Założę się, że każdego dnia logujesz się do różnych serwisów przynajmniej kilkukrotnie. Do swojej bankowości internetowej, do poczty elektronicznej, do serwisów społecznościowych, do wielu kont na forach internetowych… Pewnie często robisz to automatycznie, nierzadko wręcz z zamkniętymi oczami. Mam jednak nadzieję, że zauważyłeś, że sposób logowania czasami różni się w poszczególnych serwisach – jest mniej lub bardziej złożony, a co za tym idzie mniej lub bardziej bezpieczny. O czym mówię? O tzw. dwustopniowej weryfikacji. Dziś postaram się wyjaśnić Ci, jak zabezpieczyć dostęp do swoich kont, a dokładniej rzecz ujmując do swoich poufnych danych, dokumentów i pieniędzy.
Czym jest uwierzytelnianie dwuskładnikowe?
Standardowo przy logowaniu jesteś proszony o podanie swojego loginu i hasła. Oczywiście im bardziej złożone (i koniecznie unikalne!) hasło, tym lepiej, ale wcale nie oznacza to, że taka jednopoziomowa weryfikacja stanowi skuteczne zabezpieczenie dostępu do Twojego konta.
Wyobraź sobie, że ktoś nieuprawniony wejdzie w posiadanie Twoich danych uwierzytelniających. Słabo, prawda? Kilka chwil i Twoje dane osobowe mogą trafić w niepowołane ręce. Na szwank może być narażone również Twoje dobre imię. Wyobraź sobie, że ktoś wykrada Twoje hasło do Facebooka i zaczyna wyłudzać od Twoich znajomych pieniądze za pośrednictwem BLIK-a . Założę się, że wolałbyś tego uniknąć. Już wyjaśniam, jak możesz zminimalizować ryzyko realizacji takiego lub podobnego scenariusza.
Rozwiązaniem, które chciałem Ci przedstawić jest oczywiście dwustopniowa weryfikacja, określana też jako wielostopniowe uwierzytelnianie. Choć brzmi dość intrygująco nie jest to nic, czego powinieneś się obawiać. Poradzisz sobie z jej wdrożeniem bez dyplomu informatyka. Na czym polega dwuskładnikowe uwierzytelnianie? Jak sama nazwa wskazuje obejmuje dodatkowy poziom weryfikacji. Oznacza to, że logując się na swoje konto podajesz nie tylko login i hasło, ale i dodatkowo (w kolejnym etapie) przesłany SMS-em lub mailem kod. Oczywiście znane są również inne scenariusze – weryfikacja przy pomocy urządzenia mobilnego (telefonu czy tabletu), skanera linii papilarnych, tokena, specjalnej karty, klucza bezpieczeństwa itd.
Mówiąc o wielopoziomowym uwierzytelnianiu (MFA, ang. multi-factor authentication) warto w tym miejscu wyjaśnić istotne skróty, z którymi możesz się spotkać w wielu artykułach:
- 2FA (ang. Two-Factor Authentication) – to nic innego jak weryfikacja dwuetapowa, której poświęcony jest ten artykuł;
- U2F (ang. Universal 2nd Factor) – to również dodatkowa warstwa uwierzytelniania (jedna z metod 2FA), jednak realizowana offline – tj. przy pomocy np. fizycznego klucza bezpieczeństwa.
Bezsprzecznie wdrożenie jakiegokolwiek wariantu 2FA jest rozwiązaniem nieporównywalnie bezpieczniejszym niż pozostanie jedynie przy loginie i haśle. Pewnie zastanawiasz się teraz na jaki wariant weryfikacji dwuetapowej postawić – online czy offline? Odpowiedź jest prosta – U2F! Uwierzytelniając się przy pomocy fizycznego klucza bezpieczeństwa przenosisz zabezpieczenia na zupełnie nowy poziom.
Czy jest się czego bać?
Niestety większość z nas bagatelizuje internetowe zagrożenia, tymczasem jak najbardziej jest się czego bać. Nasze życie coraz bardziej przenosi się do sieci. Coraz więcej spraw jesteśmy w stanie załatwić online i coraz chętniej korzystamy z tych możliwości. Oszczędzamy wprawdzie czas, ale jednocześnie wystawiamy się na dodatkowe ryzyko.
Uzyskując dostęp do Twojej skrzynki pocztowej cyberprzestępca nie tylko wchodzi w posiadanie wielu poufnych informacji na Twój temat. Może również w prosty sposób zmienić dane dostępowe do wielu kont, które są z Twoją skrzynką powiązane.
Z pewnością doskonale zdajesz sobie sprawę z tego, że momencie, gdy zapomnisz hasła do swojego konta, możesz skorzystać z opcji jego odzyskania. Operacji tej zwykle dokonuje się z udziałem poczty email. Otrzymujesz maila z linkiem, którego kliknięcie potwierdza chęć zmiany hasła. W kolejnym kroku jedynie wprowadzasz nowe hasło. Mam nadzieję, że choć trochę otworzyłem Ci oczy?
Czy rzeczywiście dwustopniowa weryfikacja tak istotnie podnosi poziom zabezpieczeń i pozwala ustrzec się przed wieloma problemami? Doskonale potwierdza to raport Google, przygotowany we współpracy z Uniwersytetem Nowojorskim i Uniwersytetem Kalifornijskim, dotyczący ataków w sieci. Dodanie do konta Google numeru telefonu jako elementu dwuskładnikowej weryfikacji pozwoliło na zablokowanie:
- 100% ataków z wykorzystaniem botów;
- 99% ataków phishingowych;
- 66% ataków ukierunkowanych.
Przyznaj sam, że liczby te mogą robić wrażenie. Jeśli zatem nie uruchomiłeś jeszcze dwuskładnikowej weryfikacji na swoim koncie Google, koniecznie jak najszybciej napraw ten błąd. Zwłaszcza, jeśli korzystasz z Dysków Google i przechowujesz tam wrażliwe dokumenty. Sprawdź też możliwości dot. uruchomienia dwuskładnikowej weryfikacji na innych swoich kontach!
Gdzie możesz się spotkać z dwustopniową weryfikacją?
Myśląc o dwuskładnikowej weryfikacji z pewnością na myśl przychodzi Ci proces logowania się do bankowości internetowej. W pierwszym kroku podajesz login i hasło (nierzadko maskowane), zaś w kolejnym jednorazowy kod, otrzymany SMS-em lub udostępniony w aplikacji. W ten sposób wygląda pierwsze logowanie – po zweryfikowaniu swojego urządzenia, cały proces kończyć się będzie na podaniu loginu i hasła. Dodatkowo weryfikować będziesz jednak musiał większość transakcji.
Banki odpowiadają za bezpieczeństwo zdeponowanych przez nas pieniędzy, więc szereg zabezpieczeń i częste wdrożenia kolejnych nie powinny Cię dziwić. Nie oznacza to jednak, że z dwustopniową weryfikacją spotkasz się jedynie w bankach. Wbrew pozorom serwisów wykorzystujących wielopoziomową weryfikację jest naprawdę sporo:
- Allegro,
- WhatsApp,
- Facebook,
- Google,
- Microsoft,
- Twitter,
- Dropbox.
Wymieniać można naprawdę długo, ale jak pewnie zauważyłeś są to przede wszystkim serwisy, w których pozostawiasz wiele poufnych informacji – swoje dane osobowe, szczegóły zawieranych transakcji, ważne dokumenty itd. Jeśli posiadasz konta w powyższych serwisach (lub innych podobnych) i nie korzystasz z dwuskładnikowej weryfikacji musisz być świadomy tego, że wiele ryzykujesz.
Jak w praktyce działa dwuskładnikowa weryfikacja w przypadku przedstawionych powyżej kont? Co do zasady odbywa się przy wykorzystaniu:
- jednorazowych kodów czasowych,
- haseł SMS-owych,
- kodów ustanawianych w aplikacji (np. WhatsApp),
- kluczy bezpieczeństwa (U2F).
Założę się, że z części z nich już korzystałeś. Mam rację? Banki najczęściej wysyłają SMS-y lub „kontaktują się” z posiadaczem konta poprzez aplikację mobilną, jednak w przypadku innych kont najczęściej wykorzystywane są aplikacje dostarczane przez podmioty trzecie – Microsoft lub Google. Korzystają z nich również duże korporacje, które obawiają się wycieku danych i na ogół dużych kar finansowych z tym związanych. Osobiście spotkałem się z koniecznością weryfikacji dostępu do wielu aplikacji co dwa dni!
Korzystanie z takiej aplikacji jest wygodne o tyle, że można do niej podpiąć kilka kont i tym samym z jednego poziomu weryfikować dostęp do wielu różnych serwisów. Jak działa to w praktyce? Uruchamiając dwuskładnikową weryfikację w konkretnym serwisie masz zwykle do wyboru kilka możliwości. Jeśli zdecydujesz się na wybór aplikacji jako metody weryfikacji prawdopodobnie zobaczysz kod QR, który wystarczy zeskanować. Prawda, że proste?
Pozostając w temacie zabezpieczeń, chciałbym wspomnieć o dodatkowych czynnikach zabezpieczających, dzięki którym Twoje konto jest chronione jeszcze skuteczniej. O czym konkretnie mówię? Przede wszystkim o:
- ograniczonym czasie na potwierdzenie operacji,
- geolokalizacji,
- konieczności weryfikacji urządzenia.
Nie będą szczegółowo opisywał każdej z wymienionych metod, gdyż z pewnością miałeś już okazję się z nimi spotkać. Na wprowadzenie kodu weryfikacyjnego nierzadko masz zaledwie kilkadziesiąt sekund – po tym czasie staje się on bezużyteczny. Oczywiście możesz go wygenerować na nowo, ale skuteczne logowanie wymagać będzie praktycznie jednoczesnego wprowadzenia kompletu danych – loginu, hasła i właśnie tymczasowego kodu.
Geolokalizacja oraz konieczność weryfikacji urządzenia działają dość podobnie. Jeśli posiadasz konto na Gmailu to musisz wiedzieć, że wszystkie próby logowania są szczegółowo zapisywane – pośród przechowywanych informacji znajdziesz nie tylko ich datę i godzinę, ale również szczegóły dotyczące lokalizacji oraz urządzenia wykorzystywanego podczas logowania. Sprawdzanie poczty podczas urlopu lub przy pomocy nowego urządzenia zostanie poprzedzone odpowiednim komunikatem oraz alertem mailowym o logowaniu z nowego urządzenia lub z nowej lokalizacji.
A może klucz bezpieczeństwa?
Wiesz już jak ważna jest dwuskładnikowa weryfikacja. Ba! Jak jest niezbędna, by skutecznie chronić Cię przed coraz liczniejszymi i bardziej wyrafinowanymi atakami w sieci. Wiesz też, że może ona być prowadzona na dwóch płaszczyznach – online i offline. Jak w praktyce wygląda 2FA starałem się opisać powyżej. Teraz chciałbym się skupić na wariancie U2F, który zyskuje coraz większe grono zwolenników.
O co chodzi? O klucze bezpieczeństwa, które zapewniają bardzo wysoki poziom zabezpieczeń i chronią przed włamaniem znacznie lepiej niż weryfikacja dwuskładnikowa z wykorzystaniem maila czy aplikacji. Dlaczego lepiej?
Wyobraź sobie, że logujesz się do swojej skrzynki pocztowej, na której masz ustawiony drugi poziom weryfikacji – powiedzmy SMS-owy. O ile na znajdujesz się na celowniku cyberprzestępcy Twoje logowanie odbędzie się bez przeszkód i dodatkowych szkód. Co jednak w sytuacji, kiedy sesja zostanie przechwycona lub staniesz się ofiarą tak powszechnego dziś phishingu? Mimo dodatkowych zabezpieczeń nie zdołasz się w każdej sytuacji ustrzec przed ryzykiem.
I właśnie tu z pomocą przychodzi klucz zabezpieczeń. Z jego pomocą możesz logować się do dowolnej liczby kont i usług internetowych i to bez konieczności instalowania oprogramowania czy sterowników.
Technologię opracowała szwedzka firma Yubico we współpracy z Google i przy wsparciu z organizacji Fast IDentity Online Alliance, promującej biometryczne metody identyfikowania użytkowników. Opiera się ona na metodzie wykorzystującej parę kluczy (publiczny i prywatny), by stworzyć unikalny i odpowiednio zaszyfrowany identyfikator dla każdej usługi logowania. Tak zaawansowana technologia zamknięta jest w niewielkim urządzeniu przypominającym pendrive. Wystarczy włożyć go do portu USB, włączyć dedykowanym przyciskiem i w ten sposób bezpiecznie się zalogować.
Pewnie myślisz sobie teraz, że może i taka forma zabezpieczenia jest skuteczniejsza od metod online, ale co w sytuacji, gdy zgubisz klucz. Jest niewielki, więc jest to wielce prawdopodobne. Twoje obawy są jednak zupełnie niepotrzebne! Konfigurując U2F na konkretnym koncie Yubikey generuje parę kluczy, jednak nie zapisuje ich lokalnie, ale bezpośrednio w serwisie. Jeśli zgubisz klucz lub ktoś Ci go ukradnie, nikt nie będzie w stanie odczytać z niego żadnych informacji.
Jesteś roztrzepany i obawiasz się, że możesz zgubić klucz? Część kluczy (np. Google Titan Key) sprzedawanych jest w parach, dzięki czemu minimalizujesz ryzyko tymczasowej utraty dostępu do konta. Dokładnie tak samo jak w przypadku jak w przypadku zapasowych kluczyków do samochodu – przyznaj, że niejednokrotnie Ci się przydały?
Jaki klucz wybrać i dlaczego jest to Yubikey?
Jesteś już świadomy, że klucz bezpieczeństwa gwarantuje najwyższy poziom bezpieczeństwa, więc pewnie zastanawiasz się teraz, który wybrać i jak zacząć go używać. Zacznijmy od rekomendacji. Wspomniałem w poprzednim akapicie, że za technologią U2F stoi firma Yubico. Między innymi z tego względu korzystanie z ich kluczy – Yubikey – wydaje się być najbardziej rozsądną opcją.
Przede wszystkim ze względu na swoje zaawansowanie technologiczne, ale nie tylko .Wspomnieć muszę również o niewielkich rozmiarach i wygodnej formie – możesz go przypiąć do kluczy do mieszkania lub samochodu. Yubikey nie wymaga zasilania (wykorzystuje energię urządzenia) ani teżinstalowania jakiegokolwiek oprogramowania czy sterowników. Wystarczy, że go kupisz i zaczniesz korzystać. Jest na tyle prostym urządzeniem, że z jego używaniem poradzi sobie każdy – nawet osoby bez jakiejkolwiek wiedzy na temat bezpieczeństwa i szyfrowania.
Musisz też wiedzieć o pewnych ograniczeniach. Yubikey współpracuje wprawdzie z każdym systemem operacyjnym (w tym również Linuxem), ale nie z każdą przeglądarką. Jeśli od dawna nie aktualizowałeś swojego Chrome’a, Opery lub Firefoxa, będziesz do tego zmuszony. Pamiętaj też, że Yubikey nie współpracuje z wszystkimi serwisami. Ich lista jest ograniczona, jednak obejmuje to, co najważniejsze – Facebook, Twitter, Google, Microsoft, GitHub, Dropbox itd.
Ile kosztuje Yubikey? W ofercie firmy znajdziesz wiele różnych modeli, więc musisz liczyć się z tym, że ceny są mocno zróżnicowane. Za najprostszy, budżetowy klucz zapłacisz jedynie 20 dolarów. Te bardziej zaawansowane to już wydatek 50-70 dolarów. By zapoznać się ze szczegółami, koniecznie zajrzyj na stronę producenta: https://www.yubico.com/store/
Masz już klucz i co teraz?
Trzymasz już w ręce swój nowiuteńki klucz i zastanawiasz się właśnie jak go użyć? Wbrew pozorom cała procedura jest bardzo prosta. Wybierz jeden z serwisów, w których możesz wykorzystać klucz bezpieczeństwa jako element dwuskładnikowej weryfikacji, przejdź do opcji zabezpieczeń/bezpieczeństwa i postępuj zgodnie z instrukcjami.
Przeprowadzę Cię przez cały proces na przykładzie konta Google, z którego prawdopodobnie korzystasz. Zajmie Ci to dosłownie kilka chwil:
- Zaloguj się na swoje konto Google.
- Kliknij na swój inicjał w prawym górnym rogu i kliknij „Zarządzaj kontem Google”.
- W panelu po lewej stronie wybierz zakładkę „Bezpieczeństwo”.
- W sekcji „Logowanie się w Google” włącz weryfikację dwuskładnikową.
- Zostaniesz poproszony o ponowne zalogowanie się do swojego konta.
- Kliknij „Rozpocznij”, by przejść do szczegółów.
- Pomiń etap konfiguracji telefonu i kliknij „Wybierz inną opcję”.
- Wybierz z listy „klucz bezpieczeństwa”.
- Włóż swój klucz do portu USB i go uruchom.
- Nadaj nazwę swojemu kluczowi i kliknij „Gotowe”.
Przeniosłeś właśnie poziom swoich zabezpieczeń na zupełnie nowy poziom. Możesz być z siebie dumny!
Co to jest ransomware? Jak się chronić?
Jak zmienić datę utworzenia pliku na Windows i Mac – narzędzia, metody i porady
Jak się nauczyć baz danych NoSQL? Wskazówki na początkujących
Jak naprawić błąd system service exception i unikać błędów BSOD?
Jak skutecznie wygasić ekran za pomocą skrótu klawiaturowego?
Jak skutecznie przeprowadzić formatowanie dysku – poradnik dla Windows i macOS
Jak sprawdzić, czy telefon jest zrootowany – metody i znaki rozpoznawcze
Co to jest port 22? Jak zabezpieczyć port 22 i SSH przed atakami brute force?