Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnienie?

Załóżmy, że masz skrzynkę e-mail w serwisie ABC. Używasz jej codziennie, są tam wszystkie Twoje maile. Pewnego dnia okazuje się, że nastąpiło włamanie na serwery ABC - wykradziono loginy i hasła użytkowników. Twoje dane do logowania również wyciekły. Szybko logujesz się na swoje konto przez stronę internetową, aby zmienić hasło, ale nie możesz! Przestępcy zalogowali się wcześniej i już zmienili je na inne. Czujesz strach, bo straciłeś swoje maile, natomiast gorsze jest to, że ktoś inny uzyskał do nich dostęp. Podobna historia może się wydarzyć z Twoim kontem na Facebooku, Twitterze, czy Snapchacie.

Czy można było temu zapobiec?

Tak! Niektóre serwisy, oprócz loginu i hasła, umożliwiają zastosowanie tzw. dodatkowego składnika do logowania czy autoryzacji. Np. podczas logowania do poczty na nowym urządzeniu, oprócz loginu i hasła, dodatkowo podajemy kod (np. otrzymany SMSem). Kod ten generowany jest "na bieżąco" (nie jest przechowywany po stronie serwisu pocztowego). W przypadku wycieku danych, przestępcy nie mogą go pozyskać i wykorzystać do włamania do poczty.

Proces użycia takiego elementu to tzw. “dwuskładnikowe uwierzytelnienie” (ang. “Two-Factor Authentication” lub “2FA”).

Wprowadzenie jednorazowego kodu może być też wymagane po dokonaniu istotnej zmiany na koncie użytkownika, jaką jest np. zmiana hasła. Dodatkowym składnikiem może też być odpowiednio skonfigurowane urządzenie, które wymaga interakcji użytkownika przy tych czynnościach, np. naciśnięcie guzika, czy przyłożenie palca do czytnika linii papilarnych. Ważne, żeby stosowane razem składniki uwierzytelniania nie należały tylko do jednej z poniższych kategorii:

• wiedza, czyli coś co pamiętam - np. hasło,
• posiadanie, czyli coś co mam - np. smartfon, na który przychodzi kod SMS lub który ma aplikację mobilną, klucz sprzętowy, czy token,
• cecha użytkownika, czyli coś czym jestem - cechy biometryczne.

Konkretne przykłady opisujemy w dalszej części artykułu.

Hasła jednorazowe - podstawowy element dwuskładnikowego uwierzytelnienia

Najpopularniejszym dodatkowym składnikiem podczas logowanie jest kod OTP (One Time Password), czyli jednorazowe hasło przychodzące SMSem na telefon komórkowy. Jest to zazwyczaj kilka cyfr, które należy wpisać, aby np. potwierdzić przelew w banku. Warto pamiętać, że taki kod ma określony czas życia (zazwyczaj 5 minut), po którego upływie będzie trzeba wygenerować nowy. Często poza samym kodem w otrzymanej wiadomości znajduje się jest informacja o wykonywanej przez użytkownika czynności np. “Twój kod do aktywacji usługi YYY to 622627”. Informacja ta jest bardzo ważna i należy zawsze czytać całość otrzymanej wiadomości, zwracając uwagę na operację, którą potwierdzamy wprowadzając otrzymany kod jednorazowy.

Innym pokrewnym typem kodu OTP jest kod pochodzący z aplikacji mobilnej cyklicznie generującej jednorazowe hasła np. Google Authenticator (zmieniający się co 30 sekund).

By skorzystać z tej opcji, niektóre serwisy umożliwiają wygenerowanie specjalnego kodu QR, który skanujemy aparatem w naszym smartfonie. Ten kod QR pozwala aplikacji mobilnej generować kody OTP bez dostępu smartfona do internetu. Poza czasem życia (około 30-60 sekund), ten sposób generowania kodów jednorazowych różni się od OTP otrzymywanych poprzez SMSa brakiem informacji o potwierdzonej czynności.

Smartfon jako drugi składnik uwierzytelnienia

Aplikacja mobilna danego serwisu zainstalowana na smartfonie użytkownika również może być dodatkowym składnikiem uwierzytelniającym. Przykładem mogą być niektóre banki - umożliwiają one powiązanie bankowej aplikacji mobilnej z naszym kontem w taki sposób, że to właśnie ta aplikacja staje się dodatkowym składnikiem przy wykonywaniu przez nas czynności wymagających dodatkowego potwierdzenia.

Załóżmy, że robisz przelew pieniędzy przez stronę internetową swojego banku. Po wypełnieniu wszystkich pól i kliknięciu przycisku “Wyślij”, na ekranie przeglądarki pokazuje się informacja, że na Twój smartfon została wysłana prośba autoryzacji operacji (w postaci powiadomienia PUSH). Bierzesz telefon do ręki i klikasz na powiadomienia z aplikacji bankowej, które pojawiło się na ekranie. Aplikacja banku prosi Cię o zalogowanie się PINem i potwierdzenie transakcji. Oczywiście, w zależności od banku proces ten może się różnić (np. najpierw możesz potwierdzić przelew naciskając odpowiedni przycisk w aplikacji mobilnej, a następnie zostać poproszony o podanie PINu lub przyłożenie odcisku palca).

Wracając do poczty w serwisie ABC z początku artykułu - przestępca, nawet jeśli będzie znał login i hasło, nie zaloguje się i nie uzyska dostępu do danych, bo nie będzie posiadał opisywanego w artykule drugiego składnika (2FA). Dodatkowo, jeśli jest skonfigurowany kod SMS lub powiadomienie na telefonie (powiadomienie PUSH) informujące o nieudanych lub przerwanych próbach logowania, to od razu użytkownik dowie się, że ktoś właśnie próbuje zalogować się na jego konto.

Dwuskładnikowe uwierzytelnienie z użyciem urządzenia fizycznego

Oprócz wyżej wymienionych metod dodatkowego uwierzytelniania, istnieją też inne przykłady. Moim zdaniem są one mniej wygodne, dodatkowo nie zawierają informacji o potwierdzanej operacji. Istnieje kilka rodzajów tokenów fizycznych:

• token sprzętowy - małe urządzenie z ekranem. Może działać, jak aplikacja mobilna do generowania kodów OTP lub posiadać przyciski (wygląda jak mały kalkulator), aby wpisać numer przedstawiony przez stronę internetową jako tzw. wyzwanie. Po wpisaniu wyzwania generuje odpowiedź do wprowadzenia w pole na stronie internetowej. Czasem stosowany przez pracowników dużych firm lub klientów korporacyjnych banków.

• klucz sprzętowy - może wyglądać jak pendrive’a lub breloczek z przyciskiem. Wkładamy go do portu USB komputera lub łączy się z nim bezprzewodowo (przez Bluetooth lub NFC). W drugim przypadku może też działać ze smartfonem. Po naciśnięciu/dotknięciu przycisku, komunikuje się przez przeglądarkę z docelowym serwisem. Czasem wymaga wpisania dodatkowego PINu.

• cechy biometryczne takie jak odcisk palca, skan twarzy, skan siatkówki oka, próbka głosu - wymagają odpowiedniego czytnika. W smartfonach cechy biometryczne użytkownika możemy wykorzystać zamiast PINu do telefonu , w celu przyspieszenia i ułatwienia np. procesu odblokowywania urządzenia lub logowania do aplikacji. W tym przypadku nie jest to dodatkowy składnik, a jedyny składnik uwierzytelniania (single factor). Jeżeli natomiast potwierdzamy na telefonie operację zleconą innym kanałem (np. na komputerze) wtedy cechy biometryczne mogą być traktowane jako dodatkowy składnik autoryzacji operacji.

Jak włączyć dwuskładnikowe uwierzytelnienie na moim koncie?

Często trudno jest znaleźć odpowiednie ustawienie 2FA w danym serwisie, bo firmy różnie je nazywają. Można się spotkać m.in. z określeniami:

• Two-Factor Authentication (2FA) na Facebooku,
• Weryfikacja dwuetapowa w Google lub Microsoft,
• Uwierzytelnienie dwupoziomowe w Apple.

Ponadto serwisy mogą udostępniać swoim klientom tylko niektóre z wymienionych wcześniej metod. Czasem można je stosować wymiennie. Jeśli nie masz przy sobie tokena sprzętowego, to zalogujesz się z pomocą smartfona, który masz w kieszeni. Wszystko zależy od możliwości jakie daje konkretny serwis.

Zestawienie serwisów umożliwiających stosowanie dwuskładnikowe uwierzytelnianie można znaleźć pod tym linkiem.

Zachęcam do stosowania dodatkowych składników w procesie logowania do aplikacji oraz na potrzeby autoryzacji wykonywanych operacji, gdzie tylko się da. Przy konfigurowaniu dwuskładnikowego uwierzytelniania należy zachować rozwagę. Jeśli zgubicie drugi składnik możecie mieć problem z dostaniem się do konta! Dlatego zawsze jest lepiej mieć skonfigurowane więcej niż jeden składnik lub przygotować awaryjne hasło backupowe. Aby ułatwić Wam zabezpieczanie siebie i bliskich przygotowaliśmy instrukcję, jak uruchomić 2FA na Gmail oraz na Facebooku.

Marcin

Bezpiecznik w pracy, geek w domu, macuser tu i tu. Uwielbia słuchać podcastów, automatyzować swoje zadania i pić dobrą kawę.