Varnost na kvadrat

Preverjanje pristnosti v dveh korakih lahko uporabnikom pomaga do boljše zaščite v spletu. Račun Google ponuja več možnosti.

Uspešen vdor v podatke ima lahko neprijetne posledice. Znani so primeri, ko so neznani napadalci uporabljali račune žrtev vdorov za trolanje po družbenih omrežjih v imenu prizadetega uporabnika ali pošiljanje goljufivih e-poštnih sporočil. Drugim se je zgodilo, da jim je izginil denar iz spletnih bančnih računov. Ljudje pogosto ne opazijo, da so jim vdrli v račune, dokler ni škoda že storjena.

Do tatvin podatkov prihaja vedno znova, ker se večina uporabnikov pri zaščiti v spletnem svetu preveč zanaša na gesla. Ljudje se ne zavedajo, da so v spletu seznami, ki vsebujejo več milijonov kombinacij uporabniških imen in gesel. Te »izvoze gesel«, kot tem seznamom pravijo strokovnjaki, sestavljajo podatki, pridobljeni s številnimi uspešnimi primeri tatvin podatkov. Ker veliko ljudi uporablja gesla za več stvari, je mogoče njihove podatke za prijavo v račune Google prav tako najti v teh »izvozih gesel«, tudi če v njihove račune v resnici ni nihče vdrl. Druga stalno prisotna grožnja je lažno predstavljanje – goljufivi poskusi pridobivanja gesel in drugih podatkov prek na videz zaupanja vrednih e-poštnih naslovov in spletnih mest.

Zato podjetja, kot je Google, priporočajo, da uporabniki spletni račun zaščitijo s preverjanjem pristnosti v dveh korakih, v okviru katerega morate zagotoviti ločena dejavnika, če se želite prijaviti, na primer geslo in kodo, poslano v sporočilu SMS. Ta metoda preverjanja pristnosti je postala zelo pogosta, predvsem za banke in podjetja, ki izdajajo kreditne kartice.

Varnostni strokovnjaki ločujejo med tremi osnovnimi vrstami varnostnih dejavnikov. Prvi je informacija (»nekaj, kar poznate«): Uporabnik na primer prejme kodo v sporočilu SMS in jo vnese ali mora odgovoriti na varnostno vprašanje. Drugi je fizični predmet (»nekaj, kar imate«), ki ga je mogoče uporabiti za preverjanje pristnosti, na primer kreditna kartica. Tretji je biometrični podatek (»nekaj, kar ste«), na primer prstni odtis, s katerim nekateri uporabniki pametnih telefonov odklepajo zaslon. Vse strategije preverjanja pristnosti v dveh korakih uporabljajo kombinacijo dveh od teh različnih dejavnikov.

Google ponuja različne vrste preverjanja pristnosti v dveh korakih. Poleg tradicionalnega gesla lahko uporabniki vnesejo enkratno varnostno kodo, ki jo prejmejo prek sporočila SMS ali glasovnega klica oziroma jo lahko ustvarijo v aplikaciji Google Authenticator za Android in Applov operacijski sistem za mobilne naprave, iOS. Uporabniki lahko v računu Google prav tako navedejo seznam zaupanja vrednih naprav. Če se uporabnik poskusi prijaviti v napravi, ki je ni na seznamu, od Googla prejme varnostno opozorilo.

Google v zadnjih treh letih uporabnikom ponuja tudi možnost uporabe fizičnega varnostnega žetona, imenovanega varnostni ključ. To je ključ s tehnologijo USB, NFC ali Bluetooth, ki ga je treba povezati z zadevno napravo. Postopek temelji na odprtem standardu preverjanja pristnosti, ki se imenuje U2F, razvil pa ga je konzorcij FIDO. Google je član konzorcija, ki ga tvorijo tudi podjetja, kot so Microsoft, Mastercard in PayPal. Varnostni žetoni, ki temeljijo na standardu U2F, so za majhno ceno na voljo pri številnih proizvajalcih. Izkazali so se kot zelo uspešni – po uvedbi varnostnih ključev se je tveganje za tatvine podatkov znatno zmanjšalo. Medtem ko je mogoče v spletni račun vdreti praktično iz katerega koli kotička sveta, mora biti fizični varnostni žeton dejansko v rokah tatov (ki potrebujejo tudi žrtvine podatke za prijavo, če želijo dostopati do računa). Te varnostne žetone poleg Googla že podpira še nekaj podjetij.

Preverjanje pristnosti v dveh korakih ima kajpada tudi slabosti. Osebe, ki uporabljajo kode v sporočilih SMS, morajo imeti pri sebi mobilni telefon, če se prijavljajo v novi napravi. Ključke USB in Bluetooth je mogoče izgubiti. Ampak to niso nepremostljive težave in vsekakor je z njimi vredno tvegati, če pomislimo, koliko dodatne varnosti zagotavljajo. Kdor izgubi varnostni ključ, lahko izgubljeni žeton odstrani iz računa in doda novega. Druga možnost je, da že na začetku registrirate drugi varnostni ključ in ga spravite na varno mesto.

Več informacij je na voljo tukaj:

g.co/2step

Ilustracije: Birgit Henne