Nie daj przestępcy ukraść swojego konta gamingowego, czyli co to jest dwuskładnikowe uwierzytelnianie i dlaczego jest ważne?

Wiktor

3 lata temu

Na przeczytanie potrzebujesz 5 minut(y).

Budzisz się w sobotni poranek z myślą, że już niedługo zagrasz ze znajomymi w swoją ulubioną internetową grę multiplayer. Uruchamiasz komputer, próbujesz się zalogować, ale raz po raz otrzymujesz komunikat o błędnym haśle. To dziwne – jesteś pewny, że wpisywane hasło jest poprawne. Tymczasem koledzy przesyłają ci wiadomość, że ktoś gra już w twoim imieniu. Twoje konto zostało zhakowane!

Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 05/2020.

Dowiesz się:

Jak poprawić bezpieczeństwo swojego konta gamingowego.
Czym jest dwuskładnikowe uwierzytelnianie i jak go używać.

Musisz wiedzieć:

Jak instalować aplikacje na telefon z App Store/Google Play.

Dlaczego ktoś chciał przejąć moje konto?

Niestety, czasami hakerzy uzyskują nieautoryzowany dostęp do konta gamingowego graczy i wykorzystują je do niecnych celów. Robią to głównie po to, by sprzedać przejęte konto innym osobom, które na przykład nie chcą poświęcać czasu na zdobywanie doświadczenia w grze lub zostały zbanowane z uczestnictwa w rozgrywkach. Zdarza się, że przestępcy włamują się na konta, bo chcą skorzystać z unikatowych przedmiotów lub skinów. Często też okazuje się, że po włamaniu na konto wartościowe przedmioty zebrane na profilu gracza zostają rozdane lub sprzedane. Wyjątkowy łup dla przestępców stanowią konta z podpiętą metodą płatności. Hakerzy nie tylko zyskują wtedy dostęp do gier, mogą również dokonywać zakupów w twoim imieniu.

Skąd przestępcy mają dane logowania do mojego konta gamingowego?

Hasło do konta to sekret, którego powinieneś strzec jak oka w głowie. Stanowi łakomy kąsek dla przestępców i dowcipnisiów. Najczęstszymi błędami popełnianymi przez użytkowników są:

ustawianie wszędzie tego samego hasła – jeśli hasło „wycieknie” z jednego serwisu internetowego, przestępcy mogą zyskać dostęp do wszystkich twoich kont;
zapisywanie hasła w widocznych miejscach – ciekawskie spojrzenia szybko wyłapują pozostawione na widoku sekrety;
dzielenie się hasłem z wieloma użytkownikami – w ten sposób tracisz kontrolę nad tym, gdzie dalej przekazane zostanie twoje hasło;
ustawianie prostego hasła – nazwa drużyny piłkarskiej i rok jej założenia nie jest trudnym do odgadnięcia hasłem.

Przestępcy mogą stosować również różnego rodzaju sztuczki, starając się nakłonić ciebie do podania im hasła. Do najpopularniejszych należy phishing, czyli wysłanie maila, w którym przestępcy udają kogoś innego – na przykład administratora strony internetowej i zachęcają do logowania się do fałszywej strony serwisu gamingowego.

Jak zwiększyć bezpieczeństwo mojego konta gamingowego?

Większość serwisów gamingowych (na przykład Steam, Battle.net, Origin) umożliwia włączenie tak zwanego dwuskładnikowego uwierzytelniania (ang.Two factor authentication – 2FA). Podczas logowania do konta z grami oprócz loginu i hasła gracz podaje dodatkowy składnik, na przykład jednorazowy kod (ang. One Time Password – OTP) wygenerowany przez aplikację mobilną lub otrzymany SMS-em lub e-mailem. Kod ten, w przeciwieństwie do hasła gracza, generowany jest „w czasie rzeczywistym” i zmienia się po upływie kilkudziesięciu sekund (na przykład co 60 sekund). Przestępca, który próbuje zhakować twoje konto, nawet jeśli zna login i hasło, nie może się zalogować bez znajomości jednorazowego kodu.

Pomyśl o tym, jak o dodatkowym zamku do domowych drzwi wejściowych. Nie otworzą się one, jeżeli oprócz pasującego klucza nie przekażesz im również jednorazowego cyfrowego kodu znajdującego się na smartfonie twoim lub twoich rodziców. Fajne, prawda?

Ciekawostka

Niektóre serwisy gamingowe nagradzają użytkowników za włączenie na koncie mechanizmów 2FA. Na przykład Epic Games udostępnia użytkownikom emotkę „Boogie Down” oraz daje dostęp do darmowych gier czy przedmiotów.

Ilustracja 1. Darmowa emotka „Boogie Down” dla użytkowników z włączonym 2FA w „Epic Games” (źródło:https://www.epicgames.com)

Warto wiedzieć

Jeśli korzystasz z dwuskładnikowego uwierzytelniania w serwisie gamingowym i jednorazowy kod OTP przychodzi na twoją pocztę e-mail (taka możliwość dostępna jest między innymi w serwisie Steam), to koniecznie włącz dwuskładnikowe uwierzytelnienie również na swojej poczcie. Pamiętaj, by używać różnych haseł do konta pocztowego i serwisów gamingowych.

Jak włączyć dwuskładnikowe uwierzytelnianie na koncie gamingowym?

W ramach ćwiczenia włączymy dwuskładnikowe uwierzytelnianie na platformie Epic Games. Masz konto w innym serwisie? Nic nie szkodzi! Proces włączania dwuskładnikowego uwierzytelniania w innych serwisach wygląda bardzo podobnie, dlatego po wykonaniu tego ćwiczenia na pewno poradzisz sobie również na innych stronach.

Zaloguj się na stronie https://www.epicgames.com. Na głównej stronie serwisu skieruj kursor myszy w prawy górny róg ekranu i przejdź do zakładki „KONTO”.

Ilustracja 2. Wybranie panelu ustawień konta

Wybierz zakładkę „HASŁO I ZABEZPIECZENIA” z panelu nawigacyjnego znajdującego się po lewej stronie.

Ilustracja 3. Wybranie ustawień bezpieczeństwa konta

Przewiń stronę do sekcji logowania dwuetapowego. Do wyboru mamy trzy opcje:

APLIKACJA UWIERZYTELNIAJĄCA
UWIERZYTELNIANIE WIADOMOŚCIĄ SMS
UWIERZYTELNIANIE POPRZEZ E-MAIL

Jeżeli posiadasz smartfon i możliwość instalacji programów ze sklepu App Store/Google Play, rekomendujemy wybrać opcję „APLIKACJA UWIERZYTELNIAJĄCA”. Na potrzeby tego ćwiczenia, jako aplikację uwierzytelniającą, wykorzystywał będę darmową aplikację Google Authenticator zainstalowaną na moim smartfonie.

Ilustracja 4. Wybranie aplikacji uwierzytelniającej jako drugi składnik logowania

Następny ekran poprosi o uruchomienie na smartfonie aplikacji do dwuskładnikowego uwierzytelniania i sparowanie jej z kontem w serwisie Epic Games. Możesz to zrobić poprzez zeskanowanie kodu QR wewnątrz aplikacji lub ręczne wpisanie w telefonie klucza wyświetlonego na ekranie.

Ilustracja 5. Okno dodawania aplikacji mobilnej jako drugiego składnika logowania

Żeby zeskanować kod QR, uruchom aplikację do dwuskładnikowego uwierzytelniania na twoim smartfonie. Aby sparować urządzenie, naciśnij znak „+”, a następnie wybierz jedną z dwóch dostępnych opcji: „Zeskanuj kod QR” lub „Wpisz klucz konfiguracyjny”. Obie metody dają właściwie ten sam efekt, choć w kodzie QR może być zapisana dodatkowo nazwa serwisu, którego kod skanujesz. W mojej aplikacji Google Authenticator wyświetla się ona pod kodem OTP (jak na Ilustracji 7).

Ilustracja 6. Parowanie nowego konta z aplikacją mobilną „Google Authenticator”

Warto wiedzieć
Możesz użyć więcej niż jednej aplikacji do generowania kodów OTP. Jeśli boisz się, że twój smartfon się zgubi lub uszkodzi, w czasie włączania dwuskładnikowego uwierzytelniania poproś któregoś z rodziców o zainstalowanie aplikacji i zeskanowanie kodu QR lub wpisanie klucza konfiguracyjnego.

Po wybraniu opcji skanowania kodu QR przytrzymaj obiektyw kamery przed kodem QR widocznym na ekranie komputera. Prawidłowo uchwycony kod QR wyświetli ekran z kodami OTP w aplikacji Google Authenticator (kody te są ważne tylko 30 sekund).

Ilustracja 7. Jednorazowy kod do serwisu „Epic Games” w „Google Authenticator”

Wróć do ekranu serwisu Epic Games i przepisz swój jednorazowy kod, a następnie kliknij niebieski przycisk „AKTYWUJ”.

Ilustracja 8. Miejsce przepisania kodu OTP z aplikacji mobilnej

Poprawne podanie kodu jednorazowego spowoduje wyświetlenie tablicy z kodami zapasowymi. Zapisz je w bezpiecznym miejscu na wypadek utraty dostępu do smartfona. Każdy kod możesz wykorzystać tylko raz. Dobrym zwyczajem jest wydrukowanie kodów i przechowywanie ich w bezpiecznym miejscu (na przykład książce, której nie wynosisz z domu).

Ilustracja 9. Zapasowe kody OTP do zapisania jako kopia bezpieczeństwa

Warto wiedzieć
Przy włączaniu mechanizmu dwuskładnikowego uwierzytelniania z wykorzystaniem jednorazowych kodów OTP w aplikacji mobilnej (na przykład Google Authenticator) należy zapisać w bezpiecznym miejscu zapasowe kody dostępu. Po sparowaniu aplikacji z kontem dane te przestaną być dostępne. Bez dostępu do jednorazowych kodów generowanych w aplikacji lub kodów zapasowych nie będziesz mógł uzyskać dostępu do serwisu gamingowego.

Od tego momentu dostępu do konta chroni dwuskładnikowe uwierzytelnianie. Możesz je przetestować, wylogowując się z konta i logując ponownie. Po wpisaniu prawidłowego loginu i hasła zostaniesz poproszony o podanie kodu z aplikacji mobilnej Google Authenticator. Jeżeli przy podawaniu kodu OTP zaznaczysz opcję „Zapamiętaj urządzenie”, nie będziesz pytany więcej o kod OTP na urządzeniu, z którego właśnie się logujesz, będzie to jednak wymagane na każdym innym urządzeniu.

Ilustracja 10. Okienko wymagające kodu OTP przy logowaniu do konta

Zapamiętaj:

Zawsze dbaj o bezpieczeństwo swojego hasła.
Dwuskładnikowe uwierzytelnianie podnosi bezpieczeństwo twoich kont w Internecie.
Zrób kopię zapasową kodów przy parowaniu aplikacji mobilnej w procesie dwuskładnikowego uwierzytelniania.

Ćwicz w domu:

2FA możesz włączyć między innymi na takich platformach jak Steam, GoG, Battlenet, Epic Games.
Włączenie dwuskładnikowego uwierzytelniania jest zalecane również w przypadku poczty e-mail oraz serwisów społecznościowych.

Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:

Wiktor

Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.