Bezpieczeństwo

Uwierzytelnianie dwuskładnikowe – co, jak, kiedy i dlaczego?

Michał Rosiak Michał Rosiak
23 marca 2023
Uwierzytelnianie dwuskładnikowe – co, jak, kiedy i dlaczego?

„Stosujcie uwierzytelnianie dwuskładnikowe!”. „Używajcie 2FA!”. „Zabezpieczajcie dodatkowo swoje konta!”. W moich tekstach regularnie powtarzam te hasła. To faktycznie kwestia, która powinna być dziś równie oczywista, jak dobre hasło. Ale o czym naprawdę mowa?

Uwierzytelnianie dwuskładnikowe (Two Factor Authentication, 2FA), to - jak sama nazwa wskazuje - drugi składnik, używany do logowania. Pierwszy to coś, co wiesz np. hasło. Drugi to coś, co masz i o tym za chwilę. Jeszcze jest trzeci - coś, czym jesteś, czyli biometria: odcisk palca albo wzór tęczówki oka.

Zacznijmy od SMS-a

2FA można użyć na trzy sposoby. Każdy ma swoje wady i zalety i każdy z nich opiszę. Pierwszy to znana wszystkim wiadomość tekstowa SMS. Tutaj tym, co masz, jest oczywiście telefon. Jeśli nie korzystamy ze smartfona - a takich jest wciąż całkiem spora grupa - i interesuje nas wyłącznie uwierzytelnianie dwuskładnikowe przy użyciu telefonu, to jedyny sposób.

Przy uruchomieniu tej metody w momencie wpisania prawidłowego loginu i hasła strona/aplikacja wyświetli monit o wpisanie kodu z SMS-a. Ten powinien pojawić się w maksimum kilkanaście sekund. Wpisujemy go i możemy korzystać z serwisu docelowego.

SMS to sposób najprostszy dla użytkownika, ale jednocześnie najdroższy dla właściciela serwisu. Wiadomo, że większość z nas nie zgodziłaby się na płacenie za uwierzytelnianie dwuskładnikowe, tymczasem ktoś koszty wysłanego SMS-a ponieść musi. W ostatnich miesiącach media nie tylko społecznościowe zalała fala nienawiści pod adresem Twittera, za przeniesienie SMS-owego 2FA do planów płatnych. Ja akurat uważam, że wyłączenie tej formy to świetny pomysł, lecz dla Elona Muska była to decyzja czysto biznesowa. I wcale się jej nie dziwię - optymalizując koszty łatwo uciąć... 60 mln dolarów, tyle bowiem rocznie tracił Wielki Niebieski Ptak na wysyłaniu SMS-ów autoryzacyjnych!

Aplikacja - zewnętrzna lub bankowa

Tutaj już próg wejścia jest nieco wyższy. Musimy mieć smartfon, poświęcić dłuższą chwilę na instalację aplikacji i w przypadku aplikacji zewnętrznej krótsze chwile na skonfigurowanie każdego z serwisów.

Aplikacja zewnętrzna to np. Google Authenticator, czy Microsoft Authenticator. Ja prywatnie korzystam z Authy, jest to rozwiązanie najlepiej oceniane przez społeczność "security". Konfiguracja serwisu polega na zeskanowaniu kodu QR wygenerowanego przez stronę/aplikację, a następnie wpisaniu w odpowiednie miejsce sześciocyfrowego pseudolosowego kodu. Potem rzeczony kod, inny dla każdego serwisu, będzie się zmieniał w aplikacji co 30 sekund, a my musimy go wpisać, gdy pojawi się monit, tak jak w przypadku SMS-a.

Działanie bankowej aplikacji do 2FA jest jeszcze bardziej intuicyjne. Jeśli już z niej korzystamy, możemy po prostu skonfigurować ją tak, by przy wszelkich operacjach finansowych aplikacja generowała powiadomienie push. Co więcej, tu możemy włączyć jeszcze trzeci składnik, potwierdzając operację odciskiem palca na czytniku w telefonie.

I nie zapominajmy, że przejęcie kontroli nad ruchem SMS bez wiedzy użytkownika w dzisiejszych czasach nie jest dla złego człowieka przesadnie trudne. Wykradzenie kodu z aplikacji wymaga już konkretniejszego socjotechnicznego zabiegu. A przy apce bankowej wystarczy czytać, co zatwierdzamy (np. przelew na nieznane konto, bądź dodanie konta do zaufanych, w sytuacji, gdy niczego takiego nie robiliśmy), by uniknąć kłopotów.

Uwierzytelnianie dwuskładnikowe przez klucz fizyczny

Fizyczny klucz to coś, czego wielu internautów się obawia, uważając, że to rozwiązanie „dla profesjonalistów”. Fakt, wielu z nas z niego korzysta – ja od przeszło 10 lat - ale nie taki diabeł straszny. To bardziej kwestia przyzwyczajenia się tego, że potrzebujemy czegoś „namacalnego” do zalogowania i opanowania przenoszenia go tak, byśmy go najzwyczajniej w świecie nie zgubili.

Są na świecie firmy, których nazwy są synonimem pewnych rozwiązań. Tak jak moja śp. babcia prosząc mnie o odkurzacz zawsze mówiła: „Misiu, podaj mnie elektroluks”, kupując starą, "centertelową" kartę prepaid wielu mówiło: „Poproszę tego taktaka z Idei” - tak fizyczny klucz 2FA to po prostu Yubikey. Produkt dopracowywany przez 16 lat, z jednej strony autoryzacyjny „kombajn”, z drugiej sprzęt wciąż intuicyjny w codziennym korzystaniu.

W przypadku 2FA z kluczem fizycznym w odpowiedzi na monit musimy go włożyć do odpowiedniego gniazda w urządzeniu (USB-A, USB-C lub Apple’owskiego Lightninga) i położyć palec na czułym na dotyk elemencie. Jeśli chcemy włączyć trzeci składnik możemy wyposażyć się w klucz z czytnikiem odcisku palca. Jeśli nie mamy możliwości podłączenia klucza są też wersje z NFC, z których sam do niedawna korzystałem.

Uruchomienie takiego 2FA przebiega nieco inaczej, acz jest nawet szybsze, niż w przypadku aplikacji. Wybieramy odpowiednią opcję, aplikacja odczytuje dane naszego klucza, dotykamy go i już jest skojarzony z chronionym serwisem.

Plus - jedyna możliwość przejęcia kontroli nad naszym kluczem to jego fizyczna kradzież. Minus - możemy go zgubić, tym bardziej, że jest dość mały. Dlatego warto mieć dwa, skonfigurować oba i jeden od razu schować do szuflady. Fakt, że nie jest tak popularny, jak aplikacje, z których skorzystamy praktycznie wszędzie. No i niestety jeszcze jego cena - to jedyne rozwiązanie za skorzystanie z którego zapłacimy. Co prawda tylko raz - w zależności od klucza od 25€ (taki klucz do większości zastosowań wystarczy) przez używany przeze mnie za 55€. Ten drugi pozwala m.in. na generowanie haseł jednorazowych, przechowywanie długich haseł statycznych, uwierzytelnianie challenge-response, czy wgranie certyfikatu kryptograficznego i pełnienie roli tokena do podpisywania i szyfrowania poczty). Aż do wersji za 95€ dla „wypasionych” rozwiązań profesjonalnych.

Uwierzytelnianie dwuskładnikowe – porównanie możliwości

Z której wersji 2FA najlepiej skorzystać? To Wasza decyzja. Tabela poniżej ułatwi jej podjęcie.

 Kod SMSAplikacjaKlucz sprzętowy
ZaletyŁatwość uruchomienia, dostępny również na feature-phone’ach.Intuicyjność korzystania, najpopularniejsze 2FA w serwisach.Odporność na socjotechnikę, wielofunkcyjność
Wady/
/ryzyka
Relatywna łatwość przejęcia transmisji. Serwisy odchodzą od kodów SMS (koszty+ryzyka).Podatność na socjotechnikę.Konieczność zmiany przyzwyczajeń. Możliwość zgubienia. Cena.
Cena0 zł0 zł25-95€

Gdzie używać i jak włączyć 2FA?

Jeśli serwis przechowuje jakiekolwiek Twoje wrażliwe dane, a uwierzytelnianie dwuskładnikowe nie jest wśród metod zabezpieczenia konta, radziłbym rozważenie rezygnacji/zmiany serwisu. W znacznej większości przypadków znajdziesz rozwiązanie alternatywne. Możliwość włączenia 2FA znajdziesz w ustawieniach, najczęściej w rubryce bezpieczeństwo. Dla najpopularniejszych serwisów:

  • Google – https://myaccount.google.com/signinoptions/two-step-verification
  • Microsoft – https://account.live.com/proofs/manage/
  • Facebook – https://www.facebook.com/security/2fac/settings/
  • Twitter – https://twitter.com/settings/account/login_verification

Uwierzytelnianie dwuskładnikowe, podobnie jak hasła, to trochę mój konik. Więc na pytanie, gdzie go używam, odpowiem oczywiście, że wszędzie, gdzie się da. W serwisach, gdzie wyciek moich danych wiąże się z dużym ryzykiem (serwisy społecznościowe, mail) absolutnie używam klucza sprzętowego. Niestety ubolewam, że mój bank nie umożliwia użycia klucza, ma jednak drugą najlepszą możliwość, czyli dedykowaną aplikację. W pozostałych serwisach używam Authy, SMS-y zaś po prostu powyłączałem.

Które uwierzytelnianie dwuskładnikowe używać?

Ze względu na ryzyka przede wszystkim zalecam wyłączenie SMS-ów, poza sytuacją, gdy są jedyną możliwą opcją. Co do wyboru aplikacja, czy klucz? Cóż, ja jestem bezpieczniakiem, więc wiadomo, że akurat dbając o swoje dane sięgnę po najlepszą możliwą opcję, nie licząc się z kosztem. Zboczenie zawodowe. Najważniejsze jest, by uwierzytelnianie dwuskładnikowe przede wszystkim uruchomić. Już samo to znacząco wpłynie na Twoje bezpieczeństwo. Konkretnym rozwiązaniom warto się przyjrzeć i podjąć decyzję na bazie własnych doświadczeń.

A mnie podoba się obraz, który generuje moja wyobraźnia, gdy widzi przestępcę, który wykradł moje hasło, wpisał, po czym rzednie mu mina, gdy widzi komunikat:

„Włóż klucz sprzętowy”


Oferta

Kupuj na żywo z Orange – Xiaomi 13

Marta Krajewska Marta Krajewska
22 marca 2023
Kupuj na żywo z Orange – Xiaomi 13

Już dzisiaj o godzinie 19:00 odbędzie się kolejny odcinek cyklu "Kupuj na żywo z Orange". Wydarzenie będzie poświęcone premierze serii Xiaomi 13.

W naszym studio będą gościć eksperci z firmy Xiaomi: znany wam już Adrian Kiebzak oraz debiutująca w tej roli Ania Rogowicz.

Podczas transmisji poznajcie najnowszą serię smartfonów: Xiaomi 13 Lite, Xiaomi 13 i Xiaomi 13 Pro i będziecie mieli okazję zobaczyć je w akcji.

Dla widzów przygotowaliśmy rabat uprawniający do zakupu smartfonów z 200 zł zniżką. Po wysłaniu SMS-a (treść i numer będę podane podczas wydarzenia) otrzymają kod rabatowy, który obniży cenę telefonów o 200 zł.

Bądźcie z nami o 19:00: Kupuj na żywo z Orange


Odpowiedzialny biznes

Masz prawo być „odłączony”

Ewa Wróbel Ewa Wróbel
22 marca 2023
Masz prawo być „odłączony”

W ubiegłym tygodniu wspólnie z Instytutem Cyfrowego Obywatelstwa opublikowaliśmy pierwsze badanie higieny cyfrowej dorosłych. Chętnie podzielę się z Wami moimi wnioskami oraz opowiem, dlaczego higiena cyfrowa jest ważna i jak wpływać może na nasze samopoczucie, zdrowie i funkcjonowanie w życiu. Polecam też test, który możecie sobie zrobić, aby nabrać większej świadomości, jak wpływa na Was życie w świecie pełnym technologii.

Ciągle pikające powiadomienia – nowe wiadomości od znajomych, posty, informacje ze świata, rolki, shortsy, dziesiątki zabawnych memów na każdy temat. Portale przeładowane tysiącami wieści i reklam. Zaproszenia na webinary, koncerty, setki atrakcji w mieście. Rabaty, zniżki, konkursy. Poważne artykuły miksujące się z ploteczkami ze świata celebrytów, porady influencerów – od makijażu przez styl życia. Czy czujecie czasami, że tego wszystkiego jest… za dużo? Czy płyniecie z tym nurtem, czy jednak potraficie zatrzymać się na chwilę refleksji?

Rozwój technologii i oferowane przez nią możliwości stały się integralną częścią naszego życia. Sprawiają, że coraz więcej ludzi spędza przed ekranem znaczną ilość czasu. Algorytmy proponują nam też atrakcyjne treści, żeby zatrzymać naszą uwagę. Nieustannie zwiększająca się ilość informacji oraz czas spędzany na patrzeniu w ekrany, stanowić może poważne obciążenie dla możliwości poznawczych człowieka, którego mózg nie jest w stanie przetworzyć wszystkich napływających do niego informacji i bodźców. „Technostres” i przeciążenie informacyjne mogą wiązać się z zagrożeniami dla zdrowia psychicznego, fizycznego i społecznego człowieka. Obecnie, gdy nowym zachowaniem ryzykownym jest nadużywanie telefonu/komputera i internetu, pożądanym nowym elementem prozdrowotnego stylu życia może być higiena cyfrowa. Czym ona jest, jak rozumiemy to pojęcie?

Czym jest higiena cyfrowa?

Autorki i autorzy Ogólnopolskiego Badania Higieny Cyfrowej 2022 określają higienę cyfrową jako chroniące zdrowie zachowania związane z używaniem technologii informacyjno-komunikacyjnych, zwłaszcza urządzeń ekranowych i internetu.

Nieumiejętne korzystanie z nich może prowadzić do negatywnych konsekwencji dla zdrowia fizycznego, psychicznego i społecznego. Higiena cyfrowa oznacza więc świadome i odpowiedzialne korzystanie z przestrzeni cyfrowej i jest ważnym elementem czegoś, co nazwać możemy cyfrowym obywatelstwem. Chcąc nie chcąc, każdy z nas jest obywatelem cyfrowego świata. Dlatego dobrze jest mieć świadomość wpływu nowych technologii na nas, znać prawa, jakie nam przysługują w cyfrowym świecie i umieć zachować równowagę.

A tego musimy się po prostu nauczyć. Wszyscy - dzieci, młodzież, dorośli, a także osoby starsze. Choć każda z tych grup ma inne doświadczenia i potrzeby w tym kontekście.

Jestem za racjonalnym podejściem do higieny cyfrowej. O usuwaniu telefonu mówię wtedy, gdy chcemy naprawdę się na czymś skupić. Na co dzień w czasie pracy, gdy telefon musimy mieć pod ręką, polecam przede wszystkim ograniczanie liczby powiadomień. Nie mówię, żeby je w ogóle wyłączać, ale zostawić niezbędne. Trzeba stopniować zajmowanie swojej uwagi. - mówi w jednym z wywiadów Magdalena Bigaj, twórczyni i prezeska Fundacji Instytut Cyfrowego Obywatelstwa, współautorka pierwszego Ogólnopolskiego Badania Higieny Cyfrowej Polaków 2022.

Zawsze czy prawie zawsze, dużo czy za dużo?

Czas spędzany z urządzeniem ekranowym może być rożnie postrzegany przez użytkownika oraz jego otoczenie i zawsze powinien podlegać indywidualnej ocenie, ponieważ jego ilość wynika z rożnych czynników, jak np. rodzaju pracy czy etapu edukacji. Odczucie, że samej/samemu spędza się zbyt dużo czasu na korzystaniu z urządzeń ekranowych lub że ktoś w otoczeniu ważny dla nas tak właśnie postępuje, może być przedmiotem troski o siebie lub tę osobę. Zdanie sobie sprawy z tego, ile czasu spędza się przed ekranem, jest istotną kwestią. Zauważenie, że ten czas jest zbyt długi, może być jednym z pierwszych kroków w stronę zadbania o swoją higienę cyfrową.

Jak zadbać o siebie w świecie pikających powiadomień?

Kluczowe jest dojście do pewnych autorefleksji. Zwracanie uwagi na to, ile czasu dziennie spędza się, używając wszystkich urządzeń ekranowych takich jak: telefon, laptop/komputer, tablet, konsola do gier, telewizor. A przede wszystkim zadawanie sobie pytań: jaki wpływ ma na mnie to, że spędzam tyle czasu przed ekranem? Czego potrzebuję? Czy relaksu, czy dostępu do wiedzy, czy kontaktu z ludźmi, wsparcia? I czy na pewno to nowe technologie są sposobem na zaspokojenie tych potrzeb? Siedzisz i skrolujesz kolejną godzinę? Warto zrobić stopklatkę i zadać sobie te pytania.

A także kilka innych – związanych z uważnością na swoje samopoczucie - czy stresuje mnie to, co widzę lub czytam w sieci, czy powoduje niepokój? Próba obniżenia napięcia, stresu, jeśli korzystanie z internetu je wywołuje (np. robienie przerwy, ćwiczeń relaksacyjnych, szukanie rozwiązania problemu, zwracanie się z prośbą o wsparcie) – to także ważny element higieny cyfrowej.

Istotna w zakresie postaw prozdrowotnych jest samoocena naszych własnych, codziennych zachowań - jako okazja do samopoznania. Niech właśnie ona stanie się punktem wyjścia do refleksji na temat swojego postępowania oraz jego poprawy w kierunku prozdrowotnym.

Ważne jest też zadbanie o przeżycia i relacje. Czy liczne powiadomienia i świat cyfrowy nie dominują naszego życia, czy potrafimy być „tu i teraz”? Odłączyć się czasem dla pełnego posmakowania spotkania w gronie przyjaciół i rodziny?

Wpływ urządzeń ekranowych na nasze samopoczucie zależy także od dostępnych za jego pośrednictwem treści. Ich oddziaływanie wiąże się zarówno z ich ilością, jak i jakością. Należy więc świadomie dobieranie treści oraz je weryfikować. To szczególnie istotne w mediach społecznościowych, które niekiedy mogą wpływać na nas negatywnie. Zaufanie do tego, co widzi się w internecie oraz weryfikowanie zdobytych w nim informacji to również istotne elementy higieny cyfrowej.

Do tego dochodzą również inne czynniki mające wpływ na nasze samopoczucie i zdrowie. Czasami nawet drobne zmiany, gesty, zachowania - mogą wiele zmienić, wpłynąć na naszą postawę (w tym przypadku prozdrowotną). Przykładem takich „małych-dużych” działań jest np. dbałość o sen – unikanie używania urządzeń ekranowych na 1–2 h przed snem oraz kładzenia telefonu przy łóżku przed snem. Do zachowań prozdrowotnych należy także uważne jedzenie i to, aby w czasie posiłku skupiać uwagę wyłącznie na tej czynności, czyli spożywanie jedzenia bez telefonu i innych urządzeń w zasięgu wzroku. Dbałość o prawidłową pozycję ciała podczas używania urządzeń również wpisuje się w korzystne działania. Pamiętajcie o tym!

Masz prawo do bycia ,,odłączonym"

Myślę, że używanie telefonu podczas rozmów z innymi bierze się często z błędnego przeświadczenia ludzi o tym, że potrafią robić wiele rzeczy jednocześnie i koncentrować się na nich wszystkich. „Ja cię słucham, ja tylko odbieram maile". Nauka temu przeczy. Na przykład teraz w czasie rozmowy zaczął mi dzwonić jakiś nieznany numer i już się rozproszyłam, koncentracja przeskoczyła mi na chwilę na ten telefon. – mówi Magdalena Bigaj.

Badania pokazują, że ludzki mózg jest w stanie koncentrować się tylko na jednej czynności. Całą resztę robimy wtedy na autopilocie. Jeśli ktoś przy nas zaczyna sprawdzać lajki, to na chwilę odpływa. Mówimy wtedy do awatara, który stoi przed nami fizycznie, ale jego myśli są gdzie indziej. Myślę jednak, że jako społeczeństwo dojdziemy do etapu, na którym będzie to powszechnie uważane za brak kultury. – dodaje.

Zachowania związane z budowaniem dobrych relacji – znajdowanie czasu na rozmowę z bliskimi tak często, jak to możliwe oraz nieużywanie telefonu podczas spotkań – są korzystne dla zdrowia. Przyczynia się to również do budowania dobrych relacji. Jako społeczeństwo i wspólnota powinniśmy zatem podejmować działania, w których stawiamy w centrum rozwoju nowych technologii - CZŁOWIEKA, a nie zysk czy rozwój samych technologii. W procesie tworzenia przyjaznej przestrzeni cyfrowej niezbędne są odpowiedzialna postawa i działania zarówno jej użytkowników, jak i twórców, wpisujące się w ideę cyfrowego obywatelstwa.

W korzystaniu z technologii zachowujmy więc umiar i zdrowy rozsądek. Skupiajmy się na jednej czynności. W kontaktach z innymi wybierajmy rozmowę – nie urządzenie.

A w starciu: ja i technologia – warto, abyśmy wybrali SIEBIE i swoje ZDROWIE.

Test Higieny Cyfrowej dla każdego

Czy po przeczytaniu tekstu zastanawiacie się nad tym, czy sami przestrzegacie higieny cyfrowej? Pamiętajcie – to już ważny krok, tak zwanej autorefleksji, który w rezultacie może prowadzić do podjęcia ważnych działań prozdrowotnych. Skorzystajcie z Testu Higieny Cyfrowej i sprawdźcie, czy wystarczająco chronicie swoje zdrowie w czasie używania ekranów. Poznajcie także dobre nawyki, które warto wprowadzić w swoim życiu. Test wraz z praktycznymi poradami jest dostępny bezpłatnie na stronie. Znajdziecie tu pytania między innymi o: kontrolowanie czasu ekranowego, korzystanie z ekranów przed snem czy podczas czynności wymagających skupienia, a także wiele innych, które na pewno Was zaskoczą. Do dzieła!

Scroll to Top