Opisaliśmy ostatnio czym są hasła, i jak działa logowanie. Teraz czas dodać nam następną warstwę ochrony w postaci weryfikacji dwuetapowej. Brzmi groźnie? Spokojnie zaraz wszystko będzie jasne 😊.
Weryfikacja dwuetapowa (2 Factor Authentication – 2FA) pozwala na dodatkowe potwierdzenie tego że Ty to ty.
„Ale to hasło nie wystarczy?„. No nie 🤪. Jeżeli ktoś poznał Twoje hasło a nie posiadasz weryfikacji dwuetapowej to ma od razu dostęp do twoich kont. Dlatego jest ona tak ważna. Dzisiaj próbuje się ją wymuszać (co na marginesie jest dobrą praktyką) ale niestety nie wszystkie strony to zapewniają.
Jakie mamy możliwości 2FA? Które są dobre, a które są mniej lub bardziej „bezpieczne”?
Jedna z najbardziej popularnych weryfikacji. Dostajemy kod na E-Mail i go przepisujemy na stronę. Czy jest ona bezpieczna? Jest tak samo bezpieczna jak nasza poczta E-Mail. Jeżeli nie mamy dobrze zabezpieczonej skrzynki i ktoś inny uzyska do niej dostęp to nie ma już co zbierać ….
Następna klasyczna weryfikacja. Najczęściej oferowana przez banki i inne poważniejsze strony. Bezpieczeństwo takiej weryfikacji jak dla mnie jest dosyć mieszane. Podam przykład. Mieszkam w Internacie ze znajomymi. Jeden z nich ma do mnie jakiś problem i chce mi zrobić psikusa wchodząc na moje konto na portalu społecznościowym, pisząc że jestem głupi. Podejrzał kiedyś hasło ale potrzebuje tylko kodu z telefonu. Przychodzi noc, ja już śpię a On podchodzi do mojego telefonu i widzi na zablokowanym ekranie kod z SMS (coś co jest domyślne w większości telefonów). Poza tym istnieją opcję przechwytywania wiadomości ponieważ sama komunikacja SMS jest dosyć przestarzała. Poza tym kartę można sklonować …
Prehistoria ale dalej możliwa do spotkania 😂. Działa to na zasadzie zdrapek. Na stronie wyskakuje nam informacja że mamy podać kod nr. 2 i zdrapujemy go ukazując nam numer do wpisania na stronie. Taaa … Chyba nie muszę pisać tutaj o bezpieczeństwie 🫣….
Przykładem może być Google lub Apple. Podczas logowania się do konta, otrzymujemy powiadomienie z aplikacji lub systemu że próbujemy się zalogować. Opcji tutaj jest kilka: kliknięcie odpowiedniego numeru, kliknięcie przycisku „tak to ja”, wyświetlenie się kodu do przepisania. Opcja z pewnością lepsza niż SMS. Mimo wszystko pod znakiem zapytania pozostaje pytanie jak długo takie powiadomienie jest aktywne? Nie chcieli byśmy sytuacji gdy przez przypadek oglądając YouTube wyskoczy nam powiadomienie o logowaniu a w miejscu gdzie miał być film i chcieliśmy go kliknąć pojawił się nieszczęsny przycisk „tak to ja”. Poza tym to jest tak samo bezpieczna metoda jak bezpieczny jest nasz telefon. Wirusy, ataki itp.
Kiedyś korzystało się z RSA. Niewielkiego narzędzia wielkości USB które generowało nam ciąg cyfr które musieliśmy podać na stronie logowania. Oczywiście kody się zmieniały co określony czas. Dzisiaj z tego co mi wiadomo nie stosuje się tego za często ponieważ bezpieczeństwo takiego rozwiązania nie było że tak to ujmę za bardzo bezpieczne … Jak pewnie się domyślasz wystarczyło przechwycić takie urządzenie i można było bez problemu odczytać zawartość do wpisania.
Dzisiaj dosyć popularne rozwiązanie to podobne do tego co powyżej tylko, że w aplikacji w telefonie. Jest to już lepsza opcja ze względu na to że aplikacje które przechowują nasze kody które się odnawiają posiadają często dodatkowe zabezpieczenie w postaci skanu biometrycznego (odcisk palca albo skan twarzy). Taki kod przepisujemy i logujemy się na stronę bądź do aplikacji. Tutaj jednak dalej jest to bezpieczne tak samo jak nasze urządzenie. Trzeba mimo wszystko pamiętać że może być one podatne na ataki, wirusy itp.
Wszystkie opisane powyżej metody mają swoją główną podatność. Naszą głupotę i naiwność. Przykładowo jak oszukuje się w dzisiejszym świecie starze osoby? Dzwoni się do starszej Pani z zastrzeżonego numeru i podaje się za pracownika banku. Prosi się o wszystkie dane, a Pani z racji że nic nie wie jak to działa podaje ufając ślepo miłemu Panu w telefonie…. Na szczęście powstało FIDO Key. Jest to proste urządzenie które jest naszym „Dowodem osobistym w cyfrowym świecie”.
Zasada jest bardzo prosta. Jeżeli nad znakiem y widnieją linie to znaczy że mamy do czynienia z kluczem wyposażonym w NFC (bezprzewodową komunikację zbliżeniową) dzięki czemu możesz użyć go do logowania w telefonie. Po wpisaniu hasła wyskakuje powiadomienie z prośbą o wpięcie klucza (bądź przyłożenie jeżeli masz NFC w telefonie/komputerze i w kluczu) i wciśnięcie żółtego kółka. I to wszystko😍. Taki klucz jest na tyle „sprytny” że rozpoznaje czy jesteśmy na oficjalnej stronie gdzie się rejestrowaliśmy, czy na stronie spreparowanej przez oszusta.
Nawet jeżeli wyskoczy nam prośba o zweryfikowanie się kluczem, to nie mamy się co martwić, klucz sprawdza wszystko za nas i jak wykryje że coś jest nie tak, nie przepuści nas dalej. Idealny prezent dla osób starszych (i nie tylko). Dlaczego? Wyobraź sobie że dzwoni oszust, babcia podała już dane ale oszustowi wyskakuje powiadomienie o kluczu. Oszust wie wtedy że nie jest w tej sytuacji nic zrobić. Co najwyżej czekać na paczkę z kluczem, która nie wiadomo kiedy przyjdzie. A najśmieszniejsze jest jak oszust jest z Rosji i próbuje wytłumaczyć dla czego babcia ma tam wysłać klucz 😂. Zaopatrując się w taki klucz warto kupić 2 sztuki. Jeden jako zapasowy w przypadku zgubienia klucza i drugi który zawsze nosimy ze sobą.
Znana nam dobrze z urządzeń mobilnych. Aktualnie jest ona w pewien sposób standardem zabezpieczenia telefonu. W celu weryfikacji wykonuje się skan biometryczny (odcisk palca, skan twarzy, rzadziej: weryfikacja głosu, skan oka itp.). Jest to metoda tak samo bezpieczna jak zastosowano w nim urządzenie. Niektóre starcze urządzenia posiadały na prostej zasadzie gdzie wystarczyło zdobyć np. odcisk palca i wykonać odlew. Nie było sprawdzane czy palec posiada tkankę żywą czy martwą. Innym przykładem były pierwsze generacje skanów odcisków palców gdzie wystarczyło wykonać niewielkie spięcie na czytniku. Weryfikacja odbywała się bezpośrednio na czytniku skanu palca co nie było za dobrą praktyką. Na dzień dzisiejszy biometria jest na stosunkowo dobrym poziomie.
Podsumowując weryfikacja dwuetapowa jest naszym następnym zabezpieczeniem. Warto sprawdzić na stronach z których korzystasz czy aby nie ma ona w ustawieniach ukrytej takiej opcji. Jeżeli nie jesteś pewien(-na) to możesz sprawdzić w Internecie wpisując „nazwa_strony/aplikacji weryfikacja dwuetapowa” -> przykład „Google weryfikacja dwuetapowa”. Jeżeli jeszcze jej nie masz to dobrze jest ją włączyć.
Kwestię tego którą metodę 2FA wybierzesz pozostawiam Tobie.
Nie zapomnij zabezpieczyć swoich E-Maili w ten sposób. Przecież mając dostęp do Twoich skrzynek pocztowych zawsze oszust może udać że „Zapomniałeś(-aś) hasło” w innych Twoich kontach 😏.
Linki
Oczywiście jak zawsze staram się podać linki żeby nie było że to wszystko wymyśliłem z nudów na poczekaniu 🤪
