Przeskocz do treści

Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnianie?

Skan palcaZałóżmy, że masz skrzynkę e-mail w serwisie ABC. Używasz jej codziennie, są tam wszystkie Twoje maile. Pewnego dnia okazuje się, że nastąpiło włamanie na serwery ABC - wykradziono loginy i hasła użytkowników. Twoje dane do logowania również wyciekły. Szybko logujesz się na swoje konto przez stronę internetową, aby zmienić hasło, ale nie możesz - przestępcy zalogowali się wcześniej i już zmienili je na inne. Czujesz strach, bo straciłeś swoje maile, natomiast gorsze jest to, że ktoś inny uzyskał do nich dostęp. Podobna historia może się wydarzyć z Twoim kontem na Facebooku, Twitterze, czy Snapchacie.

Czy można było temu zapobiec?

Tak! Niektóre serwisy, oprócz loginu i hasła, umożliwiają zastosowanie tzw. dodatkowego składnika do logowania czy autoryzacji. Np. podczas logowania do poczty na nowym urządzeniu, oprócz loginu i hasła, dodatkowo podajemy kod (np. otrzymany SMSem). Kod ten generowany jest "na bieżąco" (nie jest przechowywany po stronie serwisu pocztowego), dlatego w przypadku wycieku danych, przestępcy nie mogą go pozyskać i wykorzystać do włamania do poczty.

Proces użycia takiego elementu to tzw. “dwuskładnikowe uwierzytelnianie” (ang. “Two-Factor Authentication” lub “2FA”).

Kod z aplikacji

Wprowadzenie jednorazowego kodu może być też wymagane po dokonaniu istotnej zmiany na koncie użytkownika, jaką jest np. zmiana hasła. Dodatkowym składnikiem może też być odpowiednio skonfigurowane urządzenie, które wymaga interakcji użytkownika przy tych czynnościach, np. naciśnięcie guzika, czy przyłożenie palca do czytnika linii papilarnych. Ważne, żeby stosowane razem składniki uwierzytelniania nie należały tylko do jednej z poniższych kategorii:

  • coś co wiem - np. hasło,
  • coś co mam - np. smartfon, na który przychodzi kod SMS lub który ma aplikację mobilną, klucz sprzętowy, czy token,
  • coś czym jestem - cechy biometryczne.

Konkretne przykłady są opisane w dalszej części artykułu.

Hasła jednorazowe

Najpopularniejszym dodatkowym składnikiem podczas logowanie jest kod OTP (One Time Password), czyli jednorazowe hasło przychodzące SMSem na telefon komórkowy. Jest to zazwyczaj kilka cyfr, które należy wpisać, aby np. potwierdzić przelew w banku. Warto pamiętać, że taki kod ma określony czas życia (zazwyczaj 5 minut), po którego upływie będzie trzeba wygenerować nowy. Często poza samym kodem w otrzymanej wiadomości znajduje się jest informacja o wykonywanej przez użytkownika czynności np. “Twój kod do aktywacji usługi YYY to 622627”. Informacja ta jest bardzo ważna i należy zawsze czytać całość otrzymanej wiadomości, zwracając uwagę na operację, którą potwierdzamy wprowadzając otrzymany kod jednorazowy.

Innym pokrewnym typem kodu OTP jest kod pochodzący z aplikacji mobilnej cyklicznie generującej jednorazowe hasła np. Google Authenticator (zmieniający się co 30 sekund).

Google Authenticator

By skorzystać z tej opcji, niektóre serwisy umożliwiają wygenerowanie specjalnego kodu QR, który skanujemy aparatem w naszym smartfonie. Ten kod QR pozwala aplikacji mobilnej generować kody OTP bez dostępu smartfona do internetu. Poza czasem życia (około 30-60 sekund), ten sposób generowania kodów jednorazowych różni się od OTP otrzymywanych poprzez SMSa brakiem informacji o potwierdzonej czynności.

Smartfon jako drugi składnik

Dodatkowym składnikiem uwierzytelniającym może być również aplikacja mobilna danego serwisu zainstalowana na smartfonie użytkownika. Przykładem mogą być niektóre banki - umożliwiają one powiązanie bankowej aplikacji mobilnej z naszym kontem w taki sposób, że to właśnie ta aplikacja staje się dodatkowym składnikiem przy wykonywaniu przez nas czynności wymagających dodatkowego potwierdzenia.

Załóżmy, że robisz przelew pieniędzy przez stronę internetową swojego banku. Po wypełnieniu wszystkich pól i kliknięciu przycisku “Wyślij”, na ekranie przeglądarki pokazuje się informacja, że na Twój smartfon została wysłana prośba autoryzacji operacji (w postaci powiadomienia PUSH). Bierzesz telefon do ręki i klikasz na powiadomienia z aplikacji bankowej, które pojawiło się na ekranie. Jesteś poproszony o zalogowanie się PINem do aplikacji mobilnej banku i potwierdzenie transakcji. Oczywiście, w zależności od banku proces ten może się różnić (np. najpierw możesz potwierdzić przelew naciskając odpowiedni przycisk w aplikacji mobilnej, a następnie zostać poproszony o podanie PINu lub przyłożenie odcisku palca).

Wracając do poczty w serwisie ABC z początku artykułu - przestępca, nawet jeśli będzie znał login i hasło, nie zaloguje się i nie uzyska dostępu do danych, bo nie będzie posiadał opisywanego w artykule drugiego składnika (2FA). Dodatkowo, jeśli jest skonfigurowany kod SMS lub powiadomienie na telefonie (powiadomienie PUSH) informujące o nieudanych lub przerwanych próbach logowania, to od razu użytkownik dowie się, że ktoś właśnie próbuje zalogować się na jego konto.

Urządzenie fizyczne jako dodatkowy składnik

Oprócz wyżej wymienionych metod dodatkowego uwierzytelniania, istnieją też inne przykłady. Moim zdaniem są one mniej wygodne, dodatkowo nie zawierają informacji o potwierdzanej operacji. Istnieje kilka rodzajów tokenów fizycznych:

  • token sprzętowy - małe urządzenie z ekranem. Może działać, jak aplikacja mobilna do generowania kodów OTP lub posiadać przyciski (wygląda jak mały kalkulator), aby wpisać numer przedstawiony przez stronę internetową jako tzw. wyzwanie. Po wpisaniu wyzwania generuje odpowiedź do wprowadzenia w pole na stronie internetowej. Czasem stosowany przez pracowników dużych firm lub klientów korporacyjnych banków.
Token sprzętowy
Źródło: https://commons.wikimedia.org/wiki/File:Digipass_270_HSBC.JPG#/media/File:Digipass_270_HSBC.JPG D4m1en [CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0)]
  • klucz sprzętowy - może wyglądać jak pendrive’a lub breloczek z przyciskiem. Wkładamy go do portu USB komputera lub łączy się z nim bezprzewodowo (przez Bluetooth lub NFC). W drugim przypadku może też działać ze smartfonem. Po naciśnięciu/dotknięciu przycisku, komunikuje się przez przeglądarkę z docelowym serwisem. Czasem wymaga wpisania dodatkowego PINu.
YubiKey
Źródło: https://upload.wikimedia.org/wikipedia/commons/3/33/YubiKey-4-keychain-and-YubiKey-4-Nano.png
Yubico [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)]
  • cechy biometryczne takie jak odcisk palca, skan twarzy, skan siatkówki oka, próbka głosu - wymagają odpowiedniego czytnika. W smartfonach cechy biometryczne użytkownika mogą być wykorzystywane zamiast PINu do telefonu , w celu przyspieszenia i ułatwienia np. procesu odblokowywania urządzenia lub logowania do aplikacji. W tym przypadku nie jest to dodatkowy składnik, a jedyny składnik uwierzytelniania (single factor). Jeżeli natomiast użytkownik potwierdza na telefonie operację zleconą innym kanałem (np. na komputerze) wtedy cechy biometryczne mogą być traktowane jako dodatkowy składnik autoryzacji operacji.

Jak to włączyć na moim koncie?

Często trudno jest znaleźć odpowiednie ustawienie 2FA w danym serwisie, bo firmy różnie je nazywają. Można się spotkać m.in. z określeniami:

Ponadto serwisy mogą udostępniać swoim klientom tylko niektóre z wymienionych wcześniej metod. Czasem można je stosować wymiennie - nie masz przy sobie tokena sprzętowego, to zalogujesz się z pomocą smartfona, który masz w kieszeni. Wszystko zależy od możliwości jakie daje konkretny serwis.

Zestawienie serwisów umożliwiających stosowanie dwuskładnikowe uwierzytelnianie można znaleźć pod tym linkiem.

Zachęcam do stosowania dodatkowych składników w procesie logowania do aplikacji oraz na potrzeby autoryzacji wykonywanych operacji, gdzie tylko się da. Przy konfigurowaniu dwuskładnikowego uwierzytelniania należy zachować rozwagę. Jeśli zgubicie drugi składnik możecie mieć problem z dostaniem się do konta! Dlatego zawsze jest lepiej mieć skonfigurowane więcej niż jeden składnik lub przygotować awaryjne hasło backupowe. Aby ułatwić Wam zabezpieczanie siebie i bliskich przygotowaliśmy instrukcję, jak uruchomić 2FA na Gmail oraz na Facebooku.

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

Marcin

Marcin

Bezpiecznik w pracy, geek w domu, macuser tu i tu. Uwielbia słuchać podcastów, automatyzować swoje zadania i pić dobrą kawę.

12 myśli na “Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnianie?

  1. Pingback: Zadanie na weekend #1: Włączamy dwuskładnikowe uwierzytelnienie w Gmail | bezpieczny.blog

  2. Pingback: Zadanie na weekend #2: Zwiększamy bezpieczeństwo konta na Facebooku [video] | bezpieczny.blog

  3. Pingback: Dlaczego warto mieć różne hasła do różnych stron internetowych? | bezpieczny.blog

  4. Pingback: BHP korzystania z Internetu, czyli na co uważać klikając w link? | bezpieczny.blog

  5. AvatarArtur

    Fajnie. Tak żeby nie robić niewiadomo jak czasochłonnego badania w poszukiwaniu instrukcji, warto zacytować (lub nawet skontaktować się z właścicielem i przetłumaczyć) stronę: https://twofactorauth.org/
    Warto również, z uwagi na uczciwość wobec czytelnika jasno postawić sprawę użyteczności a raczej dostępności tego rozwiązania. Obecnie są to głownie sieci społecznościowe. Badania usług chmurowych realizowane przez McAfee również nie rokują dobrze, na 25 000 usług chmurowych badanych przez projekt Cloud Trust Program, zaledwie niewiele ponad 18% oferuje uwierzytelnienie wieloskładnikowe https://cloudsecurity.mcafee.com/enterprise/en-us/assets/skyhigh/white-papers/cloud-adoption-risk-report-2019.pdf

    Odpowiedz
  6. MarcinMarcin

    Dostępność faktycznie jest niewielka, ale np. od września banki będą zobowiązane do poprawienia tej statystyki. Mam nadzieje, że za tym przykładem pójdą też inne firmy.

    Odpowiedz
  7. Pingback: Zadanie na weekend #5: Wyczyść swoją pocztę z wrażliwych danych. | bezpieczny.blog

  8. Pingback: Jak stworzyć bezpieczne hasło? | bezpieczny.blog

  9. Pingback: bezpieczny podcast #003: Jak poprawić bezpieczeństwo swoich danych w mediach społecznościowych? | bezpieczny.blog

  10. Pingback: Zwiększamy bezpieczeństwo naszych kont w internecie dzięki brelokowi YubiKey | bezpieczny.blog

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *