Niewygodna, ale skuteczna - dlaczego warto używać weryfikacji dwuetapowej

Praktycznie każdy z nas zna weryfikację dwuetapową. Korzystacie z niej choćby w bankach, na których wykorzystanie tej metody wymusiła unijna dyrektywa. Gdy chcemy zalogować się do banku na nowym urządzeniu musimy nie tylko podać hasło, ale i potwierdzić to w mobilnej aplikacji. 

Lockdown ma te zalety, że pozwala nam się zająć rzeczami, na które wcześniej nie starczało nam czasu - choćby kwestią cyfrowego bezpieczeństwa. Skoro macie chwilkę to może przyswoicie kilka informacji o weryfikacji dwuetapowej? Dopóki mechanizmy logowania bezhasłowego i blokowania dynamicznego nie zostaną usprawnione, jest to najdoskonalsza metoda ochrony naszych kont przed włamaniem.

Dlaczego należy się obawiać włamania? Bo człowiek jest istotą niedoskonałą i często wykorzystuje jedno hasło do wielu kont. Jeśli internetowi przestępcy zdobędą twoje dane logowania do jednego serwisu, bądź pewien, że sprawdzą absolutnie wszystkie serwisy, by sprawdzić czy nie poszedłeś na łatwiznę.

Wszystko co musisz wiedzieć o weryfikacji dwuetapowej / uwierzytelnianie dwuskładnikowemu (2FA/MFA)

• Jak działa weryfikacja dwuetapowa?
• Czego mogę użyć do weryfikacji dwuetapowej?
• To wygląda kłopotliwie, czy za każdym razem będę musiał podawać dwa hasła?
• Ale po co mi to, skoro ja na mailu, czy Dropboxie nie trzymam istotnych danych?
• Jak włączyć weryfikację dwuetapową?
• Przy zakładaniu konta podałem numer telefonu do odzyskiwania hasła, czy to jest uwierzytelnianie dwuskładnikowe?
• Czy warto skorzystać z tej metody, czy też lepiej przejść do coraz popularniejszego logowania bezhasłowego?
• Czy logowanie dwuetapowe sprawi, że mogą się poczuć w pełni bezpieczny?

Jak działa weryfikacja dwuetapowa / uwierzytelnianie dwuskładnikowe?

Gdy logujesz się na konto musisz nie tylko podać hasło, ale i również dodatkowy kod wysyłany na inne urządzenie (np. smartfon) lub skorzystać z fizycznego klucza zabezpieczeń (np. podłączanego do USB zgodnego ze standardem FIDO U2F). Nawet jeśli ktoś zdobędzie hasło do twojego konta i tak nie będzie mógł się zalogować bez podania dodatkowego kodu.

W przypadku nieautoryzowanej próby logowania do konta otrzymasz powiadomienie i będziesz mógł nieśpiesznie i na luzie zmienić hasło, będąc spokojny o to, czy ktoś właśnie nie przegląda twoich danych.

Czego mogę użyć do weryfikacji dwuetapowej?

• Smartfona - kody SMS
• Smartfona - aplikacje do generowania kluczy jak Google Authenticator i Microsoft Authenticator, czy aplikacje autoryzacji mobilnej, np. banków
• Tokenów OTP (kodów jednorazowych)
• Fizycznych kluczy bezpieczeństwa (security key U2F) podłączanych do portu USB (np. Yubico Security Key czy HyperFIDO).

Najbardziej bezpieczną metodą jest wykorzystanie fizycznych kluczy U2F ze względu na generowanie dwóch kluczy szyfrujących - prywatnego i publicznego (kryptografia asymetryczna) (Źródło: Yubico)

To wygląda kłopotliwie, czy za każdym razem będę musiał podawać dwa hasła?

Nie, nie trzeba tego robić za każdym razem - gdy raz się zalogujesz na danym komputerze można go dodać do urządzeń zaufanych (jeśli jest to na przykład domowy komputer). W ten sposób po weryfikacji dwuetapowej, będziesz się mógł już logować jak dawniej za pomocą hasła.

Ale po co mi to, skoro ja na mailu, czy Dropboxie nie trzymam istotnych danych?

Trzeba sobie zdać sprawę z zagrożeń związanych z włamaniem na konto mailowe, dysków sieciowych, czy Google lub Facebooka.

Zastanówcie się przez chwile, czy nigdy nie przesyłaliście mailem czy do sieciowych dysków skanu ubezpieczenia na życie, deklaracji PIT, czy wręcz kopii paszportu czy dowodu osobistego (na wypadek zaginięcia fizycznego dokumentu)? Jeśli tak - to dane w nich zawarte wystarczą do kradzieży tożsamości .

Wszystko co kiedyś wysyłaliście mailem, wciąż może być na skrzynce w katalogu Wysłane. Złodziej może się nimi posłużyć choćby do wzięcia kredytu na twoje dane. A to tylko czubek góry lodowej, który może generować mnóstwo nieprzyjemnych, a często i kosztownych sytuacji. Włamanie na pocztę e-mail to nie błahostka i nie można tego bagatelizować.

Inną kwestią są osoby, które prowadzą swoje biznesy choćby w oparciu o zasoby Google, czy Facebooka - utrata dostępu do konta i wyciek danych może być naprawdę tragicznym dla firmy wydarzeniem.

Jeśli już musisz trzymać ważne dane w chmurze, to korzystaj z magazynów osobistych z dwuetapową weryfikacją

Utrata konta Steam, Origin, Epic (który niedawno zaczął wymagać logowania dwuetapowego do odbioru darmowych gier), uPlay, Battlenet, czy GOG, dla wielu również może być przykra i kosztowna.

Jak włączyć weryfikację dwuetapową?

Wystarczy wejść w ustawienia Bezpieczeństwa, Logowanie i Bezpieczeństwo lub Konto / Sposoby Logowania. Jeśli dana usługa udostępnia weryfikację dwuetapową na pewno będą tam opcje wysyłania kodów SMS na numer telefonu, bądź potwierdzania przez aplikację (lub generator kodów). Niektóre usługi umożliwiają również weryfikację dwuetapową poprzez stosowanie fizycznego klucza FIDO U2F.

Konfigurowanie weryfikacji dwuetapowej w Google

Konfigurowanie weryfikacji dwuetapowej w Linked In

Konfigurowanie weryfikacji dwuetapowej w Allegro

Przy zakładaniu konta podałem numer telefonu do odzyskiwania hasła, czy to jest uwierzytelnianie dwuskładnikowe?

Nie. Dzięki opcji odzyskiwania hasła przez dodanie numeru telefonu możemy finalnie odzyskać konto (na które ktoś się włamał i zmienił nam hasło), ale nie ustrzeżemy się przed wyciekiem danych.

Czy warto skorzystać z tej metody, czy też lepiej przejść do coraz popularniejszego logowania bezhasłowego?

Przez logowanie bezhasłowe mamy na myśli na przykład logowanie za pomocą danych biometrycznych przy pomocy funkcji Windows Hello, czy też fizycznych kluczy zgodnych ze standardem FIDO2. Fizyczne klucze FIDO2 z pewnością są godne uwagi, ale nie gloryfikowalibyśmy logowania wyłącznie za pomocą danych biometrycznych bez dodatkowych zabezpieczeń. Dane biometryczne również mogą wyciec.

Na dziś dzień najprostszą, najskuteczniejszą i najtańszą metodą jest skorzystanie z weryfikacji dwuetapowej. Nawet najprostsze zabezpieczenie za pomocą SMS daje większe bezpieczeństwo niż logowanie wyłącznie za pomocą jednego hasła. Bardziej wiarygodne są aplikacje w rodzaju Authenticator, a najlepsze - fizyczne klucze U2F, które jednak kosztują parę złotych i trzeba je nosić przy sobie (zwykle mają formę małego pendrive'a).

Czy logowanie dwuetapowe sprawi, że mogą się poczuć w pełni bezpieczny?

Ta metoda znacznie zwiększy Twoje bezpieczeństwo, ale nie wszystkie jej odmiany mogą być uznane za 100% bezpieczne. Logowanie dwuetapowe to tylko jedna z licznych kwestii cyfrowego bezpieczeństwa, w które wchodzi również choćby szyfrowanie ruchu sieciowego i ochrona przed śledzeniem (VPN), szyfrowanie nośników z danymi, czy po prostu wiedza o takich zagrożeniach jak phishing (próby wyłudzenia danych).

Pamiętając o weryfikacji dwustopniowej nie można zaniedbać samych haseł, o które można zadbać za pomocą menedżera haseł jak choćby KeePassXC, czy LastPass.

Pamiętajcie również, że lockdown to okres zwiększonego ruchu w sieci i... zwiększonych wysiłków internetowych przestępców.

Może cię również zainteresować:

• Bez hasła to znaczy lepiej. I wie to coraz więcej osób
• MediaMarkt nie dopilnował danych swoich klientów
• Tak, Xiaomi zbiera dane o użytkownikach smartfonów. W czym problem, skoro tylko niektóre i zgodnie z prawem?