Spis treści
- Co to jest phishing, czyli jak działają cyberprzestępcy
- Nie każda weryfikacja dwuetapowa daje 100% ochrony
- Co to jest klucz bezpieczeństwa U2F?
- Klucz bezpieczeństwa U2F – jak działa?
- Zalety korzystania z kluczy U2F
- Klucze U2F – FAQ, czyli najczęściej zadawane pytania
- Gdzie kupić klucz U2F?
- Ile kosztuje klucz bezpieczeństwa U2F?
- Jaki klucz wybrać?
- Czy klucz bezpieczeństwa trzeba mieć zawsze przy sobie?
- Co się stanie, gdy zgubię klucz bezpieczeństwa U2F?
- Dlaczego warto mieć dwa klucze bezpieczeństwa?
- Które serwisy wspierają U2F?
- Czy klucze U2F można stosować na telefonie?
- Jak skonfigurować klucz bezpieczeństwa U2F?
- Czy klucz U2F chroni przed wszystkimi zagrożeniami w Internecie?
- Klucze bezpieczeństwa U2F a Google Workspace
Działający w strukturach NASK – Państwowego Instytutu Badawczego zespół CERT Polska w 2021 roku zarejestrował 116 071 zgłoszeń dotyczących incydentów cyberbezpieczeństwa. Najpopularniejszy wśród nich był phishing, który stanowił aż 76,57% wszystkich obsłużonych zdarzeń.
W porównaniu z rokiem poprzednim liczba incydentów sklasyfikowanych jako phishing wzrosła o 196%. Oznacza to, że cyberprzestępcy nie tylko nie śpią, ale drastycznie wzmożyli swoją działalność. Na szczęście nie pozostajesz bezbronnym wobec cyberataków. Istnieje prosty – i stosunkowo tani – sposób, aby się przed nimi chronić. A jest nim klucz bezpieczeństwa U2F.
Co to jest phishing, czyli jak działają cyberprzestępcy
Phishing to metoda oszustwa, w ramach której haker podszywa się pod jakąś osobę lub organizację, aby wyłudzić od swojej ofiary poufne informacje, takie jak loginy i hasła czy dane karty kredytowej. To właśnie dlatego termin „phishing” bywa czasem tłumaczony jako password harvesting fishing (czyli łowienie haseł).
Cyberprzestępcy stosujący phishing często tworzą stronę internetową, która do złudzenia przypomina tę właściwą (np. stronę banku, Gmaila czy Facebooka). Następnie przesyłają swoim ofiarom linki do fałszywej strony i proszą, aby się na niej zalogować (np. pod pretekstem konieczności dodatkowej weryfikacji konta). Kiedy spotka Cię taka sytuacja i na podrobionej stronie wprowadzisz login oraz hasło, zostaną one przechwycone przez phisherów.
W praktyce oznacza to, że samo hasło dziś już nie wystarczy. Nawet jeśli w procesie zakładania konta użyjesz znaków specjalnych oraz małych i wielkich liter, to i tak nie możesz mieć pewności co do tego, że nie dostanie się ono w ręce hakerów. Co więcej, najczęściej sam podasz im je na tacy, przekazując w ten sposób dostęp do wielu informacji – począwszy od zdjęć z wakacji, przez treść przesłanych maili po wrażliwe dane, takie jak numery kart płatniczych czy informacje widniejące na dokumentach tożsamości.
Nie każda weryfikacja dwuetapowa daje 100% ochrony
Odpowiedzią na te bolączki miała być weryfikacja dwuetapowa, nazywana też uwierzytelnieniem wieloskładnikowym. Polega ona na potwierdzeniu tożsamości użytkownika za pomocą hasła i jakiegoś dodatkowego elementu. Zabezpieczeniem drugiego poziomu może być na przykład kod, który otrzymasz SMS-em, czy wpisanie PIN-u wygenerowanego w aplikacji.
Tyle że… no właśnie… Jeśli znajdujesz się na stronie przechwytującej dane, to wprowadzone kody czy PIN-y również zostaną przez Ciebie przekazane przestępcom. Obecnie jedynym zabezpieczeniem, które w pełni chroni przed skutkami phishingu jest klucz U2F.
Czytaj też:
- Mobile Device Management w Google Workspace
- Zarządzanie punktami końcowymi
- Bezpieczeństwo w konsoli Enterprise
Co to jest klucz bezpieczeństwa U2F?
Klucze bezpieczeństwa U2F to niewielkie, proste urządzenia zewnętrzne – wyglądem przypominające zwykły pendrive – których używa się jako drugiego elementu podczas uwierzytelnienia wieloskładnikowego. W praktyce wygląda to taki sposób, że aby zalogować się do jakiegoś serwisu najpierw podajesz hasło, zaś w drugim kroku musisz umieścić w jednym z portów urządzenia (np. USB czy USB-C) klucz U2F, który dokona dodatkowej weryfikacji.
Choć na pierwszy rzut oka proces ten może wydawać się skomplikowany to tak naprawdę klucz sprzętowy stanowi uproszczenie uwierzytelniania dwuskładnikowego. Dzięki użyciu kluczy bezpieczeństwa nie trzeba bowiem generować dodatkowych haseł ani PIN-ów, a podpięcie urządzenia przy pomocy USB trwa zaledwie kilka sekund.
To jedyna metoda dwuetapowego uwierzytelnienia, której nie da się wyłudzić. Dlaczego? Otóż jeśli użytkownik znajduje się na fałszywej stronie, klucz zabezpieczeń to wykryje i nie poda danych potrzebnych do zalogowania. Inaczej mówiąc, nawet jeśli na fałszywej stronie podasz swój login i hasło, a nawet użyjesz na niej klucza U2F, cyberprzestępcom i tak nie uda się przejąć Twojego konta.
Na rynku dostępne są klucze obsługujące różne metody komunikacji i uwierzytelniania. Możesz kupić tokeny pasujące do laptopów czy urządzeń mobilnych (większość kluczy może łączyć się z urządzeniami również bezprzewodowo, za pośrednictwem NFC). Co ważne, klucze działają offline: nie potrzebujesz połączenia z Internetem, by wygenerować hasła.
Sprawdź, czy w dobie pracy zdalnej dane Twojej firmy są bezpieczne.
Klucz bezpieczeństwa U2F – jak działa?
Z punktu widzenia użytkownika klucz szyfrujący działa niezwykle prosto. Wystarczy raz skonfigurować go z wybranym serwisem, a następnie łączyć go z komputerem czy smartfonem przy kolejnych logowaniach na tej platformie. Klucz będzie wymagany za każdym razem, kiedy logujesz się do danego serwisu na nowym urządzeniu lub w świeżej przeglądarce. Jeśli podczas logowania zaznaczona zostanie opcja „zapamiętaj mnie”, używanie klucza U2F nie będzie konieczne aż do samodzielnego wylogowania się z serwisu.
A jak wygląda działanie klucza z technologicznego punktu widzenia? Otóż klucz zabezpieczeń to proste urządzenie zewnętrzne, które – mówiąc w pewnym uproszczeniu – zawiera w sobie mały komputer. Poprzez podłączenie go do komputera czy zbliżenie do czytnika NFC zasilamy narzędzie, dzięki czemu może ono wykonywać operacje kryptograficzne.
W urządzeniu generowane są dwa klucze – prywatny i publiczny. Kiedy konfigurujesz narzędzie z jakimś serwisem internetowym, klucz publiczny jest do niego wgrywany jako drugi element weryfikacji wieloskładnikowej. Klucz prywatny nigdy zaś nie opuszcza urządzenia U2F.
W chwili weryfikacji tożsamości, użytkownik musi dotknąć palcem klucza, co uruchamia operację podpisu kryptograficznego. Proces ten odbywa się w kluczu (a nie w komputerze czy smartfonie), dzięki czemu prywatnego klucza nie da się wykraść.
Czytaj też: Funkcje zwiększające bezpieczeństwo konta Google
Zalety korzystania z kluczy U2F
Skoro wiemy już czym są klucze bezpieczeństwa i jak działają, warto pokrótce przyjrzeć się korzyściom, jakie wiążą się z używaniem tych urządzeń. Wymieńmy tylko te najważniejsze:
Pełna ochrona – obecnie to jedyna metoda, która daje stuprocentową ochronę przed phishingiem. Dlatego warto weryfikować swoją tożsamość za pomocą klucza we wszystkich serwisach, mediach społecznościowych i aplikacjach mobilnych, w których działa dwustopniowa weryfikacja i które umożliwiają zalogowanie się w ten sposób.
Łatwość użycia – klucze są bardzo poręczne i małe, dlatego zawsze możesz mieć je przy sobie. Samo ich użycie zajmuje zaledwie kilka chwil.
Bezpieczeństwo – klucze nie magazynują danych, więc nawet jeśli zgubisz gdzieś token to nic się nie stanie, Twoje dane nadal będą bezpieczne – wystarczy, że kupisz nowy egzemplarz.
Uniwersalność – jeden klucz możesz połączyć z kilkoma różnymi serwisami i logować się za jego pośrednictwem na wszystkich swoich urządzeniach.
Szeroki wybór urządzeń – na rynku dostępne są różne rodzaje kluczy, dzięki którym na pewno uda Ci się wybrać produkt w pełni dostosowany do Twoich potrzeb. Tokeny zaprojektowane są tak, by odpowiadały różnym metodom komunikacji, dzięki czemu posiadanie portu USB w urządzeniu nie stanowi wyznacznika dla ochrony Twoich kont online.
Dostępność cenowa – podstawowe klucze zabezpieczeń, np. klucze yubikey, można kupić już za około 150-200 zł. To naprawdę niewielka cena za spokojnie przespane noce oraz 100% ochronę przed phishingiem.
Czytaj też:
- Czy chmura Google Workspace jest zgodna z prawem?
- Słabe punkty weryfikacji dwuetapowej
- 5 zasad dbania o bezpieczeństwo danych w firmie
Klucze U2F – FAQ, czyli najczęściej zadawane pytania
Gdzie kupić klucz U2F?
Klucze bezpieczeństwa są łatwo dostępne. Można je kupić zarówno w Internecie jak i w sklepach stacjonarnych wyspecjalizowanych w sprzedaży sprzętu komputerowego. Przed dokonaniem zakupu porównaj oferty sprzedawców, zaś kupując w Internecie – upewnij się, że korzystasz z wiarygodnego sklepu online.
Ile kosztuje klucz bezpieczeństwa U2F?
Cena kluczy U2F zależy od funkcji, w jakie zostało wyposażone urządzenie – w przypadku większości modeli dostępnych na rynku zakup klucza to wydatek rzędu kilkuset złotych.
Podstawowe modele kosztują obecnie (październik 2022) około 150 zł. Jednak dostępne są również bardziej zaawansowane technologicznie urządzenia, których ceny sięgają nawet kilku tysięcy złotych.
Warto przy tym pamiętać, że nawet najtańszy klucz bezpieczeństwa w pełni chroni przed phishingiem, jeśli więc nie zależy Ci na dodatkowych funkcjach, to prawdopodobnie będzie on dla Ciebie wystarczający.
Jaki klucz wybrać?
O wyborze klucza U2F powinny zadecydować dwa czynniki – rodzaj złącza w jakie wyposażone jest urządzenie oraz dostępne na nim funkcje.
Jeśli chodzi o ten pierwszy element, to do wyboru masz złącze USB, USB-C oraz lightning. Dobra wiadomość jest taka, że nawet jeśli korzystasz z urządzeń z różnymi portami, to możesz wpinać do nich swój klucz za pomocą przejściówki.
Kiedy zdecydujesz się już na konkretne złącze, zastanów się jeszcze, czy chcesz korzystać z dodatkowych opcji. Urządzenia te mogą służyć na przykład do przechowywania kluczy SSH i PGP, dodatkowe zabezpieczenia biometryczne czy możliwość logowania się do systemu operacyjnego.
Pamiętaj, że wszystkie klucze U2F dobrze chronią przed phishingiem, niezależnie od ich producenta. Co więcej, podstawowe modele są równie skuteczne jak te z dodatkowymi funkcjami.
Czy klucz bezpieczeństwa trzeba mieć zawsze przy sobie?
Użycie klucza zabezpieczeń konieczne jest przy logowaniu się do serwisu na nieznanym urządzeniu lub w nowej przeglądarce. Jeśli podczas weryfikacji tożsamości zaznaczysz opcję „zapamiętaj mnie”, kolejne użycie klucza U2F nie będzie konieczne aż do samodzielnego wylogowania. Pamiętaj jednak, że ze względów bezpieczeństwa serwisy czasem samodzielnie dokonują wylogowania swoich użytkowników. Dlatego dobrze mieć swój klucz zawsze przy sobie.
Co się stanie, gdy zgubię klucz bezpieczeństwa U2F?
Jeśli zgubisz swój klucz U2F, to na szczęście nie stanie się nic, co zagrażałoby bezpieczeństwu Twoich kont w serwisach internetowych. Urządzenie nie przechowuje żadnych danych, więc ewentualny znalazca nie przechwyci Twoich haseł ani żadnych innych plików.
Sytuacja taka będzie jednak wymagała od Ciebie usunięcia tego urządzenia ze wszystkich platform, na których używane było ono do weryfikowania tożsamości. Kiedy to zrobisz, możesz skonfigurować serwis z nowym kluczem i korzystać z niego na tych samych zasadach, co wcześniej.
Dlaczego warto mieć dwa klucze bezpieczeństwa?
To pytanie ściśle wiąże się z poprzednim. Wiele osób uważa, że warto zaopatrzyć się w dwa urządzenia U2F – w klucz podstawowy i zapasowy. Większość serwisów pozwala nam podpiąć więcej niż jeden klucz. A skoro podstawowy klucz należy nosić zawsze przy sobie, to podnosi to ryzyko jego zgubienia. Najlepiej mieć drugie urządzenie i przechowywać je w bezpiecznym miejscu w domu. Dzięki temu, kiedy zgubimy klucz podstawowy, natychmiast będziemy mogli zacząć korzystać z zapasowego urządzenia. W ten sposób nie damy cyberprzestępcy ani chwili na to, aby próbował nas oszukać.
Które serwisy wspierają U2F?
Liczba serwisów, do których można podpiąć klucze U2F jest coraz większa i będzie nadal rosnąć. Z rozwiązania tego pozwalają korzystać na przykład takie platformy jak Google Workspace, Microsoft, Facebook, Twitter, Onet, WP czy GitHub. Jeśli chcesz mieć pewność co do tego, czy jakiś serwis wspiera zabezpieczenie kluczami bezpieczeństwa, zweryfikuj to bezpośrednio na jego stronie.
Czy klucze U2F można stosować na telefonie?
Tak, dostępne są klucze z pasującymi do smartfonów złączami USB-C oraz lightning. Z telefonem możesz też łączyć klucz za pomocą czytnika NFC lub przy użyciu przejściówki.
Jak skonfigurować klucz bezpieczeństwa U2F?
Konfiguracja klucza w poszczególnych serwisach internetowych różni się od siebie. Niemniej w większości platform opcję podpięcia U2F znajdziesz w Ustawieniach, w zakładce Bezpieczeństwo.
Czy klucz U2F chroni przed wszystkimi zagrożeniami w Internecie?
Niestety nie. Klucze zabezpieczeń stanowią doskonałą zaporę przed atakami phishingowymi, ale nie uchronią Cię przed takimi zagrożeniami jak na przykład wirusy, złośliwe oprogramowanie czy wycieki baz danych.
Klucze bezpieczeństwa U2F a Google Workspace
Google Workspace od dawna wspiera klucze szyfrujące. Jeśli korzystasz z tego pakietu, możesz tak skonfigurować instancję, aby wszyscy użytkownicy w Twojej domenie logowali się do swoich kont za pośrednictwem weryfikacji dwuetapowej z wykorzystaniem kluczy U2F.
Czytaj też: Administrator Google Workspace – ile ma kontroli?
Zaś jeśli chcesz dowiedzieć się więcej na ten temat, albo wykonać w swojej organizacji audyt bezpieczeństwa, skontaktuj się z nami. Specjaliści FOTC chętnie Ci pomogą.
