Bezpieczeństwo IT

Weryfikacja dwuetapowa. Zbędna komplikacja, czy bat na hackerów?

Dodano: 24-07-2018 / Eximo Project


W czasach, w których pozostawienie komputera lub smartfonu bez nadzoru, może skutkować utratą osobistych danych, z pomocą może przyjść weryfikacja dwuetapowa (2FA - Two Factor Authentication). Jak działa, czy jest skuteczna i czy możemy z niej skorzystać logując się do popularnych portali? Wyjaśniamy poniżej.

Ta coraz popularniejsza metoda zabezpieczania dostępu do kont portali internetowych, bankowych czy profili społecznościowych, nie sprawi, że jak za dotknięciem czarodziejskiej różdżki znikną nasze kłopoty z utratą danych, jednakże w przypadku próby ich wykradzenia, zdecydowanie utrudni życie cyberprzestępcom.

Czym jest weryfikacja dwuetapowa?

Ten rodzaj weryfikacji polega na dołożeniu dodatkowego poziomu zabezpieczeń do chronionych zasobów na koncie, do którego się logujemy. Pierwszym etapem autoryzacji będzie w tym wypadku podanie hasła i loginu, drugim etapem będzie (najczęściej) wpisanie specjalnego kodu, który otrzymamy SMS-em lub mailowo.

Weryfikacja dwuetapowa jest najczęściej wykorzystywanym rodzajem weryfikacji wielopoziomowej (MFA - Multi-Factor Authentication).

 

weryfikacja dwuetapowa Eximo Project

 

Otrzymanie maila lub SMS-a z kodem nie jest jedynym sposobem dodatkowego zabezpieczenia. Na podobnej zasadzie zadziała skan linii papilarnych, karta jednorazowych kodów otrzymywanych z banku, skan tęczówki oka znany przeciętnemu użytkownikowi raczej z filmów, czy głośny ostatnio skan całej twarzy, który podobno ma zastąpić paszporty w niedalekiej przyszłości. Każde z nich może stanowić kolejny poziom zabezpieczeń.

Do dodatkowej weryfikacji używa się także urządzeń fizycznych. Mogą być to różnego rodzaju tokeny generujące ciągi cyfr (jednorazowe kody), których możemy użyć w określonym przedziale czasu (TOTP – Time-based One-time Password). Po jego upływie, urządzenie generuje nowy kod. Funkcje tokena może pełnić również aplikacja, która zainstalowana na przykład na smartfonie, również będzie generować kody niezbędne podczas logowania do serwisów internetowych.

Używanie weryfikacji opartej na TOTP obarczone jest jednak pewnym ryzykiem. Ten sposób autentykacji wymaga bowiem przetrzymywania części informacji na serwerze, co w przypadku udanego ataku hackerskiego lub nieświadomej utraty danych naraża bezpieczeństwo użytkownika.

Innym rodzajem weryfikacji wykorzystującej fizyczne urządzenie jest coraz popularniejszy standard U2F (Universal 2nd Factor), który wykorzystuje kryptografię asymetryczną. Dzięki użyciu klucza publicznego i prywatnego ryzyko zalogowania się do konta przez nieuprawnioną osobę zostało znacznie ograniczone. Samo urządzenie posiada standardowy port USB, co czyni je także znacznie bardziej uniwersalnym, niż inne klucze, które wymagają czytników dedykowanych do kart inteligentnych.

Kto i kiedy powinien ją stosować?

Pytanie jest tak indywidualne jak dane, które użytkownik przechowuje na swoim koncie. To sam zainteresowany musi ocenić, czy weryfikacja dwuetapowa do konta będzie adekwatna do przechowywanych na nim treści. Dla jednych będą to faktury, umowy, rachunki lub dane firm, z którymi współpracują, dla innych będą to zdjęcia z imprez rodzinnych lub zdjęcia ich dzieci.

Z pewnością opcję dwuetapowego uwierzytelniania powinny rozważyć osoby, które niezbyt wiele czasu poświęcają na ustawienie prawidłowego (odpowiednio złożonego, zgodnego np. z passphrase) hasła dostępowego.

Weryfikacja dostępna od… lat

Wrażenie, że weryfikacja dwuetapowa jest czymś nowym może być mylące i wiązać się na przykład z modną ostatnio dyskusją o bezpieczeństwie informatycznym, którą wywołało wprowadzenie unijnego rozporządzenia o ochronie danych osobowych – RODO.

Sama weryfikacja dwuetapowa stosowana jest od wielu lat. Oferują ją tacy giganci jak Google, który umożliwił korzystanie z dodatkowej warstwy zabezpieczeń już w… 2011 roku. Również PlayStation oferuje dodatkowy poziom zabezpieczeń poprzez otrzymanie wiadomości SMS na zweryfikowany numer telefonu. Facebook i Outlook także postawiły na ten typ weryfikacji. Co więcej, ich mechanizm umożliwia weryfikację dwuetapową przy pomocy alternatywnego emaila, zamiast podawania numeru telefonu, czego wielu użytkowników nie chce robić.

Dlaczego więc tak mało użytkowników decyduje się na jej wdrożenie? Trochę światła rzuca na to samo Google, przyznając, iż nie zmusza swoich klientów do tego rozwiązania bojąc się ich odpływu ze swoich usług. Pomimo niewątpliwej użyteczności, większość użytkowników postrzega weryfikację dwuetapową jako coś niewygodnego. Co więcej, ponad 10 procent użytkowników ma problem prawidłowym przepisaniem kodu, który otrzymują SMS-em… A jak jest naprawdę, powinniście przekonać się sami. O ile jeszcze nie stosujecie tej metody :)

 



To enable comments sign up for a Disqus account and enter your Disqus shortname in the Articulate node settings.