Bezpieczeństwo

Niewygodna, ale skuteczna - dlaczego warto używać weryfikacji dwuetapowej

z dnia
Marcin Jaskólski | Redaktor serwisu benchmark.pl
13 komentarzy Dyskutuj z nami

Weryfikacja dwuetapowa to podwójne sprawdzenie tożsamości (uwierzytelnianie) podczas logowania. Nie wystarczy podać samego hasła ale również ustalony drugi składnik - kod SMS lub aplikacji Authenticator, czy też umieścić klucz bezpieczeństwa w porcie USB.

Praktycznie każdy z nas zna weryfikację dwuetapową. Korzystacie z niej choćby w bankach, na których wykorzystanie tej metody wymusiła unijna dyrektywa. Gdy chcemy zalogować się do banku na nowym urządzeniu musimy nie tylko podać hasło, ale i potwierdzić to w mobilnej aplikacji. 

Lockdown ma te zalety, że pozwala nam się zająć rzeczami, na które wcześniej nie starczało nam czasu - choćby kwestią cyfrowego bezpieczeństwa. Skoro macie chwilkę to może przyswoicie kilka informacji o weryfikacji dwuetapowej? Dopóki mechanizmy logowania bezhasłowego i blokowania dynamicznego nie zostaną usprawnione, jest to najdoskonalsza metoda ochrony naszych kont przed włamaniem.

Dlaczego należy się obawiać włamania? Bo człowiek jest istotą niedoskonałą i często wykorzystuje jedno hasło do wielu kont. Jeśli internetowi przestępcy zdobędą twoje dane logowania do jednego serwisu, bądź pewien, że sprawdzą absolutnie wszystkie serwisy, by sprawdzić czy nie poszedłeś na łatwiznę.

Wszystko co musisz wiedzieć o weryfikacji dwuetapowej / uwierzytelnianie dwuskładnikowemu (2FA/MFA)

Jak działa weryfikacja dwuetapowa / uwierzytelnianie dwuskładnikowe?

Gdy logujesz się na konto musisz nie tylko podać hasło, ale i również dodatkowy kod wysyłany na inne urządzenie (np. smartfon) lub skorzystać z fizycznego klucza zabezpieczeń (np. podłączanego do USB zgodnego ze standardem FIDO U2F). Nawet jeśli ktoś zdobędzie hasło do twojego konta i tak nie będzie mógł się zalogować bez podania dodatkowego kodu.

W przypadku nieautoryzowanej próby logowania do konta otrzymasz powiadomienie i będziesz mógł nieśpiesznie i na luzie zmienić hasło, będąc spokojny o to, czy ktoś właśnie nie przegląda twoich danych.

Czego mogę użyć do weryfikacji dwuetapowej?

  • Smartfona - kody SMS
  • Smartfona - aplikacje do generowania kluczy jak Google Authenticator i Microsoft Authenticator, czy aplikacje autoryzacji mobilnej, np. banków
  • Tokenów OTP (kodów jednorazowych)
  • Fizycznych kluczy bezpieczeństwa (security key U2F) podłączanych do portu USB (np. Yubico Security Key czy HyperFIDO).

Klucz Yubico U2F
Najbardziej bezpieczną metodą jest wykorzystanie fizycznych kluczy U2F ze względu na generowanie dwóch kluczy szyfrujących - prywatnego i publicznego (kryptografia asymetryczna) (Źródło: Yubico)

To wygląda kłopotliwie, czy za każdym razem będę musiał podawać dwa hasła?

Nie, nie trzeba tego robić za każdym razem - gdy raz się zalogujesz na danym komputerze można go dodać do urządzeń zaufanych (jeśli jest to na przykład domowy komputer). W ten sposób po weryfikacji dwuetapowej, będziesz się mógł już logować jak dawniej za pomocą hasła.

Ale po co mi to, skoro ja na mailu, czy Dropboxie nie trzymam istotnych danych?

Trzeba sobie zdać sprawę z zagrożeń związanych z włamaniem na konto mailowe, dysków sieciowych, czy Google lub Facebooka.

Zastanówcie się przez chwile, czy nigdy nie przesyłaliście mailem czy do sieciowych dysków skanu ubezpieczenia na życie, deklaracji PIT, czy wręcz kopii paszportu czy dowodu osobistego (na wypadek zaginięcia fizycznego dokumentu)? Jeśli tak - to dane w nich zawarte wystarczą do kradzieży tożsamości .

Wszystko co kiedyś wysyłaliście mailem, wciąż może być na skrzynce w katalogu Wysłane. Złodziej może się nimi posłużyć choćby do wzięcia kredytu na twoje dane. A to tylko czubek góry lodowej, który może generować mnóstwo nieprzyjemnych, a często i kosztownych sytuacji. Włamanie na pocztę e-mail to nie błahostka i nie można tego bagatelizować.

Inną kwestią są osoby, które prowadzą swoje biznesy choćby w oparciu o zasoby Google, czy Facebooka - utrata dostępu do konta i wyciek danych może być naprawdę tragicznym dla firmy wydarzeniem.

Magazyn Osobisty w OneDrive
Jeśli już musisz trzymać ważne dane w chmurze, to korzystaj z magazynów osobistych z dwuetapową weryfikacją

Utrata konta Steam, Origin, Epic (który niedawno zaczął wymagać logowania dwuetapowego do odbioru darmowych gier), uPlay, Battlenet, czy GOG, dla wielu również może być przykra i kosztowna.

Jak włączyć weryfikację dwuetapową?

Wystarczy wejść w ustawienia Bezpieczeństwa, Logowanie i Bezpieczeństwo lub Konto / Sposoby Logowania. Jeśli dana usługa udostępnia weryfikację dwuetapową na pewno będą tam opcje wysyłania kodów SMS na numer telefonu, bądź potwierdzania przez aplikację (lub generator kodów). Niektóre usługi umożliwiają również weryfikację dwuetapową poprzez stosowanie fizycznego klucza FIDO U2F.

Weryfikacja dwuetapowa w Google
Konfigurowanie weryfikacji dwuetapowej w Google

Weryfikacja dwuetapowa w LinkedIn
Konfigurowanie weryfikacji dwuetapowej w Linked In

Weryfikacja dwuetapowa w Allegro
Konfigurowanie weryfikacji dwuetapowej w Allegro

Przy zakładaniu konta podałem numer telefonu do odzyskiwania hasła, czy to jest uwierzytelnianie dwuskładnikowe?

Nie. Dzięki opcji odzyskiwania hasła przez dodanie numeru telefonu możemy finalnie odzyskać konto (na które ktoś się włamał i zmienił nam hasło), ale nie ustrzeżemy się przed wyciekiem danych.

Czy warto skorzystać z tej metody, czy też lepiej przejść do coraz popularniejszego logowania bezhasłowego?

Przez logowanie bezhasłowe mamy na myśli na przykład logowanie za pomocą danych biometrycznych przy pomocy funkcji Windows Hello, czy też fizycznych kluczy zgodnych ze standardem FIDO2. Fizyczne klucze FIDO2 z pewnością są godne uwagi, ale nie gloryfikowalibyśmy logowania wyłącznie za pomocą danych biometrycznych bez dodatkowych zabezpieczeń. Dane biometryczne również mogą wyciec.

Na dziś dzień najprostszą, najskuteczniejszą i najtańszą metodą jest skorzystanie z weryfikacji dwuetapowej. Nawet najprostsze zabezpieczenie za pomocą SMS daje większe bezpieczeństwo niż logowanie wyłącznie za pomocą jednego hasła. Bardziej wiarygodne są aplikacje w rodzaju Authenticator, a najlepsze - fizyczne klucze U2F, które jednak kosztują parę złotych i trzeba je nosić przy sobie (zwykle mają formę małego pendrive'a).

Konfiguracja klucza zabezpieczeń w Dropbox

Czy logowanie dwuetapowe sprawi, że mogą się poczuć w pełni bezpieczny?

Ta metoda znacznie zwiększy Twoje bezpieczeństwo, ale nie wszystkie jej odmiany mogą być uznane za 100% bezpieczne. Logowanie dwuetapowe to tylko jedna z licznych kwestii cyfrowego bezpieczeństwa, w które wchodzi również choćby szyfrowanie ruchu sieciowego i ochrona przed śledzeniem (VPN), szyfrowanie nośników z danymi, czy po prostu wiedza o takich zagrożeniach jak phishing (próby wyłudzenia danych).

Menedżer haseł KeePassXC

Pamiętając o weryfikacji dwustopniowej nie można zaniedbać samych haseł, o które można zadbać za pomocą menedżera haseł jak choćby KeePassXC, czy LastPass.

Pamiętajcie również, że lockdown to okres zwiększonego ruchu w sieci i... zwiększonych wysiłków internetowych przestępców.

Może cię również zainteresować:

Komentarze

13
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Markus2
    Świetny artykuł. Dodałbym jeszcze, że konto pocztowe google jako jedno z nielicznych (darmowe) pozwala na dołączenie do weryfikacji dwuetapowej klucza U2F. Mam tak podpięte 2 klucze Yubikey. Wszystkie pozostałe metody weryfikacji mam powyłączane. Jestem skłonny ustanowić nagrodę w wysokości, strzelam 1 tys. zł za włam na moje konto google. Ktoś podejmie rękawicę?
  • avatar
    Damian_jo
    Macie jakiś ciekawy artykuł na temat wprowadzenia właśnie managera haseł? Obowiązkowo darmowy i prosty w obsłudze, android i windows. Mam co prawda ze 4-5 zamiennych haseł ale niestety stron / aplikacji dużo więcej. Chciałbym zamienić hasła na losowe a i bezpieczne i mieć to pod 1 plikiem czy jeszcze lepiej online. Potem dorzuciłbym logowanie dwuetapowe. W telefonie co prawda korzystam z Samsung Pass ale działa tylko i wyłącznie w aplikacjach i ichniejszej przeglądarce a Windowsowi nie wierzę.
  • avatar
    Kenjiro
    Autor kompletnie pominął fakt, że na prawie żadnej witrynie nie mamy dowolnego wyboru opcji 2FA, tylko kilka, np. tylko email + SMS, albo tylko GA + email + SMS, a na palcach jednej ręki można policzyć witryny, które dają możliwość podłączenia klucza sprzętowego.

    Poza tym w źle ustawione 2FA potrafi zrobić więcej złego niż dobrego, np. dodanie wyłącznie jednego klucza sprzętowego, a co powinno być niedozwolone (tzn. 2FA z kluczem sprzętowym nie powinno działać dopóki nie dodasz minimum 2 kluczy). Tak samo 2FA tylko na email, gdy stracisz dostęp do adresu (choćby serwer padnie), to tracisz dostęp do konta, analogicznie tylko SMS, nie masz chwilowo telefonu (np. koniec baterii), to nie masz konta.
    Pół biedy, gdy masz *działające* jakieś inne urządzenie "zaufane", ale nie znam dostawcy/witryny, która by wymagała dodania 2 niezależnych.

    W skrócie, 2FA - tak, ale tylko przy dobrej implementacji, a tej ze świecą szukać...
  • avatar
    pablo11
    Nie udostępniam w internecie karty kredytowej nikomu i nigdzie. Włamanie na jedno z kont miałem raz w życiu(na gadu gadu), nauczyłem się wtedy, że hasło musi być trudne do odgadnięcia. Wymuszona weryfikacja 2 stopniowa to dla mnie marnowanie mojego czasu. W ciągu ostatnich lat raz straciłem konto, właśnie przez wymuszoną weryfikacje 2 stopniową, bo w związku z dużym ruchem sieciowym podczas epidemii. Kod weryfikacyjny przychodzi mi na emaila z dniowym opóźnieniem, a sesja weryfikacji wygasa po mniej niż godzinie. Pisałem do supportu, jak opóźnienia emaila były po kilkanaście minut, odpisali, że nie mogą wyłączyć weryfikacji 2 stopniowej.
    Trudność hasła ustalam na podstawie ważności konta, bo co komu po włamie na moje konto na benchmarku ?? Do banku faktycznie weryfikacja 2 stopniowa ma sens. Poza tym, kradzież większości kont nie robi na mnie jakiegoś większego wrażenia, szczegolnie, że i tak większość jest już zabezpieczona emailem. W swoim życiu spotkałem się częściej z problemami z nadmiarem zabezpieczeń, niż ich brakiem.

    A do kradzieży kont np. na Steam i tak najczęściej dochodzi z pominięciem jakiejkolwiek weryfikacji.
  • avatar
    Hrakiri
    Tylko co z tego że jest zabezpieczenie jak włam na server będzie i tak dane wypłyną
    -3