Klucz U2F – co to jest?
Oszuści, korzystając ze spamu mailowego, wiadomości SMS czy reklam, zasypują nas codziennie dziesiątkami fałszywych linków, które prowadzą do podrobionych stron. Ich celem jest przejęcie konta użytkownika — często niestety skutecznie. Obecnie samo hasło nie jest wystarczającym zabezpieczeniem, a kody weryfikacyjne, będące elementem 2FA, również mogą znaleźć się w rękach oszustów.
ING jako jeden z pierwszych polskich banków wprowadza dodatkowe zabezpieczenie w postaci klucza U2F (z ang. Universal 2 Factor). Poniżej dowiesz się, czym jest, jak działa i… czy warto z niego korzystać.
Klucz U2F to małe urządzenie, przypominające pendrive — może być przypięte do breloka lub znajdować się w portfelu. Stanowi zabezpieczenie sprzętowe i jest elementem uwierzytelnienia dwuskładnikowego. Co ważne, skutecznie chroni w przypadku phishingu. Urządzenie łączy się za pomocą USB, a często też przez NFC.
Uwierzytelnienie dwuskładnikowe (z ang. Two Factor Authentication, w skrócie 2FA) to element zabezpieczenia, który służy weryfikacji logującego się użytkownika na dwóch poziomach identyfikacji. Na 2FA składa się zazwyczaj hasło (czyli coś, co znasz) i druga, dodatkowa metoda, np. smartfon z kodem SMS, aplikacją uwierzytelniającą lub właśnie klucz sprzętowy (coś, co fizycznie posiadasz).
Dlaczego ten “pendrive” jest lepszy niż kod SMS? Roztargniony użytkownik, korzystając z fejkowej strony, może podać nie tylko swoje hasło, ale również kod weryfikacyjny. Jeśli wpisał hasło, to nic nie powstrzyma go przed podaniem reszty informacji na tacy.
Czy warto więc używać klucza U2F? Tak! To rozwiązanie zastępuje kody uwierzytelniające i w ten sposób zdecydowanie zwiększa bezpieczeństwo logowania. Zadziała tylko na stronie, na której został wcześniej dodany. Użytkownik może zostać oszukany, klucz sprzętowy — nie. Tego typu logowanie jest coraz częściej wybierane, a włączone zostało już przez firmy takie jak Google, Facebook, Twitter, dostawców usług pocztowych (np. WP i Onet), niektóre banki spółdzielcze, a teraz także ING.
U2F — Pytania i Odpowiedzi
Kto i gdzie może użyć klucza U2F?
Klucza może użyć każdy, kto go posiada — jeśli tylko strona lub usługa wspiera to rozwiązanie.
Jak wygląda logowanie kluczem?
Wchodząc na stronę www, należy wpisać swój login i hasło oraz zatwierdzić logowanie kluczem U2F (włożyć go do portu). To tyle! Jeśli strona nie jest autentyczna, nie dojdzie do uwierzytelnienia.
Czy korzystając z tego rozwiązania, moje konta są w 100% bezpieczne?
Niestety nie 🙁 Klucz chroni przed phishingiem, ale nadal jesteśmy narażeni na działanie złośliwego oprogramowania, które może np. wykraść sesję użytkownika. Dlatego tak ważne jest, żeby nie instalować programów i aplikacji z niepewnych źródeł i nie otwierać nieznanych załączników z poczty e-mail.
Czy muszę mieć go zawsze ze sobą?
Nie, nie ma takiej konieczności. Logując się na stronie z użyciem klucza, możesz zapamiętać logowanie na danym urządzeniu.
Rada CyberRescue: Dobrym pomysłem jest posiadanie dwóch kluczy. Jeden noś zawsze przy sobie (nigdy nie wiesz, kiedy może okazać się potrzebny), a drugi miej ukryty w sekretnym miejscu.
Gdzie kupić klucz?
Klucz można zakupić na stronie producenta Yubico lub sklepach takich jak X-kom. Ceny zaczynają się od około 160 złotych.
Co, jeśli zgubię swój klucz?
Nawet jeśli go zgubisz, to sam klucz nie wystarczy do zalogowania się na stronie. Nieuczciwy znalazca musiałby dodatkowo znać twój login i hasło. W takiej sytuacji koniecznie pamiętaj o odłączeniu utraconego klucza ze wszystkich swoich profili.
Czy dane z klucza mogą zostać skradzione lub sklonowane?
Nie, przechowywane dane nie mogą zostać wykradzione z urządzenia.