Czy ty też dostajesz ostatnio ciągłe prośby o uruchomienie weryfikacji dwuetapowej? Zastanawiasz się, jak to działa i po co ci ona? Wydaje ci się, że to niepotrzebna komplikacja i tak już złożonego procesu logowania? Ten tekst wyjaśnia na czym polega uwierzytelnianie dwuetapowe.
O weryfikacji w internecie pisaliśmy już wielokrotnie. Najczęściej stosujemy ją przy logowaniu się do poczty, profili społecznościowych, kont w sklepie itp. Zazwyczaj jesteśmy proszeni o podanie loginu i hasła. Kiedy mamy takich zahasłowanych kont kilka – łatwo jest zapamietać te poufne dane. Problem zaczyna się wtedy, gdy do zapamiętania mamy kilkanaście, a dziś to już nierzadko kilkadziesiąt takich haseł i loginów. Na szczęście dzisiaj nie musimy ich już wszystkich znać na pamięć. Wystarczy nam do tego aplikacja do zarządzania hasłami. Jednak dzisiaj, kiedy zagrożenia dla naszej prywatności stale rosną, a hakerzy są coraz sprytniejsi, dbanie o bezpieczeństwo naszych kont online już nie jest tak proste.
Po co nam weryfikacja dwuetapowa?
Jeśli oglądałaś/ oglądałeś kiedykolwiek jakiś film katastroficzny, w którym występuje motyw odpalenia ładunku jądrowego, to z pewnością wiesz, że nie da się tego zrobić po prostu naciskając czerwony guzik. Zazwyczaj czynność ta, (której skutkiem może być koniec świata), obwarowana jest dodatkowymi zabezpieczaniami i aby przycisk zadziałał musi nacisnąć go niezależnie co najmniej dwie – jeśli nie więcej osób. Wyobraź sobie, że weryfikacja dwuetapowa to właśnie taka „opcja atomowa” na Twoim koncie.
Opcja jądrowa na Twoim koncie
Weryfikacja dwuetapowa jest jednym z najskuteczniejszych narzędzi w celu zapewnienia bezpieczeństwa w sieci. Znana jest również jako 2FA (Two-Factor Authentication), ponieważ zapewnia ona dodatkową drugą warstwę ochrony przy logowaniu się do różnych platform internetowych. Nie stosowanie 2FA niesie za sobą ryzyko potencjalnego naruszenia naszej prywatności oraz utraty danych.
Przykładowo, jeśli ktoś uzyska dostęp do naszego konta bankowego bez użycia weryfikacji dwuetapowej, może dokonać nieautoryzowanych transakcji finansowych, co może prowadzić do poważnych konsekwencji finansowych dla nas samych.
Podobnie, brak weryfikacji dwuetapowej na platformach społecznościowych może skutkować kradzieżą tożsamości lub publikacją treści w naszym imieniu, co może zaszkodzić naszej reputacji oraz relacjom z innymi użytkownikami internetu.
Dlatego ważne jest, aby korzystać z weryfikacji dwuetapowej we wszystkich możliwych sytuacjach, aby zminimalizować ryzyko wystąpienia takich zagrożeń.
Jak działa weryfikacja dwuetapowa?
Weryfikacja dwuetapowa to proces, który wymaga od użytkownika podania dwóch niezależnych składników w celu potwierdzenia tożsamości podczas logowania. Pierwszym zwykle jest standardowe hasło, czyli coś co wiesz. Drugim czynnikiem nie może być kolejne hasło. Zasada w weryfikacji tego typu polega na tym, dobre zabezpieczenie powinno się składać z co najmniej dwóch różnych składników.
Skoro zazwyczaj pierwszym zabezpieczeniem jest login i hasło czyli „to co wiesz”. Drugie zabezpieczenie powinno być więc jednym poniższych przykładów:
- Coś co masz, lub
- Coś czym jesteś
Omówimy teraz je wszystkie po kolei:
Drugi składnik zabezpieczenia 2FA: coś co masz – telefon.
Drugie zabezpieczenie – coś co masz – jest najwcześniej wprowadzonym zabezpieczeniem dwuetapowym. Z zasady odnosi się do czegoś co posiadasz fizycznie. Może to być na przykład telefon, lista kodów w postaci zdrapki, czy – tak jak kiedyś – token, lub klucz U2F (ang. Universal 2nd Factor).
Najpowszechniej stosowane jest zabezpieczenie przez telefon, na który wysyłane są kody uwierzytelniające, lub linki wysyłane przez e-mail. Z tych rozwiązań najczęściej korzystają banki, instytucje rządowe lub portale sprzedażowe.
Plusy tych rozwiązań są takie, że nie wymaga żadnych dodatkowych aplikacji czy sprzętów, bowiem telefon z dostępem do skrzynki mailowej ma dziś niemal każdy. Minusem jest niestety dość duże narażenie na przejęcie skrzynki przez hakerów, albo phishing – w sytuacji na przykład, kiedy logujemy się (w pierwszym etapie) na stronie do złudzenia przypominającej oryginał (na przykład konto bankowe).
Drugi składnik zabezpieczenia 2FA:
coś czym jesteś – biometryka.
Obecnie w dwuetapowym uwierzytelnieniu składnik drugi coraz częściej jest oparty na zabezpieczeniu biometrycznym prywatnego smartfona czy laptopa. Na przykład niepowtarzalny kształt twoich linii papilarnych, albo Twoja twarz, lub oko. Dziś te zabezpieczenia stosowane są coraz powszechniej, dzięki rozwojowi technologii biometrycznych. Działają one dużo szybciej, niż wysyłanie smsów lub linków.
Skanowanie biometryczne może opierać się na rozpoznaniu unikalnych:
- układu linii papilarnych
- geometrii twarzy
Oraz dużo rzadziej na systemach rozpoznających:
- na podstawie geometrii dłoni
- na podstawie brzmienia głosu
- na podstawie obrazu tęczówki oka.
- na podstawie unikalnego układu naczyń krwionośnych dłoni
Dodatkowe składniki mogą być również oparte na miejscu, w którym użytkownik się znajduje, jak np. potwierdzenie lokalizacji za pomocą GPS lub adresu IP.
Czy uwierzytelnienie dwuetapowe jest w 100% bezpieczne?
W ramach 2FA istnieje wiele różnych form uwierzytelniania, obejmujących zarówno coś, co użytkownik wie (np. hasło), coś, czym użytkownik jest (np. dane biometryczne), jak i coś, co użytkownik posiada (np. aplikacja generująca kody). Niestety nie ma stuprocentowej gwarancji bezpieczeństwa.
Phishing a uwierzytelnienie dwuetapowe
W większości typów uwierzytelnienia istnieje dość duże zagrożenie phishingu. To jedna z najpopularniejszych metod ataków opartych na wiadomości e-mail lub SMS. Jak czytamy na rządowej stronie „Polega na przykład na tym, że cyberprzestępcy podszywając się m.in. pod firmy kurierskie, urzędy administracji, operatorów telekomunikacyjnych, czy nawet naszych znajomych, starają się wyłudzić nasze dane do logowania np. do kont bankowych lub używanych przez nas kont społecznościowych, czy systemów biznesowych. (…) Do tego wykorzystują najczęściej sfałszowane e-maile i SMS-y. Coraz częściej oszuści działają także za pośrednictwem komunikatorów i portali społecznościowych (np. poprzez „metodę na BLIKa”). „
W praktyce wygląda to na przykład tak, że zamiast na stronę swojego banku, wchodzisz na niemal identyczną stronę oszustów (Wiele wiadomości phishingowych ma niepoprawną gramatykę, interpunkcję, pisownię, czy też bak jest polskich znaków diakrytycznych np. nie używa się „ą”, „ę” itd.). Wpisujesz hasło i login z pierwszego etapu logowania a zaraz potem wysyłasz sms otrzymany na telefon. Nie uchroni Cię podobna weryfikacja, jeśli błąd popełnisz już na pierwszym etapie. Jeśli spotkałeś się z podejrzaną st=ytaucją możesz zgłosić ją na stronie incydent.cert.pl.
Klucz U2F – najlepsze ale kosztowne rozwiązanie
Z pomocą w takim momencie przychodzi klucz U2F (ang. Universal 2nd Factor). Jest to niewielkie urządzenie podobne do pendrive’a na USB. Są na nim zapisane dane kryptograficzne, które wcześniej zostały do niego dodane. Budowa klucza uniemożliwia autoryzację logowania w przypadku nieprawdziwej stornie stronie internetowej.
Gdzie korzystać i jak włączyć weryfikację dwuetapową?
Warto korzystać z weryfikacji dwuetapowej wszędzie tam, gdzie tylko jest to możliwe. Popularne platformy, takie jak Gmail, Facebook, banki czy giełdy kryptowalutowe, oferują tę opcję. Aby ją włączyć, zazwyczaj należy przejść do ustawień bezpieczeństwa konta i znaleźć sekcję dotyczącą uwierzytelniania dwuetapowego. Tam można wybrać preferowaną metodę 2FA, np. aplikację generującą kody lub otrzymywanie kodów SMS-em.
Korzystanie z dwuskładnikowego uwierzytelnienia ma wiele zalet. Po pierwsze, znacznie zwiększa to bezpieczeństwo naszych kont online, uniemożliwiając dostęp nieautoryzowanym osobom nawet w przypadku wycieku hasła. Po drugie, daje nam to spokój ducha, że nasze dane są lepiej chronione, zwłaszcza w przypadku kont zawierających wrażliwe informacje finansowe czy osobiste.