Bezpieczeństwo

Nie doszłoby do ataku na skrzynkę e-mail ministra Dworczyka, gdyby włączył on dwuskładnikowe uwierzytelnianie

GU
Grzegorz Ułan
14

Dostaliśmy wczoraj od Wirtualnej Polski komunikat, wystosowany w reakcji na wypowiedź premiera Mateusza Morawieckiego sugerującą, iż do włamania na skrzynkę e-mail ministra Dworczyka doszło na skutek niewystarczających zabezpieczeń na jego poczcie WP. Postanowiliśmy więc sprawdzić te zabezpieczenia, również na poczcie Onet.pl i Interia.pl.

Zanim jednak sprawdzimy dwuskładnikowe uwierzytelnianie na poczcie czołowych polski portali, zerknijmy najpierw na wspomniany komunikat Wirtualnej Polski:

Bardzo mocno i dobitnie chcemy podkreślić, że systemy pocztowe WP są całkowicie bezpieczne, a informacje czy insynuacje jakoby miało dojść do włamania na konta WP są całkowicie nieprawdziwe.

Wejście na konto ministra Michała Dworczyka i co za tym idzie uzyskanie dostępu do jego emaili nastąpiło na skutek podania poprawnego loginu i hasła. Naszym zdaniem przestępcy albo wyłudzili hasło od żony ministra albo używała ona takiego samego hasła u innych usługodawców i tam był wyciek. Przed jednym i drugim można się w prosty sposób zabezpieczyć poprzez uwierzytelnianie dwuskładnikowe albo dbając o higienę własnego hasła.

Premier Mateusz Morawiecki mówił dziś o potrzebie uwierzytelniania dwuskładnikowego. Chcemy jasno i wyraźnie zaznaczyć, że taki system uwierzytelnienia funkcjonuje w poczcie WP od dawna. Przykro nam to stwierdzić, ale minister Michał Dworczyk w momencie tego zdarzenia nie korzystał z takiego systemu.

Protestujemy przeciwko próbie przerzucenia odpowiedzialności za niefrasobliwość polityków na największego administratora poczty elektronicznej w Polsce, bo do kwestii bezpieczeństwa, poufności korespondencji i ochrony danych osobowych podchodzimy z największą starannością i są one niezmiennie naszym priorytetem.

Jeśli tak rzeczywiście było, dwuskładnikowe uwierzytelnianie powinno ustrzec ministra Dworczyka przed włamaniem na konto. Sprawdźmy więc, jak ono wyglada na WP, Onecie i Interii.pl oraz jak je włączyć.

Dwuskładnikowe uwierzytelnianie na WP.pl i o2.pl

Na Wirtualnej Polsce i o2.pl nie znajdziemy opcji włączenia dwuskładnikowego uwierzytelniania bezpośrednio na naszych skrzynkach. Aby je włączyć musimy założyć zupełnie nowy profil w serwisie 1login od WP.

Główną funkcją tego profilu jest jeden login i hasło do logowania zarówno na WP, jak i o2.pl. Tak więc minister Dworczyk mógł uznać, że nie jest mu taki dodatkowy profil do niczego potrzebny, zwłaszcza jak korzystał tylko z poczty na WP, bez o2.pl.

Niemniej po aktywacji profilu pod podanym linkiem możemy włączyć w jego ustawieniach dwuskładnikowe uwierzytelnianie. Jednak tu mamy kolejne schody, Wirtualna Polska zdecydowała się na skorzystanie z własnego rozwiązania do generowania kodów do logowania, w postaci dodatkowej aplikacji mobilnej 1login od WP - dostępnej w Google Play i App Store.

Szkoda, że nie pomyślano tu o aplikacji Google Authenticator czy Microsoft Authenticator, z których jednocześnie możemy korzystać w różnych serwisach. Wprawdzie podstawowa funkcja 1login od WP jest taka sama, czyli generowanie kodów, jednak rozwiązanie Google i Microsoft pozwala na dużo więcej i jest bardziej użyteczne.

W ustawieniach na stronie 1login od WP można jeszcze włączyć potwierdzanie logowania za pomocą powiadomień w aplikacji, podobnie jak to jest w Microsoft Authenticator, ale nie udało mi się tego włączyć, mimo zalogowania się do niej i powiązania z moim kontem.

Dwuskładnikowe uwierzytelnianie na Onet.pl

Bardziej praktyczne jest dwuskładnikowe uwierzytelnianie na poczcie Onet.pl. Odpowiednie jego ustawienie znajdziemy w ścieżce - Ustawienia konta - Bezpieczeństwo konta - Weryfikacja dwuetapowa.

Możemy tu skorzystać z generowania kodów przez aplikację mobilną lub logowanie przy użyciu kluczy U2F. Większość użytkowników tej poczty z pewnością wybierze do tego aplikację mobilną. Tu do wyboru mamy wspomniany już wcześniej Google Authenticator i Microsoft Authenticator oraz 2FA Authenticator (2FAS) - linki do ich pobrania znajdziecie tutaj.

Włączenie dwuskładnikowego uwierzytelniania odbywa się tradycyjnie poprzez zeskanowanie kodu QR wybraną aplikacją mobilną, wyświetlanego na stronie ustawień poczty Onet.

Dwuskładnikowe uwierzytelnianie na Interia.pl

Mimo usilnych poszukiwań nie znalazłem opcji włączenia dwuskładnikowego uwierzytelniania na poczcie trzeciego największego portalu w Polsce, czyli na Interia.pl.

Zakładka odpowiedzialna za ustawienia bezpieczeństwa na koncie pozwala jedynie na zdefiniowanie adresów IP, z których można się logować do swojej poczty, co nie przyda się nikomu w przypadku korzystania ze zmiennego numeru IP.

Jeśli chodzi o WP.pl i Onet.pl jak najbardziej jest możliwe takie zabezpieczenie, jednak w moim odczuciu powinno ono być przez te portale bardziej wyeksponowane i dostępne na poczcie "od ręki". Raczej nie spodziewam się tutaj wymuszenia korzystania z dwuskładnikowego uwierzytelniania, jak w przypadku Gmaila, ale zachęcanie do tego osób, którym by na tym zależało przydałoby się jak widać niektórym użytkownikom tej poczty.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu