<< powrót
Opublikowano Dodaj komentarz

Co to jest uwierzytelnianie dwuskładnikowe 2FA – weryfikacja dwuetapowa

uwierzytelnianie dwuskładnikowe 2fa

Uwierzytelnianie dwuskładnikowe (ang. Two-Factor Authentication, 2FA) jest świetnym sposobem na poprawę bezpieczeństwa kont w różnego rodzaju serwisach internetowych. Dlatego, jeśli jest możliwość, warto je wdrożyć. Dzięki temu, pomimo że nasze dane do logowania wyciekną, agresor i tak nie uzyska dostępu do naszego konta. Zapraszam do lektury artykułu, w którym opisuję czym jest uwierzytelnianie dwuskładnikowe 2FA, a także jak je wdrożyć na koncie Google i na Facebooku.

W artykule opisałam i porównałam różne rodzaje uwierzytelniania dwuskładnikowego – kod lub link wysyłany e-mailem, kod wysyłany SMSem, kody czasowe w aplikacji, klucz U2F.

Czym jest uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe (inaczej 2FA, uwierzytelnianie dwupoziomowe, weryfikacja dwuetapowa) jest dodatkową warstwą ochrony najczęściej systemu logowania, polegającą na dodatkowym sprawdzeniu, czy faktycznie jesteśmy osobą, za którą się podajemy. Podczas logowania, oprócz loginu i hasła musimy dodatkowo podać drugi składnik, do którego tylko my mamy dostęp.

Dodatkowy składnik może mieć różną formę. Najczęściej jest to:

  • kod lub link wysyłam e-mailem,
  • kod wysłany SMS-em,
  • powiadomienie w aplikacji mobilnej,
  • kody czasowe w aplikacji,
  • klucz U2F.

Uwierzytelnianie dwuskładnikowe 2FA możemy wdrożyć na portalach społecznościowych (np. Facebook, Instagram, LinkedIn), kontach pocztowych (np. Gmail), panelach klienta (np. usług hostingowych), itd.

Warto wspomnieć o tym, że na bankowości internetowej ciąży prawny obowiązek zabezpieczenia w postaci uwierzytelniania dwuskładnikowego 2FA.

Dlaczego warto korzystać z uwierzytelniania dwuskładnikowego 2FA

Zawsze istnieje ryzyko wycieku bazy danych zawierającej loginy i hasła użytkowników. Owszem nie wolno przechowywać haseł w postaci zwykłego tekstu. Wszystkie hasła powinny być zahashowane jednokierunkową funkcją skrótu (nie mylić z szyfrowaniem!). Jednak tak uzyskany hash tylko teoretycznie nie da się złamać. Jeśli hasło nie jest odpowiedniej długości (obecnie zaleca się hasła nie krótsze niż 15 znaków), a także jeśli jest zahashowane słabą funkcją skrótu (np. MD5) i nie jest doprawione solą i ewentualnie pieprzem, to przy odpowiedniej mocy obliczeniowej dość szybko można złamać taki hash.

Jeśli mamy dodatkowo wdrożone zabezpieczenie 2FA, agresor nie zaloguje się na nasze konto, ponieważ musiałby podać dodatkowo kod, do którego nie ma dostępu.

Dobrze jest mieć skonfigurowane 2FA na kluczowych kontach, których utrata może wyrządzić najwięcej szkody. Oczywiście na pierwszym miejscu są strony bankowości elektronicznej. Jednak w przypadku tych serwisów uwierzytelnianie dwuskładnikowe powinno być odgórnie narzucone. Dodatkowe zabezpieczenie z pewnością  warto wdrożyć na poczcie e-mail, ponieważ przestępca mając do niej dostęp może bez trudu przejąć dostęp do kont w pozostałych serwisach. Wystarczy, że zresetuje do nich hasła. Dobrze jest także zabezpieczyć konta w serwisach społecznościowych.

Dwustopniowe uwierzytelnianie nie tylko podczas logowania

Z pewnością miałaś/eś styczność z dwuskładnikowym uwierzytelnianiem w bankowości elektronicznej. Jeśli nie podczas logowania, to na pewno podczas wykonywania przelewu. Po wpisaniu danych odbiorcy wraz z numerem konta oraz kwoty przelewu na pewno zostałeś poproszona/ny o wpisanie specjalnego kodu autoryzującego.

Kiedyś banki stosowały fizyczne tokeny, czyli specjalne urządzenia na bieżąco generujące unikatowe kody (urządzenie to było w formie breloczka). Stosowano także specjalne karty zdrapki. Wszystkie ponumerowane kody były zasłonięte. Kiedy chcieliśmy użyć danego kodu, trzeba było odsłonić go poprzez zdrapanie farby, która się nad nim znajdowała. Tę formę zabezpieczenia można do dzisiaj wybrać w niektórych bankach.

Obecnie stosuje się nieco inny sposób autoryzacji. Najczęściej są to kody wysyłane SMSem lub powiadomienia w aplikacji mobilnej z prośbą o potwierdzenie przelewu.

Rodzaje dodatkowego zabezpieczenia 2FA

Jak już wcześniej wspomniałam, drugi składnik może mieć różną formę i może być dostarczany na różne sposoby. Poniżej omówię najpopularniejsze z nich, a także przedstawię ich wady i zalety. Mam nadzieję, że moje zestawienie ułatwi Ci podjęcie decyzji, który sposób wybrać 🙂

Kod jednorazowy lub link wysyłany mailem

Mechanizm tego zabezpieczenia jest bardzo prosty. Podczas logowania podajesz login oraz hasło. Następnie zostajesz proszony o potwierdzenie swojej tożsamości kodem jednorazowym wysyłanym na Twój adres email. Otrzymany kod musisz przepisać do formularza. Czasem w wiadomości znajduje się sam link, który należy kliknąć.

Zalety kodów jednorazowych/linków wysyłanych mailem:

  • Łatwa obsługa – nie musisz kupować specjalnego sprzętu ani nie musisz instalować żadnych aplikacji. Wystarczy mieć dostęp do konta e-mail.
  • Rozwiązanie to jest bezpłatne.

Wady:

  • Skrzynka e-mail może zostać przejęta przez cyberprzestępcę. W takim przypadku agresor bez problemu zaloguje się na konta chronione przez 2FA.
  • Wiadomości e-mail mogą zostać przechwycone „w locie” (w przypadku, gdy korzystasz z obcej sieci WiFi i nie używasz VPN). Komunikacja e-mail nie jest zbyt bezpieczna.
  • Zabezpieczenie to nie chroni przed phishingiem.

Zapraszam do artykułu, w którym tłumaczę, czym jest phishing, a także jak się bronić przed atakami phishingowymi.

Kod jednorazowy wysyłany SMSem

Mechanizm działania jest podobny do opisanego we wcześniejszym punkcie, z tą różnicą, że kod wysyłany jest w wiadomości SMS.

Zalety kodów jednorazowych wysyłanych SMSem:

  • Łatwa obsługa – nie musisz kupować specjalnego sprzętu, ani nie musisz instalować żadnych aplikacji. W obecnych czasach większość ludzi ma dostęp do telefonu.
  • Wiadomości SMS znacznie trudniej przechwycić niż wiadomości e-mail.
  • Rozwiązanie to jest bezpłatne.

Wady:

  • Przestępca może wyrobić duplikat Twojej karty i wtedy bez problemu się uwierzytelni w chronionej aplikacji/serwisie. Oczywiście uprzednio musi posiadać dane do logowania do danego serwisu. Nie jest to zbyt częsty przypadek, ale może się zdarzyć.
  • Jeśli nie masz zabezpieczenia blokady ekranu, to jeśli ktoś ukradnie Ci telefon, może bez problemu się uwierzytelnić w serwisach w których masz konta. Zakładając, że w smartfonie masz skonfigurowane konto pocztowe, to agresor będzie w stanie zresetować hasła do wybranych serwisów.
  • Zabezpieczenie nie chroni przed phishingiem.
  • Przestępca może przekierować SMSy na swój numer telefonu. Zadanie to nie należy do najłatwiejszych, ale w niektórych przypadkach jest możliwe do zrealizowania.

Kody czasowe w aplikacji

Żeby korzystać z tej metody uwierzytelniania dwuskładnikowego, musisz mieć zainstalowaną w smartfonie specjalną aplikację (np. Google Authenticator). Kody są generowane na bieżąco i zmieniają się co określony czas. Po podaniu loginu i hasła musisz dodatkowo wpisać aktualny kod wyświetlany w aplikacji.

Zalety kodów czasowych w aplikacji

  • Jeśli posiadasz smartfon, zabezpieczenie to jest darmowe. Aplikacja Google Authenticator jest bezpłatna.

Wady:

  • Zabezpieczenie nie chroni przed phishingiem.
  • Twój smartfon może zostać skradziony. Jeśli nie posiadasz zabezpieczenia blokady ekranu, przestępca bez problemu będzie mógł się uwierzytelnić w serwisach, w których masz zabezpieczone konto w ten sposób. Zakładając, że w smartfonie masz skonfigurowane konto pocztowe, agresor będzie w stanie zresetować hasła do wybranych serwisów.

Klucz U2F

Klucz U2F jest to specjalne urządzenie przypominające pendrive.

Poniższe zdjęcie przedstawia klucz U2F Yubikey.

uwierzytelnianie dwuskładnikowe 2FA
Grafika pobrana z https://www.yubico.com

Jak to działa? W pierwszej kolejności logujesz się do konta tak jak zawsze, czyli podając login i hasło. Następnie zostajesz proszony o uwierzytelnienie kluczem U2F. Czynność ta jest niezwykle prosta. Wystarczy włożyć klucz do portu USB (lub USB-C) i dotknąć klucza w wyznaczonym miejscu. I to wszystko! Nie musisz nawet przepisywać kodów. Są także klucze wykorzystujące bezprzewodową komunikację za pomocą NFC lub Bluetooth.

Moim zdaniem klucz U2F jest najpewniejszą forma zabezpieczenia. Minusem jest to, że musisz kupić specjalne urządzenie. W przypadku producenta Yubico, taki klucz w najtańszej wersji to wydatek rzędu 25 EUR.

Może w Twojej głowie zrodziło się pytanie, a co jeśli zgubię klucz U2F? Warto przygotować się na taką ewentualność i zaopatrzyć się w zapasowy klucz. Plusem jest to, że znalazca klucza nie będzie w stanie z nieco odczytać Twoich danych. Jednak na wszelki wypadek warto odpiąć klucz z serwisów, które za jego pomocą zabezpieczyłaś/eś.

Zalety kluczy U2F

  • Klucze U2F zapewniają stuprocentową ochronę przed phishingiem. Nawet jeśli podasz przestępcy swój login i hasło, to i tak nie uda mu się zalogować, ponieważ musiałby mieć fizyczny dostęp do urządzenia.
  • Klucz zapewnia dużą wygodę. Nie musisz przepisywać kodów ani logować się na pocztę. Wystarczy włożyć urządzenie do portu USB i dotknąć klucza. Ponadto klucz jest mały, poręczny i możesz nosić go jako brelok przy kluczach.
  • Za pomocą jednego klucza U2F ochronisz dowolną ilość serwisów.

Wady:

  • Musisz zakupić specjalne urządzenie, a najlepiej na wszelki wypadek dwa.

Uwierzytelnianie dwuskładnikowe – które rozwiązanie mam wybrać

Z całą pewnością najlepszym zabezpieczeniem jest klucz U2F. Ma zdecydowaną przewagę nad pozostałymi rozwiązaniami z uwagi na to, że w 100% chroni przed phishingiem. Niestety nie wszystkie serwisy wspierają klucze U2F.

Zatem używaj zabezpieczenia kluczem U2F wszędzie gdzie jest to możliwe. Natomiast jeśli dany serwis nie wspiera tego typu zabezpieczenia, w pierwszej kolejności wybierz kody czasowe w aplikacji, a dopiero potem kody wysyłane SMSem. Na samym końcu jest najmniej bezpieczne rozwiązanie, czyli kody lub linki wysyłane mailem.

Podsumowując, kolejność jest taka (zaczynając od najbezpieczniejszego rozwiązania):

  1. Klucz U2F.
  2. Kody czasowe w aplikacji.
  3. Kody wysyłane SMSem.
  4. Kody lub linki wysyłane na maila.

Co mam zrobić w przypadku gdy serwis nie oferuje weryfikacji dwuetapowej?

Pomimo, że weryfikacja dwuetapowa jest popularna i dostępna w coraz większej liczbie serwisów, czasem zdarza się, że może jej zabraknąć. W takiej sytuacji warto zabezpieczyć się silnym hasłem. Powinno ono być dłuższe niż 15 znaków. Ponadto musi być unikatowe, czyli nie należy go używać w pozostałych serwisach.

Czy musisz uczyć się na pamięć haseł do wszystkich serwisów? Oczywiście, ze nie! W tym celu używaj managera haseł. Polecam KeePass. Cała baza z hasłami znajduje się u nas na komputerze, dzięki czemu nie jesteśmy narażeni na jej wyciek (chyba, że sami do niego doprowadzimy).

Jeśli serwis w którym masz pocztę e-mail nie oferuje 2FA, możesz także rozważyć przeniesienie poczty do innego dostawcy. Moim zdaniem dostęp do poczty jest kluczowy i zabezpiecznie 2FA powinno być standardem.

Przykładowe wdrożenia zabezpieczenia 2FA

Na szczęście z każdym rokiem wśród właścicieli serwisów rośnie świadomość niebezpieczeństw czyhających na użytkowników. Z tego właśnie powodu coraz więcej serwisów wprowadza na swoich kontach możliwość włączenia dwustopniowego uwierzytelnienia. Poniżej przedstawiłam sposób wdrożenia uwierzytelnienia dwuskładnikowego w kilku popularnych serwisach.

Weryfikacja dwuetapowa w Google

Jeśli posiadasz konto pocztowe na Gmailu, bez problemu włączysz zabezpieczenie 2FA. Będzie ono chronić dostęp nie tylko do Twojej poczty, ale także do pozostałych usług. Weryfikacja dwuetapowa w Google – zobacz jak ją wdrożyć.

W pierwszej kolejności przejdź do ustawień konta Google.

Weryfikacja dwuetapowa w Google

Następnie kliknij zakładkę Bezpieczeństwo, znajdź sekcję Logowanie się w Google i wybierz opcję Weryfikacja dwuetapowa.

Weryfikacja dwuetapowa na koncie Google

W kolejnym kroku kliknij przycisk ROZPOCZNIJ.

Domyślną opcją są powiadomienia na telefonie. Działa to tak, że po wpisaniu loginu i hasła, na Twoim telefonie będzie wyświetlane powiadomienie, w którym trzeba będzie kliknąć stosowny przycisk, żeby potwierdzić swoją tożsamość.

Po kliknięciu pokaż więcej opcji, do wyboru mamy jeszcze możliwość skonfigurowania klucza U2F lub uwierzytelnianie poprzez kody wysyłane SMSem lub telefonicznie.

UWAGA!
Jeśli chcesz włączyć powiadomienia pojawiające się na telefonie lub wysyłane w wiadomości SMS, musisz uprzednio skonfigurować swoje konto na telefonie!

2FA na koncie Google

 Uwierzytelnianie dwuskładnikowe na Facebooku

Facebook także od dawna udostępnia swoim użytkownikom możliwość włączenia dodatkowej warstwy ochrony systemu logowania. Konto w mediach społecznościowych jest równie ważne jak poczta, tak więc warto się dodatkowo zabezpieczyć.

Aby włączyć uwierzytelnianie dwuskładnikowe na Facebooku, należy przejść do Ustawienia i prywatność -> Ustawienia.

Uwierzytelnianie dwuskładnikowe na Facebooku
Uwierzytelnianie dwuskładnikowe na Facebooku

Następnie kliknij zakładkę Bezpieczeństwo i logowanie i znajdź sekcję Uwierzytelnianie dwuskładnikowe. Wybierz Używaj uwierzytelniania dwuskładnikowego.

Włączenie uwierzytelniania dwuskłądnikowego na Facebooku

Do wyboru masz kilka opcji:

  • Aplikacja uwierzytelniająca – kody czasowe generowane są w aplikacji np. Google Authenticator.
  • Wiadomość tekstowa (SMS) – kody weryfikacyjne wysyłane są w wiadomości SMS.
  • Klucz zabezpieczeń – w tym miejscu możesz skonfigurować swój klucz U2F.
Włączenie uwierzytelniania dwuskłądnikowego na Facebooku

Weryfikacja dwuetapowa na Allegro

Sprawdźmy także jakie opcje weryfikacji dwuetapowej oferuje Allegro. W tym celu przejdź do ustawień konta: KONTO -> MOJE KONTO

Weryfikacja dwuetapowa na Allegro

Następnie znajdź sekcję Bezpieczeństwo i kliknij Dwustopniowe logowanie:

Weryfikacja dwuetapowa na Allegro
Weryfikacja dwuetapowa na Allegro

Do wyboru mamy dwie opcje:

  • uwierzytelnienie kodem wysyłanym w wiadomości SMS,
  • uwierzytelnianie czasowym kodem generowanym przez aplikację.
Weryfikacja dwuetapowa na Allegro

Czym jest uwierzytelnianie dwuskładnikowe – podsumowanie

Mam nadzieję, że mój artykuł przekonał Cię do zabezpieczenia swoich kont dwuskładnikowym uwierzytelnianiem. Wdrożenie dodatkowego zabezpieczenia nie wymaga on nas większego wysiłku, a może skutecznie ochronić nas przed utratą naszego konta. Zwłaszcza należy zadbać o bezpieczeństwo poczty, ponieważ jej utrata może mieć przykre następstwa.

Jeśli to możliwe, zainwestuj w klucze U2F. Zabezpieczona w ten sposób poczta będzie w 100% chroniona przed phishingiem. Sądzę, że w obecnych czasach, kiedy to główną metodą ataku jest phishing, warto się przed tym zabezpieczyć.

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments