Weryfikacja dwuetapowa – co to jest i dlaczego warto ją mieć?
Pewnie nieraz w naszych postach i artykułach widzieliście zalecenie włączenia weryfikacji dwuetapowej. O tym, że w dzisiejszym świecie hasło, nawet silne i unikalne, nie jest wystarczające, żeby czuć się bezpiecznie w sieci, wie już chyba każdy. Czym w takim razie jest ta mityczna dwuetapowa weryfikacja, dlaczego warto ją mieć i czy pomimo jej posiadania nadal jesteśmy tak bezpieczni, jak mogłoby się wydawać?
Na początek trochę teorii
Uwierzytelnienie to proces weryfikacji użytkownika i oceny, czy posiada prawo do przeglądania wskazanej treści. Po podaniu poprawnych danych uwierzytelniających (zazwyczaj login i hasło), otrzymuje się dostęp do systemu lub usługi.
Uwierzytelnianie wieloskładnikowe (z ang. multi-factor authentication, MFA) polega na skorzystaniu z kilku mechanizmów weryfikacji, na które mogą składać się przynajmniej dwa z możliwych trzech etapów:
- Coś co wiesz (z ang. something you know) czyli hasło, kod, PIN
- Coś co masz (z ang. something you have) czyli telefon, tablet, aplikacja, klucz U2F, karta z czipem
- Coś czym jesteś (z ang. something you are) czyli odcisk palca, skan siatkówki gałki ocznej, obraz twarzy
Najczęściej w procesie uwierzytelniania mamy do czynienia z 2 etapami. Wykorzystanie naraz wszystkich 3 mechanizmów jest dość rzadkie.
Uwierzytelnianie dwuskładnikowe (z ang. two-factor authentication, 2FA) to rodzaj weryfikacji, składającej się z dwóch elementów – np. hasła (pierwszy etap) i kodu otrzymanego na telefon, generowanego w aplikacji lub klucza fizycznego (drugi etap). Inne występujące nazwy to weryfikacja dwuetapowa lub logowanie dwupoziomowe.
Jak działa 2FA i co należy “mieć”?
Weryfikacja dwuetapowa jest bardzo prosta. W czasie logowania na swoje konto w bankowości internetowej, portalu społecznościowym lub na innych stronach, posiadających to zabezpieczenie, należy w pierwszej kolejności wpisać login (identyfikator, adres e-mail) i hasło. Pomyślne przejście pierwszego etapu powoduje pojawienie się okna, w którym należy podać np. posiadany lub wygenerowany kod. Jeśli będzie prawidłowy, logowanie zakończy się pomyślnie, a użytkownik otrzyma dostęp do treści na stronie, na której się zalogował.
Co może być użyte jako drugi składnik logowania? Sposobów na przejście drugiego etapu uwierzytelnienia jest kilka:
- Otrzymanie kodu w wiadomości SMS lub e-mail
- Przepisanie wygenerowanego kodu z dedykowanej aplikacji
- Odebranie połączenia telefonicznego i wysłuchanie ciągu cyfr
- Zaakceptowanie otrzymanego powiadomienia push w aplikacji
- Podanie jednego z posiadanych kodów jednorazowych
- Potwierdzenie logowania kluczem sprzętowym U2F – więcej o kluczu przeczytasz w tym artykule na naszej stronie!
W większości przypadków strony oferują wybór spośród dwóch lub trzech metod na otrzymanie kodu weryfikacyjnego lub dodanie klucza zabezpieczeń. W przypadku zabezpieczenia sprzętowego warto posiadać 2 zarejestrowane klucze.
Taki proces logowania może wydawać się uciążliwy, ale w większości portali istnieje możliwość dodania urządzenia do zaufanych. Dzięki temu rozwiązaniu nie ma konieczności przechodzenia procedury weryfikacji dwuetapowej przy każdym logowaniu. Pamiętaj, żeby jako zaufane dodać jedynie swoje urządzenia. Nigdy nie rób tego w przypadku komputerów w miejscach publicznych!
Uwierzytelnianie dwuskładnikowe zostało już wdrożone u wielu znanych usługodawców, a lista stron, umożliwiających włączenie tego zabezpieczenia, cały czas się wydłuża. W niektórych przypadkach 2FA jest obligatoryjne, jednak zazwyczaj użytkownik sam może zdecydować czy je włączyć. Gdzie można (i należy) włączyć dodatkowe zabezpieczenia przy logowaniu? Przede wszystkim: Google, Facebook, Instagram, Twitter, WhatsApp czy LinkedIn. Większość dostawców usług poczty elektronicznej również oferuje taką możliwość.
Obok weryfikacji dwuetapowej nadal należy posiadać silne i unikalne hasło oraz korzystać z menedżerów haseł.
Czy 2FA może zawieść?
Niestety tak. Nie ma rozwiązań niezawodnych! Zwłaszcza jeśli do czynienia mamy ze złośliwym oprogramowaniem, które jest w stanie wykraść sesję użytkownika.
Przykład? Na fali popularności rozwoju sztucznej inteligencji i aplikacji ChatGPT, na Facebooku pojawiały się fałszywe posty, kierujące do stron, umożliwiających pobranie rzekomego czatu na system Windows. Nieświadomy użytkownik pobiera z fałszywej strony archiwum, które jest zabezpieczone hasłem. Dzięki temu plik, najczęściej ściągnięty jako ChatGPT.rar (zdarzają się też inne wariacje jego nazwy i użytej metody archiwizacji, np. ChatGPT-Stripped.zip), zostanie pominięty przez programy antywirusowe.
Po rozpakowaniu skompresowanej paczki, oczom ofiary ukazuje się folder, zawierający plik wykonywalny, z rozszerzeniem .msi. Jego otwarcie rozpoczyna proces instalacji złośliwego oprogramowania. Jeśli go uruchomisz, szkodnik jest w stanie wykraść Twoją sesję logowania na Faceboku i przejąć dostęp do Twojego konta.
Szkodliwej działalności tego programu nie powstrzyma ani silne hasło, ani żadne dodatkowe zabezpieczenie w postaci kodu, klucza sprzętowego czy biometrii. To zupełnie inny rodzaj ataku, pomijający mechanizm logowania w serwisie.
Czy to znaczy, że jednak nie warto korzystać z weryfikacji dwuetapowej? Oczywiście, że nie 🙂 Przykład pokazuje, że warto stosować wszystkie podstawowe zasady bezpieczeństwa, a nie tylko wybrane z nich. Tutaj przed niebezpieczeństwem powinna uchronić nas jedna z żelaznych reguł cyberbezpieczeństwa: nigdy nie instalujemy programów i aplikacji z nieznanych źródeł, ani nie otwieramy załączników w mailach, które z jakiegokolwiek powodu są nam nieznane lub budzą nasze podejrzenia.
Warto włączyć?
Tak! Jeśli posiadasz konto na stronie, która umożliwia włączenie dodatkowych zabezpieczeń, to jak najbardziej należy włączyć taką opcję!
Wprowadzenie logowania wieloskładnikowego wynika z łatwości, z jaką może dojść do poznania hasła innej osoby. Sytuacje, w których dane uwierzytelniające zostały wykradzione, wyłudzone z zastosowaniem socjotechniki, ujawnione przez przypadek lub po prostu złamane, są niestety na porządku dziennym. Hasło, nawet silne, nie jest już gwarantem wystarczającego zabezpieczenia informacji, które powinny być dostępne tylko dla określonych osób.
Weryfikacja dwuetapowa w dużym stopniu rozwiązuje problem zdobycia hasła przez osoby niepowołane. Jednak oszuści i na to próbują znaleźć rozwiązanie. Starają się wyłudzić nie tylko hasła, ale również kody weryfikacyjne użytkownika. Dlatego ważne jest, aby umieć skutecznie rozpoznać phishing. Dzięki temu unikniesz wpisywania kodów uwierzytelniających na spreparowanych, fałszywych witrynach internetowych.
Jeśli nie masz pewności co do wiarygodności serwisu, na to też jest rozwiązanie. Zabezpieczenie sprzętowe, czyli klucz U2F, zapewnia bezpieczeństwo logowania, ponieważ nie da się go oszukać. Urządzenie nie zatwierdzi logowania na podrobionej stronie, zgodnie z zasadą – człowieka można oszukać, maszyny nie. Więcej o kluczu U2F możesz przeczytać tutaj – https://cyberrescue.info/klucz-u2f-co-to-jest.
Pamiętaj!
2FA powinno być włączone wszędzie tam, gdzie jest to możliwe! Nawet jeśli nie możesz sobie pozwolić na zakup klucza sprzętowego, to koniecznie użyj nawet najprostszej metody potwierdzenia logowania kodem – czyli wiadomości SMS (lub skorzystaj z aplikacji, np. Google Authenticator czy Microsoft Authenticator).
Ważna rada na koniec
Jeśli włączasz weryfikację dwuetapową na swoim koncie, prawdopodobnie otrzymasz kilka jednorazowych kodów, pozwalających na logowanie – zachowaj je i dobrze ukryj, na wypadek gdyby zdarzyło się, że stracisz możliwość podania otrzymanego lub wygenerowanego kodu! Zalogowanie się bez drugiego elementu weryfikacji może być trudne lub nawet niemożliwe (wszak właśnie po to powstało to zabezpieczenie).