Co to jest 2FA?
Weryfikacja dwuetapowa (2FA) jest dodatkowym zabezpieczeniem wykorzystywanym podczas procesu logowania do konta danej aplikacji. W trakcie logowania wymagane jest podanie loginu oraz hasła, jednak w celu dodatkowego zabezpieczenia konta rekomendowane jest użycie drugiego poziomu zabezpieczenia, tzw. weryfikacji dwuetapowej. Rozwiązanie to polega na wykorzystaniu np. jednorazowych kodów uwierzytelniających, połączenia głosowego czy użycie klucza bezpieczeństwa na potrzeby danego logowania.
Dlaczego warto używać weryfikacji dwuetapowej?
W obecnych czasach każdy z użytkowników Internetu jest narażony na wyciek danych logowania. Loginy oraz hasła mogą zostać skradzione przez cyberprzestępców, potencjalnie umożliwiając dostęp do kont, np. społecznościowych lub e-mail. W przypadku wycieku danych logowania użytkownik może zostać narażony na utratę tożsamości czy kradzież pieniędzy a konto zabezpieczone dodatkowo 2FA uniemożliwia cyberprzestępcom zalogowanie się, pomimo posiadania przez nich loginu i hasła.
Sposoby dodatkowego uwierzytelnia
- Kod z wiadomości SMS – Większość dostawców usług zapewnia dodatkową weryfikację za pomocą kodu SMS wysłanego na numer telefonu określony w systemie. Niektórzy producenci, np. Whatsapp, oferują połączenie głosowe w celu dodatkowej weryfikacji. Istnieją bezpieczniejsze formy dodatkowej weryfikacji niż wiadomość SMS lub głosowa (np. ze względu na ryzyko przejęcia zdalnego lub utraty telefonu komórkowego), jednak nadal takie rozwiązanie jest lepszą ochroną konta niż brak zaimplementowania tego mechanizmu.
- Kod z aplikacji uwierzytelniającej – Google Authenticator i Microsoft Authenticator to najpopularniejsze aplikacje, które mogą być alternatywą dla wiadomości głosowych lub SMS. Zasada ich działania jest praktycznie taka sama jak dla kodu z wiadomości SMS, jednak dodatkową zaletą jest zabezpieczenie przed uruchomieniem tej aplikacji przez osoby trzecie np. poprzez PIN, odcisk palca lub FaceID (tylko iOS) oraz brak potrzeby korzystania z sygnału komórkowego. Ważną kwestią jest instalacja wspominanych aplikacji tylko z zaufanych źródeł, takich jak AppStore czy Google Play. Dodatkowo należy zadbać o regularną aktualizację aplikacji.
- Kod jednorazowy – Znaczna ilość producentów zapewnia listę kodów po włączeniu 2FA. Kody te są jednorazowe i działają w trybie offline. Zaletą korzystania z kodów jednorazowych jest brak konieczności używania dodatkowych urządzeń (np. telefon). Należy pamiętać o bezpiecznym przechowywaniu kodów tak, aby osoby trzecie nie posiadały dostępu do nich. Wadą korzystania z kodów jednorazowych jest ryzyko kradzieży lub zagubienia listy z kodami.. Po wykorzystaniu wszystkich kodów jednorazowych należy pamiętać o wygenerowaniu ich dodatkowej ilości.
- Klucz bezpieczeństwa U2F – Jest to klucz fizyczny rozmiarów pendrive’a, który po podłączeniu do komputera uwierzytelnia się w procesie logowania. Sprzęt oferuje uwierzytelnienie za pomocą samego klucza bez potrzeby podawania loginu i hasła, z podaniem danych poświadczających oraz z dodatkowym elementem zabezpieczenia, jak np. odcisk palca czy kod PIN (Multi Factor Authentication). Wybierając tę dodatkową ochronę należy zaopatrzyć się w dodatkowy klucz, który będzie służył na wypadek zagubienia tego pierwszego. Wadą takiego rozwiązania jest cena urządzenia, która kształtuje się w okolicach 200-400zł, w zależności od funkcji.
Wspomniane rozwiązania dwuetapowego uwierzytelnienia pomagają dodatkowo chronić konto w Internecie. Istnieją również rozwiązania, które pomimo rekomendacji przez producentów jako dodatkowe zabezpieczenie konta nie spełniają funkcji zabezpieczającej. Do takich rozwiązań należy potwierdzenie przez dodatkowy adres e-mail lub pytania zabezpieczające, np. „Jaki jest Twój ulubiony owoc?”. W dobie stosunkowo łatwych przejęć kont pocztowych oraz różnych mechanizmów pozwalających odgadnąć odpowiedzi na pytania zabezpieczające, powyższe rozwiązania nie należą do bezpiecznych i nie zapewniają takiej samej ochrony jak 2FA. Dlatego dobrą praktyką jest włączenie dwuetapowej weryfikacji.
Co w przypadku, jeśli moje konto nie obsługuje 2FA?
Pomimo rozwoju rozwiązania 2FA, wciąż istnieją portale internetowe, które podczas logowania nie obsługują dwuetapowego uwierzytelnienia. W tym przypadku należy upewnić się, że hasło, które jest wykorzystywane w danym portalu jest odpowiednio silne, tj. zawiera co najmniej 8 znaków, małe i wielkie litery, cyfry oraz znaki specjalne. Należy unikać używania tego samego hasła do kilku różnych portali ze względu na to, że gdy na jednej stronie nastąpi wyciek danych logowania (np. w wyniku ataku hakerskiego), cyberprzestępcy będą próbowali zalogować się do najpopularniejszych portali (np. Facebook, Gmail) celem uzyskania dostępu do nich. Rekomendowane jest unikanie kombinacji haseł, które mogą wskazywać na dane personalne osoby korzystającej z konta. Przede wszystkim dobrą praktyką jest unikanie wykorzystywania w hasłach takich danych, jak daty urodzenia, imiona, pseudonimy etc.
Do generowania silnych haseł oraz ich przechowywania można wykorzystywać tzw. menadżery haseł, jak np. KeePass czy 1password. Należy pamiętać o aktualizacji aplikacji oraz ustawieniu silnego hasła głównego.
Instrukcje wdrożenia 2FA do najpopularniejszych portali
Na wskazanej niżej liście znajduje się zestawienie instrukcji wdrożenia dwuetapowej weryfikacji do najpopularniejszych stron wykorzystywanych w Internecie:
- Konta pocztowe
- WP oraz o2 (dedykowana aplikacja 1login)
https://1login.wp.pl/informacje#aplikacja
- Konta społecznościowe
- Pozostałe usługi
Obsługa aplikacji uwierzytelniających
Jak obsługiwać aplikacje uwierzytelniające? Takie wskazówki znajdują się w niniejszych instrukcjach dedykowanych obsłudze najpopularniejszych aplikacji uwierzytelniających:
- Microsoft Authenticator
https://www.microsoft.com/pl-pl/account/Authenticator
- Google Authenticator
https://support.google.com/accounts/answer/1066447?co=GENIE.Platform%3DAndroid&hl=pl