Spis treści
Nie umknęło niczyjej uwadze, że od 14 września 2019 zmienił się sposób logowania do serwisów bankowości elektronicznej. Wszystko to przez unijną dyrektywę PSD-2 (z ang. Payment Services Directive 2). Do tej pory, aby uzyskać dostęp do konta wystarczyło, znać numer klienta i hasło – od teraz wymagany jest dodatkowy krok w procesie potwierdzania tożsamości, czyli wpisanie na stronie kodu z SMS-a wysłanego na numer telefonu powiązany z kontem.
Ta spora zmiana z punktu widzenia klientów zwróciła uwagę wielu osób na sposób zabezpieczenia, który od dawna jest dostępny w wielu serwisach, ale rzadko decydujemy się, by z niego korzystać. Mowa o uwierzytelnieniu wielopoziomowym, czyli takim, które poza hasłem wymaga zaangażowania w proces logowania fizycznych urządzeń – w skrócie nazywane jest to 2FA.
Zobacz też:
Co to jest 2FA?
2FA to skrót od anglojęzycznej frazy two-factor authentication, czyli dwustopniowa autoryzacja.
Wraz z rozwojem technologii mobilnych, zaangażowanie fizycznych urządzeń w proces logowania stało się możliwe dla wszystkich – w Polsce odsetek unikalnych użytkowników mobilnych wynosi aż 74%, a średnia światowa to 66%. Można śmiało założyć, że wszystkie osoby korzystające z internetu posiadają też telefon komórkowy.
Zobacz też: Telefon jako klucz bezpieczeństwa
Dzięki 2FA, nikt kto nie ma naszego telefonu bądź klucza U2F w rękach, nie zaloguje się też na nasze konto.
Czy wiesz, że jako administrator Google Workspace możesz wymusić na wszystkich pracownikach swojej firmy korzystanie z weryfikacji dwuetapowej podczas logowania do służbowego konta Google? Ponadto możesz sprawdzić siłę ich haseł i kontrolować urządzenia mobilne, które są połączone z firmowymi kontami. Jeśli chcesz wypróbować Google Workspace za darmo przez 30 dni, to skontaktuj się z nami.
Co to jest klucz U2F?
Klucz U2F (ang. universal second factor) to niewielkie urządzenie USB lub NFC, które możemy nosić zawsze przy sobie i używać jak tradycyjnego klucza za każdym razem, gdy logujemy się na nasze konto. Zaletą klucza U2F jest to, że może być połączony z wieloma kontami równocześnie.
Nie ma zabezpieczeń doskonałych, ale klucz U2F, lub jednorazowy kod SMS wysyłany na telefon są niemal niemożliwe do przechwycenia na odległość. Dlaczego więc nie używamy weryfikacji dwuetapowej wszędzie?
Wady weryfikacji dwuetapowej
Jak każda metoda autoryzacji, 2FA ma słabe strony, które mogą być wykorzystane na naszą niekorzyść:
1. Dodatkowe dane
By stworzyć konto w którymkolwiek serwisie online, musisz zarejestrować w systemie swój adres email. Za każdym razem narażamy się przy tym na spam. Otrzymywanie niechcianej korespondencji, której się nie spodziewamy, jest zawsze frustrujące, a nie wszystkie skrzynki pocztowe mają skuteczne algorytmy antyspamowe.
Gdy decydujemy się na weryfikację dwustopniową poprzez kod SMS, to siłą rzeczy musimy powiązać z kontem nasz numer telefonu. To jest kolejna informacja osobista, którą oddajemy właścicielom serwisów. Niestety, pomimo RODO, nie możemy liczyć na to, że wszyscy zachowają ją dla siebie. Dajemy dostawcom usług internetowych kompletny zestaw podstawowych personalnych informacji. Tym samym zdajemy się na ich zabezpieczenia i uczciwość. Wycieki danych nadal zdarzają się dużo częściej, niż nam się wydaje.
Pod tym względem klucze bezpieczeństwa U2F zdecydowanie wygrywają z kodami SMS – klucz nie pozostawia w serwisach żadnych wrażliwych danych.
2. Zgubne skutki nieuwagi
Niestety, nie możemy mieć pewności, że narzędzia do uwierzytelnienia będą pod ręką zawsze, gdy będą potrzebne. Zazwyczaj do 2FA używamy rzeczy, które są ciągle przy nas, ale jeden błąd może spowodować, że nie będziemy w stanie uzyskać dostępu do naszych danych i kont.
Powiązanie z fizycznego urządzenia z naszym kontem oraz wymuszenie jego wykorzystania do każdego logowania sprawia, że musimy zwracać jeszcze większą uwagę na to, by nie zgubić kluczy i telefonu. Nie jest to proste, ponieważ te przedmioty nosimy przy sobie cały czas – każdemu z nas zdarza się czasem zostawić je gdzieś bez nadzoru.
W przypadku telefonu istnieje jeszcze więcej ryzykownych sytuacji, które mogą na jakiś czas odciąć nam dostęp do konta objętego dwustopniową weryfikacją. Może zabraknąć nam baterii w miejscu, gdzie nie możemy podłączyć urządzenia do zasilania. Telefon może wypaść nam z rąk i ulec awarii. Kliknięcie podejrzanego linku może zainstalować na naszym smartfonie oprogramowanie typu ransomware, które zablokuje system operacyjny urządzenia.
3. Dziury w systemie
Nawet jeśli poprawnie skonfigurujemy 2FA i ustawimy silne hasło, nadal istnieją sposoby, by obejść nasze zabezpieczenia. Przykładowo, poprzez procedurę resetowania hasła. Prawda jest taka, że gdy stracimy urządzenie niezbędne do uwierzytelnienia, to jesteśmy w identycznej sytuacji jak hacker, który próbuje przejąć kontrolę nad kontem. Jeśli my możemy zresetować hasło bez drugiego stopnia weryfikacji, to hacker też może to zrobić.
Okazuje się, że opcje odzyskiwania hasła często sprawiają, że weryfikacja dwustopniowa staje się bezużyteczna. Dlatego wiele firm, m.in. Apple, wycofują dotychczas dostępne opcje odzyskiwania. Wiąże się to z jednym istotnym ryzykiem – możemy kiedyś stracić dostęp do konta na zawsze.
4. Miecz obusieczny
Nie dość, że weryfikacja dwuetapowa może okazać się nieskuteczna, to istnieją przypadki, gdy jest ZBYT skuteczna. Może zdarzyć się tak, że hacker powiąże nasze konto ze swoim urządzeniem i tym samym zupełnie odbierze nam dostęp do danych i środków. I nic nie będziemy mogli na to poradzić. Jeśli opcje resetowania hasła zostały w tym serwisie usunięte, to udowodnienie oszustwa i zablokowanie utraconego konta może nam przysporzyć wielu problemów.
Wszystkie odpowiedzialne serwisy nie ustają w wysiłkach, by wzmocnić swoje protokoły uwierzytelnienia i utrudnić odzyskiwanie kont. Ustawienie weryfikacji dwuetapowej na najistotniejszych kontach staje się więc koniecznością – zrób to, zanim hacker zrobi to za Ciebie.
Wnioski
Jedno jest pewne: weryfikacja dwuetapowa zwiększa bezpieczeństwo procesu logowania, ale nie gwarantuje stuprocentowej ochrony przed kradzieżą tożsamości. Warto jej używać (choćby po to, by ktoś inny nie użył jej za nas i nie odciął nam dostępu do konta), ale nie zwalnia nas to z obowiązku zachowania ostrożności.
Specjaliści oceniają, że do 2025 roku nawet 99% incydentów bezpieczeństwa w chmurze będzie wynikać z błędów po stronie użytkownika. Jeśli nie masz pewności co do tego, czy dane Twojej firmy są odpowiednio chronione, możemy pomóc Ci to zweryfikować. W FOTC oferujemy usługę audytu bezpieczeństwa, który polega na szczegółowym sprawdzeniu ustawień Twojej instancji Google Workspace pod kątem jej zabezpieczenia przed wyciekami danych, cyberatakami oraz nieuczciwymi działaniami pracowników. W ramach usługi szczegółowo analizujemy ponad 150 punktów ryzyka w obrębie ośmiu kluczowych obszarów. Szczegółowe informacje na ten temat znajdziesz na naszej stronie dotyczącej audytu bezpieczeństwa.
