„Stosujcie uwierzytelnianie dwuskładnikowe!”. „Używajcie 2FA!”. „Zabezpieczajcie dodatkowo swoje konta!”. W moich tekstach regularnie powtarzam te hasła. To faktycznie kwestia, która powinna być dziś równie oczywista, jak dobre hasło. Ale o czym naprawdę mowa?
Uwierzytelnianie dwuskładnikowe (Two Factor Authentication, 2FA), to - jak sama nazwa wskazuje - drugi składnik, używany do logowania. Pierwszy to coś, co wiesz np. hasło. Drugi to coś, co masz i o tym za chwilę. Jeszcze jest trzeci - coś, czym jesteś, czyli biometria: odcisk palca albo wzór tęczówki oka.
Zacznijmy od SMS-a
2FA można użyć na trzy sposoby. Każdy ma swoje wady i zalety i każdy z nich opiszę. Pierwszy to znana wszystkim wiadomość tekstowa SMS. Tutaj tym, co masz, jest oczywiście telefon. Jeśli nie korzystamy ze smartfona - a takich jest wciąż całkiem spora grupa - i interesuje nas wyłącznie uwierzytelnianie dwuskładnikowe przy użyciu telefonu, to jedyny sposób.
Przy uruchomieniu tej metody w momencie wpisania prawidłowego loginu i hasła strona/aplikacja wyświetli monit o wpisanie kodu z SMS-a. Ten powinien pojawić się w maksimum kilkanaście sekund. Wpisujemy go i możemy korzystać z serwisu docelowego.
SMS to sposób najprostszy dla użytkownika, ale jednocześnie najdroższy dla właściciela serwisu. Wiadomo, że większość z nas nie zgodziłaby się na płacenie za uwierzytelnianie dwuskładnikowe, tymczasem ktoś koszty wysłanego SMS-a ponieść musi. W ostatnich miesiącach media nie tylko społecznościowe zalała fala nienawiści pod adresem Twittera, za przeniesienie SMS-owego 2FA do planów płatnych. Ja akurat uważam, że wyłączenie tej formy to świetny pomysł, lecz dla Elona Muska była to decyzja czysto biznesowa. I wcale się jej nie dziwię - optymalizując koszty łatwo uciąć... 60 mln dolarów, tyle bowiem rocznie tracił Wielki Niebieski Ptak na wysyłaniu SMS-ów autoryzacyjnych!
Aplikacja - zewnętrzna lub bankowa
Tutaj już próg wejścia jest nieco wyższy. Musimy mieć smartfon, poświęcić dłuższą chwilę na instalację aplikacji i w przypadku aplikacji zewnętrznej krótsze chwile na skonfigurowanie każdego z serwisów.
Aplikacja zewnętrzna to np. Google Authenticator, czy Microsoft Authenticator. Ja prywatnie korzystam z Authy, jest to rozwiązanie najlepiej oceniane przez społeczność "security". Konfiguracja serwisu polega na zeskanowaniu kodu QR wygenerowanego przez stronę/aplikację, a następnie wpisaniu w odpowiednie miejsce sześciocyfrowego pseudolosowego kodu. Potem rzeczony kod, inny dla każdego serwisu, będzie się zmieniał w aplikacji co 30 sekund, a my musimy go wpisać, gdy pojawi się monit, tak jak w przypadku SMS-a.
Działanie bankowej aplikacji do 2FA jest jeszcze bardziej intuicyjne. Jeśli już z niej korzystamy, możemy po prostu skonfigurować ją tak, by przy wszelkich operacjach finansowych aplikacja generowała powiadomienie push. Co więcej, tu możemy włączyć jeszcze trzeci składnik, potwierdzając operację odciskiem palca na czytniku w telefonie.
I nie zapominajmy, że przejęcie kontroli nad ruchem SMS bez wiedzy użytkownika w dzisiejszych czasach nie jest dla złego człowieka przesadnie trudne. Wykradzenie kodu z aplikacji wymaga już konkretniejszego socjotechnicznego zabiegu. A przy apce bankowej wystarczy czytać, co zatwierdzamy (np. przelew na nieznane konto, bądź dodanie konta do zaufanych, w sytuacji, gdy niczego takiego nie robiliśmy), by uniknąć kłopotów.
Uwierzytelnianie dwuskładnikowe przez klucz fizyczny
Fizyczny klucz to coś, czego wielu internautów się obawia, uważając, że to rozwiązanie „dla profesjonalistów”. Fakt, wielu z nas z niego korzysta – ja od przeszło 10 lat - ale nie taki diabeł straszny. To bardziej kwestia przyzwyczajenia się tego, że potrzebujemy czegoś „namacalnego” do zalogowania i opanowania przenoszenia go tak, byśmy go najzwyczajniej w świecie nie zgubili.
Są na świecie firmy, których nazwy są synonimem pewnych rozwiązań. Tak jak moja śp. babcia prosząc mnie o odkurzacz zawsze mówiła: „Misiu, podaj mnie elektroluks”, kupując starą, "centertelową" kartę prepaid wielu mówiło: „Poproszę tego taktaka z Idei” - tak fizyczny klucz 2FA to po prostu Yubikey. Produkt dopracowywany przez 16 lat, z jednej strony autoryzacyjny „kombajn”, z drugiej sprzęt wciąż intuicyjny w codziennym korzystaniu.
W przypadku 2FA z kluczem fizycznym w odpowiedzi na monit musimy go włożyć do odpowiedniego gniazda w urządzeniu (USB-A, USB-C lub Apple’owskiego Lightninga) i położyć palec na czułym na dotyk elemencie. Jeśli chcemy włączyć trzeci składnik możemy wyposażyć się w klucz z czytnikiem odcisku palca. Jeśli nie mamy możliwości podłączenia klucza są też wersje z NFC, z których sam do niedawna korzystałem.
Uruchomienie takiego 2FA przebiega nieco inaczej, acz jest nawet szybsze, niż w przypadku aplikacji. Wybieramy odpowiednią opcję, aplikacja odczytuje dane naszego klucza, dotykamy go i już jest skojarzony z chronionym serwisem.
Plus - jedyna możliwość przejęcia kontroli nad naszym kluczem to jego fizyczna kradzież. Minus - możemy go zgubić, tym bardziej, że jest dość mały. Dlatego warto mieć dwa, skonfigurować oba i jeden od razu schować do szuflady. Fakt, że nie jest tak popularny, jak aplikacje, z których skorzystamy praktycznie wszędzie. No i niestety jeszcze jego cena - to jedyne rozwiązanie za skorzystanie z którego zapłacimy. Co prawda tylko raz - w zależności od klucza od 25€ (taki klucz do większości zastosowań wystarczy) przez używany przeze mnie za 55€. Ten drugi pozwala m.in. na generowanie haseł jednorazowych, przechowywanie długich haseł statycznych, uwierzytelnianie challenge-response, czy wgranie certyfikatu kryptograficznego i pełnienie roli tokena do podpisywania i szyfrowania poczty). Aż do wersji za 95€ dla „wypasionych” rozwiązań profesjonalnych.
Uwierzytelnianie dwuskładnikowe – porównanie możliwości
Z której wersji 2FA najlepiej skorzystać? To Wasza decyzja. Tabela poniżej ułatwi jej podjęcie.
Kod SMS | Aplikacja | Klucz sprzętowy | |
Zalety | Łatwość uruchomienia, dostępny również na feature-phone’ach. | Intuicyjność korzystania, najpopularniejsze 2FA w serwisach. | Odporność na socjotechnikę, wielofunkcyjność |
Wady/ /ryzyka | Relatywna łatwość przejęcia transmisji. Serwisy odchodzą od kodów SMS (koszty+ryzyka). | Podatność na socjotechnikę. | Konieczność zmiany przyzwyczajeń. Możliwość zgubienia. Cena. |
Cena | 0 zł | 0 zł | 25-95€ |
Gdzie używać i jak włączyć 2FA?
Jeśli serwis przechowuje jakiekolwiek Twoje wrażliwe dane, a uwierzytelnianie dwuskładnikowe nie jest wśród metod zabezpieczenia konta, radziłbym rozważenie rezygnacji/zmiany serwisu. W znacznej większości przypadków znajdziesz rozwiązanie alternatywne. Możliwość włączenia 2FA znajdziesz w ustawieniach, najczęściej w rubryce bezpieczeństwo. Dla najpopularniejszych serwisów:
- Google – https://myaccount.google.com/signinoptions/two-step-verification
- Microsoft – https://account.live.com/proofs/manage/
- Facebook – https://www.facebook.com/security/2fac/settings/
- Twitter – https://twitter.com/settings/account/login_verification
Uwierzytelnianie dwuskładnikowe, podobnie jak hasła, to trochę mój konik. Więc na pytanie, gdzie go używam, odpowiem oczywiście, że wszędzie, gdzie się da. W serwisach, gdzie wyciek moich danych wiąże się z dużym ryzykiem (serwisy społecznościowe, mail) absolutnie używam klucza sprzętowego. Niestety ubolewam, że mój bank nie umożliwia użycia klucza, ma jednak drugą najlepszą możliwość, czyli dedykowaną aplikację. W pozostałych serwisach używam Authy, SMS-y zaś po prostu powyłączałem.
Które uwierzytelnianie dwuskładnikowe używać?
Ze względu na ryzyka przede wszystkim zalecam wyłączenie SMS-ów, poza sytuacją, gdy są jedyną możliwą opcją. Co do wyboru aplikacja, czy klucz? Cóż, ja jestem bezpieczniakiem, więc wiadomo, że akurat dbając o swoje dane sięgnę po najlepszą możliwą opcję, nie licząc się z kosztem. Zboczenie zawodowe. Najważniejsze jest, by uwierzytelnianie dwuskładnikowe przede wszystkim uruchomić. Już samo to znacząco wpłynie na Twoje bezpieczeństwo. Konkretnym rozwiązaniom warto się przyjrzeć i podjąć decyzję na bazie własnych doświadczeń.
A mnie podoba się obraz, który generuje moja wyobraźnia, gdy widzi przestępcę, który wykradł moje hasło, wpisał, po czym rzednie mu mina, gdy widzi komunikat:
„Włóż klucz sprzętowy”