Bezpieczeństwo w sieci

Weryfikacja dwuetapowa - co lepsze? SMS, e-mail czy dedykowana aplikacja?

Tomasz Szwast
Weryfikacja dwuetapowa - co lepsze? SMS, e-mail czy dedykowana aplikacja?

Weryfikacja dwuetapowa to bardzo ważne zabezpieczenie wszystkich serwisów, do których logujemy się przez internet. Dlaczego tak warto o niej pamiętać? Który ze sposobów na 2FA jest najskuteczniejszy? W niniejszym materiale przyjrzymy się e-mailowi, SMSom i dedykowanym aplikacjom.

Artykuły poświęcone bezpieczeństwu niekoniecznie są tymi najciekawszymi. Prawdę powiedziawszy sam nie lubię ich czytać. Oczywiście wiadomo, że warto wiedzieć, co złego może stać się w sieci, jednak często podświadomie wybieramy życie w błogiej podświadomości. Owszem, są jakieś ataki hakerskie na bazy danych, jednak przecież nigdy nie staniemy się ofiarą takiego ataku. Możliwość przejęcia danych do logowania do serwisu transakcyjnego banku? Zdarza się, jednak ja przecież jestem bezpieczny. Cóż, nic bardziej mylnego. W rzeczywistości każdy z nas może stać się ofiarą przestępczości internetowej. Jak temu zapobiec? Jednym z kluczowych elementów jest stosowanie podstawowych środków bezpieczeństwa. Weryfikacja dwuetapowa to jeden z nich.

Dlaczego stosowanie 2FA jest tak bardzo istotne? Przede wszystkim dlatego, że chroni nas od utraty danych, pieniędzy czy innych cennych wartości w sytuacji, gdy ktoś przejmie nasze dane dostępowe do jednego z serwisów internetowych. Wyobraźmy sobie sytuację, gdy ktoś niepowołany otrzymuje login i hasło do serwisu, do którego podpięliśmy naszą kartę płatniczą. Wystarczy kilka chwil, by nasze konto zostało obciążone sporą sumą pieniędzy. Co w sytuacji, gdyby mechanizm 2FA był włączony? Nawet znając dane do logowania dostęp do serwisu byłby niemożliwy. Trzeba bowiem jeszcze jednej danej, a konkretnie kodu z narzędzia autoryzacyjnego. Weryfikacja dwuetapowa to zatem prosty, ale bardzo skuteczny sposób na to, by zwiększyć swoje bezpieczeństwo w sieci.

Dlaczego wciąż spora grupa ludzi nie decyduje się na korzystanie z 2FA? Jednym z argumentów jest to, że dodatkowa weryfikacja jest niewygodna. Cóż, jest w tym ziarnko prawdy, jednak czy podanie jednego kodu więcej to duża cena za drastyczny wzrost bezpieczeństwa? Nie sądzę. Innym z argumentów jest ten o bezpieczeństwie samego narzędzia autoryzacyjnego. W zależności od tego, czy są to kody SMS, kody e-mail czy kody generowane przez aplikację, uzyskanie dostępu do nich odbywa się inaczej. Która z metod jest najlepsza? Zastanówmy się nad tym przez chwilę.



Bezpieczeństwo w sieci to bardzo ważna sprawa, choć niezbyt chcemy o niej pamiętać

Weryfikacja dwuetapowa – czym tak właściwie jest?

Zanim jednak przejdziemy do poszczególnych metod weryfikacji dwuetapowej, kilka słów o niej samej. Zdaję sobie bowiem sprawę z tego, że wciąż istnieje niewielka grupa użytkowników internetu, którzy nie zdają sobie sprawy z jej możliwości. O tym, że coś takiego jest, dowiadują się dopiero wtedy, gdy dany serwis wprost ją wymusza. Nie wiedzą jednak jak działa i z czym tak właściwie się wiąże. To właśnie dla tej grupy czytelników przygotowałem kilka słów wyjaśnienia.

Weryfikacja dwuetapowa, często występująca pod nazwą 2FA, to jedna z metod autoryzacji logowania do serwisu internetowego. Polega ona na tym, że oprócz podania loginu tudzież numeru identyfikacyjnego w danym serwisie, podajemy przynajmniej dwa różne hasła, pochodzące z innych narzędzi autoryzacyjnych. Pierwszym narzędziem autoryzacyjnym wymaganym przez 2FA jest, co do zasady, hasło nadane przez użytkownika. Na tym etapie logowanie z wykorzystaniem 2FA przebiega dokładnie tak, jak i bez tej metody. Wpisujemy numer klienta czy login, hasło do konta i klikamy przycisk logowania. W tym miejscu zaczynają się różnice.

Gdybyśmy nie korzystali z 2FA, po wpisaniu loginu i hasła ujrzelibyśmy nasz profil w danym serwisie internetowym. Z kolei przy włączonej weryfikacji dwuetapowej musimy zrobić coś jeszcze. Trzeba podać kod z kolejnego narzędzia autoryzacyjnego, którym jest najczęściej jakiś generator kodów jednorazowych. Najczęściej są to kody wysyłane czy to na numer telefonu, czy na adres e-mail. Nieco rzadziej trzeba podać kod z aplikacji mobilnej, jednak taka metoda również występuje i staje się coraz popularniejsza.

Podsumowując, by zalogować się do serwisu internetowego z weryfikacją dwuetapową, trzeba podać minimum trzy różne dane. Login bądź numer, którym identyfikujemy się jako użytkownik danego serwisu, ustalone wcześniej hasło oraz hasło jednorazowe z innego narzędzia autoryzacyjnego. To tylko jeden krok więcej, a poziom bezpieczeństwa rośnie znacząco.



Dwuetapowa weryfikacja znacząco podnosi poziom bezpieczeństwa danych

E-mail jako narzędzie weryfikacji dwuetapowej

Na dzień dzisiejszy najpopularniejszym sposobem weryfikacji dwuetapowej jest autoryzacja kodem przesyłanym na adres e-mail. To prosta, szybka i powszechna metoda, jednak niesie ze sobą całkiem duże ryzyko skutecznego obejścia. Kiedy ominięcie 2FA z kodem e-mail jest możliwe? Przede wszystkim wtedy, gdy korzystamy z takiego samego hasła do zabezpieczenia danego serwisu internetowego i poczty e-mail. W takiej sytuacji wystarczy, że niepowołana osoba zaloguje się do naszej poczty internetowej tymi samymi danymi, co do danego serwisu, by uzyskać dostęp również do narzędzia 2FA.

Jak sprawić, żeby 2FA z wykorzystaniem e-mail była bezpieczna? Przede wszystkim ustawmy takie hasło do poczty elektronicznej, jakiego nie używamy w jakimkolwiek innym serwisie internetowym. W takiej sytuacji ryzyko jego pozyskania przez osobę nieuprawnioną jest bardzo niskie.

Weryfikacja dwuetapowa przy pomocy SMS

Kolejną z form 2FA, która również cieszy się wielką popularnością, jest weryfikacja przy pomocy kodu SMS. To zabezpieczenie stosowane jest przede wszystkim przez banki i operatorów telekomunikacyjnych, jednak coraz częściej pojawia się również w innych instytucjach.

Jak działa 2FA przez SMS? Dokładnie tak, jak w przypadku e-mail, tyle że kod przychodzi na numer telefonu, a nie adres e-mail. Czy takie zabezpieczenie jest skuteczne? Tak, o ile ktoś, kto chce się włamać, nie dysponuje dostępem do naszego telefonu. Co istotne, wystarczy sama karta SIM, by skorzystać z kodu przesyłanego przez wiadomość SMS. W przypadku rezygnacji z kodu PIN wystarczy, że włamywacz włoży naszą kartę SIM do innego telefonu, by bez problemu odczytywać przesyłane kody 2FA.

Praktyka mówi, że to rozwiązanie również nie jest pozbawione wad, jednak z całą pewnością warto rozważyć jego zastosowanie.



Każdy może stać się ofiarą przestępczości internetowej

Dedykowana aplikacja jako narzędzie do 2FA

Jak jeszcze możemy zabezpieczyć nasz dostęp do danego serwisu internetowego? Kody 2FA mogą być generowane przez dedykowaną aplikację mobilną. Taka aplikacja działa bardzo podobnie do sprzętowego tokenu, którym jeszcze kilka lat temu niektóre banki zabezpieczały dostęp do bankowości internetowej. W określonych interwałach czasowych generuje nowe kody dostępu, których użycie powoduje możliwość zalogowania w danym serwisie.

Najczęściej wykorzystywaną aplikacją tego typu jest Google Authenticator. Zalety? To naprawdę bardzo bezpieczne rozwiązanie, ponieważ wymaga znajomości kodu chroniącego telefon, ewentualnie zeskanowania linii papilarnych czy twarzy użytkownika, by przełamać zabezpieczenie biometryczne. Mankamenty? Niestety są i takie. W momencie utraty dostępu do telefonu z zainstalowaną aplikacją uwierzytelniającą tracimy również dostęp do danego serwisu internetowego. Niestety jego przywrócenie może okazać się naprawdę trudne.

Które zabezpieczenie jest najlepsze?

Nie ma jednoznacznej odpowiedzi na to pytanie. Z całą pewnością aplikacja nie będzie właściwym rozwiązaniem dla tych, którzy często zmieniają telefony. Na szczęście takich osób nie ma zbyt wiele. Korzystając z jednego i tego samego urządzenia możemy śmiało zainstalować czy to Google Authenticator, czy inną podobną aplikację i właśnie przy jej pomocy uwierzytelniać swoje logowania w sieci.

Osobiście korzystam właśnie z aplikacji mobilnej. Dlaczego tak? Cóż,  smartfon jest urządzeniem, którego muszę pilnować jak oka w głowie. To właśnie na telefonie znajduje się większość cennych danych, które zawsze muszę mieć przy sobie. Oznacza to, że przykładam do jego zabezpieczenia sporą wagę niemal w każdej sytuacji. Mam jednak tę świadomość, że skoro ja nie będę mógł się zalogować do swoich kont w serwisach internetowych, to tym bardziej nie będzie mogła tego zrobić osoba trzecia.



Skuteczność zabezpieczeń zależy wyłącznie od użytkownika. Bądźcie czujni

Nieco podświadomie odradzam stosowanie autoryzacji poprzez kody na e-mail. Skąd ta niechęć do tego rozwiązania? Cóż, doskonale zdaję sobie sprawę z tego, że większość z nas korzysta z tego samego hasła do wielu serwisów internetowych. Może się zatem okazać, że zabezpieczenia poczty elektronicznej zostaną relatywnie szybko przełamane.

Mam jednak świadomość, że inni użytkownicy internetu mogą mieć na ten temat kompletnie inne zdanie. Dla jednych to wiadomość SMS będzie najwygodniejsza, podczas gdy jeszcze inni preferują e-mail. Ja zostanę przy swoim rozwiązaniu, jednak bardzo chętnie zapoznam się z Waszymi argumentami przemawiającymi za stosowaniem konkretnej formy zabezpieczenia 2FA.

Pamiętajcie o tym, że jakakolwiek forma 2FA zawsze będzie zawsze lepsza, niż żadna. Bądźcie czujni i uważajcie na siebie w internecie. Życzę bezpiecznego przeglądania.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu