Na przeczytanie potrzebujesz 5 minut(y).
Budzisz się w sobotni poranek z myślą, że już niedługo zagrasz ze znajomymi w swoją ulubioną internetową grę multiplayer. Uruchamiasz komputer, próbujesz się zalogować, ale raz po raz otrzymujesz komunikat o błędnym haśle. To dziwne – jesteś pewny, że wpisywane hasło jest poprawne. Tymczasem koledzy przesyłają ci wiadomość, że ktoś gra już w twoim imieniu. Twoje konto zostało zhakowane!
Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 05/2020.
Dowiesz się:
- Jak poprawić bezpieczeństwo swojego konta gamingowego.
- Czym jest dwuskładnikowe uwierzytelnianie i jak go używać.
Musisz wiedzieć:
- Jak instalować aplikacje na telefon z App Store/Google Play.
Dlaczego ktoś chciał przejąć moje konto?
Niestety, czasami hakerzy uzyskują nieautoryzowany dostęp do konta gamingowego graczy i wykorzystują je do niecnych celów. Robią to głównie po to, by sprzedać przejęte konto innym osobom, które na przykład nie chcą poświęcać czasu na zdobywanie doświadczenia w grze lub zostały zbanowane z uczestnictwa w rozgrywkach. Zdarza się, że przestępcy włamują się na konta, bo chcą skorzystać z unikatowych przedmiotów lub skinów. Często też okazuje się, że po włamaniu na konto wartościowe przedmioty zebrane na profilu gracza zostają rozdane lub sprzedane. Wyjątkowy łup dla przestępców stanowią konta z podpiętą metodą płatności. Hakerzy nie tylko zyskują wtedy dostęp do gier, mogą również dokonywać zakupów w twoim imieniu.
Skąd przestępcy mają dane logowania do mojego konta gamingowego?
Hasło do konta to sekret, którego powinieneś strzec jak oka w głowie. Stanowi łakomy kąsek dla przestępców i dowcipnisiów. Najczęstszymi błędami popełnianymi przez użytkowników są:
- ustawianie wszędzie tego samego hasła – jeśli hasło „wycieknie” z jednego serwisu internetowego, przestępcy mogą zyskać dostęp do wszystkich twoich kont;
- zapisywanie hasła w widocznych miejscach – ciekawskie spojrzenia szybko wyłapują pozostawione na widoku sekrety;
- dzielenie się hasłem z wieloma użytkownikami – w ten sposób tracisz kontrolę nad tym, gdzie dalej przekazane zostanie twoje hasło;
- ustawianie prostego hasła – nazwa drużyny piłkarskiej i rok jej założenia nie jest trudnym do odgadnięcia hasłem.
Przestępcy mogą stosować również różnego rodzaju sztuczki, starając się nakłonić ciebie do podania im hasła. Do najpopularniejszych należy phishing, czyli wysłanie maila, w którym przestępcy udają kogoś innego – na przykład administratora strony internetowej i zachęcają do logowania się do fałszywej strony serwisu gamingowego.
Jak zwiększyć bezpieczeństwo mojego konta gamingowego?
Większość serwisów gamingowych (na przykład Steam, Battle.net, Origin) umożliwia włączenie tak zwanego dwuskładnikowego uwierzytelniania (ang.Two factor authentication – 2FA). Podczas logowania do konta z grami oprócz loginu i hasła gracz podaje dodatkowy składnik, na przykład jednorazowy kod (ang. One Time Password – OTP) wygenerowany przez aplikację mobilną lub otrzymany SMS-em lub e-mailem. Kod ten, w przeciwieństwie do hasła gracza, generowany jest „w czasie rzeczywistym” i zmienia się po upływie kilkudziesięciu sekund (na przykład co 60 sekund). Przestępca, który próbuje zhakować twoje konto, nawet jeśli zna login i hasło, nie może się zalogować bez znajomości jednorazowego kodu.
Pomyśl o tym, jak o dodatkowym zamku do domowych drzwi wejściowych. Nie otworzą się one, jeżeli oprócz pasującego klucza nie przekażesz im również jednorazowego cyfrowego kodu znajdującego się na smartfonie twoim lub twoich rodziców. Fajne, prawda?
Ciekawostka
Niektóre serwisy gamingowe nagradzają użytkowników za włączenie na koncie mechanizmów 2FA. Na przykład Epic Games udostępnia użytkownikom emotkę „Boogie Down” oraz daje dostęp do darmowych gier czy przedmiotów.
Warto wiedzieć
Jeśli korzystasz z dwuskładnikowego uwierzytelniania w serwisie gamingowym i jednorazowy kod OTP przychodzi na twoją pocztę e-mail (taka możliwość dostępna jest między innymi w serwisie Steam), to koniecznie włącz dwuskładnikowe uwierzytelnienie również na swojej poczcie. Pamiętaj, by używać różnych haseł do konta pocztowego i serwisów gamingowych.
Jak włączyć dwuskładnikowe uwierzytelnianie na koncie gamingowym?
W ramach ćwiczenia włączymy dwuskładnikowe uwierzytelnianie na platformie Epic Games. Masz konto w innym serwisie? Nic nie szkodzi! Proces włączania dwuskładnikowego uwierzytelniania w innych serwisach wygląda bardzo podobnie, dlatego po wykonaniu tego ćwiczenia na pewno poradzisz sobie również na innych stronach.
Zaloguj się na stronie https://www.epicgames.com. Na głównej stronie serwisu skieruj kursor myszy w prawy górny róg ekranu i przejdź do zakładki „KONTO”.
Wybierz zakładkę „HASŁO I ZABEZPIECZENIA” z panelu nawigacyjnego znajdującego się po lewej stronie.
Przewiń stronę do sekcji logowania dwuetapowego. Do wyboru mamy trzy opcje:
- APLIKACJA UWIERZYTELNIAJĄCA
- UWIERZYTELNIANIE WIADOMOŚCIĄ SMS
- UWIERZYTELNIANIE POPRZEZ E-MAIL
Jeżeli posiadasz smartfon i możliwość instalacji programów ze sklepu App Store/Google Play, rekomendujemy wybrać opcję „APLIKACJA UWIERZYTELNIAJĄCA”. Na potrzeby tego ćwiczenia, jako aplikację uwierzytelniającą, wykorzystywał będę darmową aplikację Google Authenticator zainstalowaną na moim smartfonie.
Następny ekran poprosi o uruchomienie na smartfonie aplikacji do dwuskładnikowego uwierzytelniania i sparowanie jej z kontem w serwisie Epic Games. Możesz to zrobić poprzez zeskanowanie kodu QR wewnątrz aplikacji lub ręczne wpisanie w telefonie klucza wyświetlonego na ekranie.
Żeby zeskanować kod QR, uruchom aplikację do dwuskładnikowego uwierzytelniania na twoim smartfonie. Aby sparować urządzenie, naciśnij znak „+”, a następnie wybierz jedną z dwóch dostępnych opcji: „Zeskanuj kod QR” lub „Wpisz klucz konfiguracyjny”. Obie metody dają właściwie ten sam efekt, choć w kodzie QR może być zapisana dodatkowo nazwa serwisu, którego kod skanujesz. W mojej aplikacji Google Authenticator wyświetla się ona pod kodem OTP (jak na Ilustracji 7).
Warto wiedzieć
Możesz użyć więcej niż jednej aplikacji do generowania kodów OTP. Jeśli boisz się, że twój smartfon się zgubi lub uszkodzi, w czasie włączania dwuskładnikowego uwierzytelniania poproś któregoś z rodziców o zainstalowanie aplikacji i zeskanowanie kodu QR lub wpisanie klucza konfiguracyjnego.
Po wybraniu opcji skanowania kodu QR przytrzymaj obiektyw kamery przed kodem QR widocznym na ekranie komputera. Prawidłowo uchwycony kod QR wyświetli ekran z kodami OTP w aplikacji Google Authenticator (kody te są ważne tylko 30 sekund).
Wróć do ekranu serwisu Epic Games i przepisz swój jednorazowy kod, a następnie kliknij niebieski przycisk „AKTYWUJ”.
Poprawne podanie kodu jednorazowego spowoduje wyświetlenie tablicy z kodami zapasowymi. Zapisz je w bezpiecznym miejscu na wypadek utraty dostępu do smartfona. Każdy kod możesz wykorzystać tylko raz. Dobrym zwyczajem jest wydrukowanie kodów i przechowywanie ich w bezpiecznym miejscu (na przykład książce, której nie wynosisz z domu).
Warto wiedzieć
Przy włączaniu mechanizmu dwuskładnikowego uwierzytelniania z wykorzystaniem jednorazowych kodów OTP w aplikacji mobilnej (na przykład Google Authenticator) należy zapisać w bezpiecznym miejscu zapasowe kody dostępu. Po sparowaniu aplikacji z kontem dane te przestaną być dostępne. Bez dostępu do jednorazowych kodów generowanych w aplikacji lub kodów zapasowych nie będziesz mógł uzyskać dostępu do serwisu gamingowego.
Od tego momentu dostępu do konta chroni dwuskładnikowe uwierzytelnianie. Możesz je przetestować, wylogowując się z konta i logując ponownie. Po wpisaniu prawidłowego loginu i hasła zostaniesz poproszony o podanie kodu z aplikacji mobilnej Google Authenticator. Jeżeli przy podawaniu kodu OTP zaznaczysz opcję „Zapamiętaj urządzenie”, nie będziesz pytany więcej o kod OTP na urządzeniu, z którego właśnie się logujesz, będzie to jednak wymagane na każdym innym urządzeniu.
Zapamiętaj:
- Zawsze dbaj o bezpieczeństwo swojego hasła.
- Dwuskładnikowe uwierzytelnianie podnosi bezpieczeństwo twoich kont w Internecie.
- Zrób kopię zapasową kodów przy parowaniu aplikacji mobilnej w procesie dwuskładnikowego uwierzytelniania.
Ćwicz w domu:
- 2FA możesz włączyć między innymi na takich platformach jak Steam, GoG, Battlenet, Epic Games.
- Włączenie dwuskładnikowego uwierzytelniania jest zalecane również w przypadku poczty e-mail oraz serwisów społecznościowych.
Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:
- Jak rozpoznać phishing?
- Zabezpieczamy domową sieć przed stronami wyłudzającymi od nas dane - gościnny wpis w serwisie Sekurak.pl
- Używamy managera haseł
- O czym pamiętać konfigurując router
- Jak zabezpieczyć pocztę e-mail?
- Znajdź wirtualną flagę
- Uczymy się szyfrować pliki
- Kopia bezpieczeństwa
- Bezpieczeństwo systemów satelitarnych
- Piractwo komputerowe
- Czym jest honeypot?
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.
2FA też jest dostępne dla iphone, ipad od wersji iOS 15. Dla mnie bomba, bo teraz zrozumiałem czym jest to cale dwuskładnikowe uwierzytelnienie i nie trzeba się trzymać monopolistycznej aplikacji od googla.
Kilka kont-serwisów wrzuciłem i działa 🙂
super
Uwielbiam grać w gry. Muszę przyznać, że bardzo się w to wciągnęłam. Na pewno wykorzystam twoje porady! Dodatkowo cieszę się, że jakiś czas temu dostałam nowego laptopa https://www.neo24.pl/komputery/laptopy/gamingowe.html ponieważ dzięki temu praca jest przyjemniejsza.