straci ono ważność.
Aby móc skorzystać z tego mechanizmu konieczne jest posiadanie na urządzeniu aplikacji, która obsługuje otwarty standard TOTP. Taką aplikacją jest np. Microsoft Authenticator, Google Authenticator, Wizyta lekarska firmy Kamsoft, ale liczba aplikacji generujących tokeny TOTP jest bardzo duża i są to zarówno produkty darmowe jak i komercyjne.
Oprócz aplikacji generujących kody MFA na urządzenia mobilne jest cały szereg rozwiązań alternatywnych. Natomiast w przeciwieństwie do aplikacji na telefony komórkowe są one powiązane z danym kontem użytkownika na danym komputerze. Są to przykładowo dodatki do przeglądarek internetowych. Do wielu przeglądarek dostępny jest cały szereg rozwiązań tego typu. Poniżej prezentujemy zaledwie kilka przykładów:
•Authenticator - dodatek do przeglądarki Chrome https://chromewebstore.google.com/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai?pli=1
•Authenticator: 2FA Client - dodatek do przeglądarki Microsoft Edge https://microsoftedge.microsoft.com/addons/detail/authenticator-2fa-client/ocglkepbibnalbgmbachknglpdipeoio
•Authenticator by MindStorm - dodatek do przeglądarki Firefox https://addons.mozilla.org/en-US/firefox/addon/auth-helper/
Inną alternatywą są aplikacje dla systemów operacyjnych desktopowych, przykłady poniżej to aplikacje dostępne z Windows Store:
•Authme - Two factor (2FA) authenticator https://apps.microsoft.com/detail/xp9m33rjsvd6jr?hl=pl-pl&gl=PL
•OTPKEY Authenticator https://apps.microsoft.com/detail/xp9mcl9t4jfz0b?hl=en-us&gl=US
•Oracle Mobile Authenticator - https://apps.microsoft.com/detail/9nblggh4nsh8?hl=en-us&gl=US
Aplikacje o tych samych funkcjach występują również w środowiskach Linuxowych czy też dla platformy iOS.
Należy mieć świadomość, że wyżej wymienione rozwiązania to tylko jedne z wielu dostępnych możliwości.
Rozpoczęcie korzystania z mechanizmu MFA wymaga jednorazowego wykonania czynności powiązania konta w portalu z aplikacją do uwierzytelniania, co zostało opisane w dedykowanych dokumentacjach do Portalu SZOI/Portalu Świadczeniodawcy.
Opis sposobu logowania do portalu CBE z wykorzystaniem uwierzytelniania MFA znajduje się w rozdziale Rozpoczęcie i zakończenie pracy.