Bezpieczeństwo do kwadratu

Uwierzytelnianie dwuskładnikowe może pomóc użytkownikom lepiej chronić się online. Konto Google oferuje różne opcje

Skutki udanego ataku na dane mogą być nieprzyjemne. Zdarzało się, że nieznane osoby wykorzystywały konta ofiar do trollowania w mediach społecznościowych lub wysyłania fałszywych e-maili. W innych przypadkach z kont bankowości internetowej znikały pieniądze. Często atak hakera pozostaje niezauważony do czasu, aż pojawią się rzeczywiste szkody.

Istotnym powodem, dla którego kradzież danych zdarza się tak często, jest przekonanie wielu użytkowników, że hasło stanowi dobre zabezpieczenie, które ochroni ich w internetowym świecie. Użytkownicy nie mają świadomości, że opracowano miliony kombinacji nazw użytkownika i haseł. Takie listy, nazywane przez ekspertów „zrzutami haseł”, są tworzone na podstawie danych zgromadzonych w wyniku wielokrotnych udanych kradzieży. Wiele osób używa tych samych haseł w kilku miejscach, więc ich dane logowania na konto Google również znajdą się w „zrzucie haseł”, nawet jeśli akurat to konto zostało zhakowane. Kolejnym poważnym zagrożeniem jest phishing, czyli próba wyłudzenia hasła bądź innych informacji przeprowadzona przy użyciu e-maili lub stron sprawiających wrażenie godnych zaufania.

Z tego względu firmy takie jak Google zalecają użytkownikom zabezpieczanie kont uwierzytelnianiem dwuskładnikowym. Ten sposób logowania wymaga wykorzystania dwóch osobnych czynników, np. hasła i kodu wysyłanego SMS-em. Uwierzytelnianie dwuskładnikowe stało się bardzo popularne, szczególnie w przypadku banków i operatorów kart kredytowych.

Eksperci wyróżniają 3 podstawowe typy czynników bezpieczeństwa. Pierwszy to informacja („coś, co wiesz”). Jest to np. wysyłany do użytkownika SMS-em kod, który trzeba wpisać, lub odpowiedź na pytanie zabezpieczające. Drugi czynnik to obiekt fizyczny („coś, co masz”), którego można użyć do uwierzytelniania, np. karta kredytowa. Trzeci to dane biometryczne („coś, czym jesteś”), np. odcisk palca używany do odblokowywania ekranu smartfona. Uwierzytelnianie dwuskładnikowe zawsze opiera się na kombinacji 2 różnych czynników spośród wymienionych.

Google oferuje różne rodzaje uwierzytelniania dwuskładnikowego. Oprócz tradycyjnego hasła użytkownicy mogą wpisywać jednorazowy kod zabezpieczający, który otrzymują jako SMS lub podczas połączenia głosowego bądź generują w aplikacji Google Authenticator. Jest to aplikacja przeznaczona na Androida oraz iOS (system operacyjny Apple na urządzenia mobilne). Użytkownicy mogą też dodać na koncie Google listę zaufanych urządzeń. Jeśli zalogują się na urządzeniu spoza listy, otrzymają ostrzeżenie od Google.

Od 3 lat Google oferuje też możliwość korzystania z fizycznego tokenu zabezpieczającego, czyli klucza bezpieczeństwa. Jest to klucz USB, NFC lub Bluetooth połączony z urządzeniem. Cały proces opiera się na otwartym standardzie uwierzytelniania pod nazwą Universal 2nd Factor (U2F), opracowanym przez konsorcjum FIDO. Google należy do tego konsorcjum, podobnie jak firmy takie jak Microsoft, Mastercard czy PayPal. Tokeny zabezpieczające oparte na standardzie U2F są dostępne u wielu producentów za niewielką opłatą. Ich skuteczność nie podlega wątpliwości. Odkąd zostały wprowadzone, liczba kradzieży danych znacznie spadła. O ile konto online można teoretycznie zhakować z dowolnego miejsca na świecie, fizyczny token zabezpieczający musi dostać się w ręce złodzieja (który dodatkowo potrzebuje danych logowania ofiary, by wejść na jej konto). Również firmy inne niż Google korzystają już z tokenów zabezpieczających.

Uwierzytelnianie dwuskładnikowe ma też jednak oczywiście wady. Jeśli opiera się na kodzie z SMS-a, użytkownik musi mieć przy sobie telefon, by zalogować się na nowym urządzeniu. Z kolei klucze USB i Bluetooth można zgubić. Nie są to jednak trudności nie do przezwyciężenia, a z pewnością warto się na nie zgodzić, jeśli w grę wchodzi dodatkowa warstwa zabezpieczeń, jaką zapewnia ta metoda. W przypadku utraty klucza zabezpieczającego można zawsze usunąć ostatni token z konta i dodać nowy. Można też zarejestrować od razu 2 klucz bezpieczeństwa i przechowywać go w bezpiecznym miejscu.

Więcej informacji znajdziesz na stronie

g.co/2step

Ilustracje: Birgit Henne