Bezpieczeństwo

2FA, czyli oszustowi opadnie szczęka

1 kwietnia 2021

2FA, czyli oszustowi opadnie szczęka

Od momentu, gdy zacząłem się zajmować cyberbezpieczeństwem, moim konikiem były hasła. Gdy wchodziłem 11 lat temu w branżę, miałem wrażenie, że wszyscy wokół mnie mają proste, ośmioznakowe hasła, „12345678” nie jest wcale przesadnie rzadkie, a wszyscy używają takiego samego hasła wszędzie, gdzie się da. Minęło 11 lat i statystyki pokazują, że tak naprawdę nie jest o wiele lepiej… Dlatego raz na jakiś czas odświeżam Wam pewne kwestie, które mogą pomóc w zachowaniu bezpieczeństwa Waszej cyfrowej tożsamości.

2FA – co to w zasadzie jest?

2(Two) Factor Authentication, uwierzytelnianie dwuskładnikowe, to drugi element hasła do serwisu internetowego. Jakiego? W zasadzie prawie każdego, bowiem skorzystanie z 2FA oferuje każdy serwis, podchodzący poważnie do użytkownika.

Idealna brama dostępu do naszego cyfrowego „ja” to coś-co-wiesz + coś-co-masz (czy jakoś tak 🙂 ). O ile to pierwsze to właśnie nasze hasło, drugie to nasz telefon. Jeśli używamy 2FA, po wpisaniu loginu i hasła pokaże się monit o drugie, zazwyczaj sześciocyfrowe. Po uprzedniej konfiguracji możemy je otrzymać za pośrednictwem SMSa (odradzam, coraz częściej, jeśli tylko można, odchodzi się od SMSów autoryzacyjnych), bądź aplikacji mobilnej. W tym pierwszym przypadku generowane jest „na zlecenie”, gdy system uzyska informację o logowaniu. W drugim – aplikacja generuje nieprzerwanie pseudolosowe hasła, zmieniając je co 60 sekund.

Jak to ma mi pomóc?

To akurat proste. Wyobraź sobie, że ktoś wykrada Twoje hasło. Czy to w efekcie socjotechnicznego ataku (uwierzcie mi, najlepsi w tej materii potrafiliby czasem oszukać nawet mnie), czy wycieku danych, infekcji złośliwego oprogramowania na Twoim komputerze, czy nawet… przypadkowego upublicznienia Twoich poświadczeń logowania. Radosny oszust wpisuje Twój login, hasło, zaciera ręce, aż tu nagle:

Jeśli nie ma naszego telefonu – może zapomnieć tym, że zrobi nam większą krzywdę.

Listę stron, na których możecie skorzystać z 2FA znajdziecie np. tutaj. Jeśli witryny, której używacie tam nie ma, albo naciskajcie jej administratora/właściciela, albo poczekajcie, aż możliwości i uwarunkowania pozwolą im wreszcie na uruchomienie uwierzytelnienia dwuskładnikowego. Jak na przykład… nam 🙂

Poczta Orange z 2FA

Tak, od kilku dni możemy się pochwalić, że u nas też można użyć drugiego czynnika logowania! My na kontach służbowych mieliśmy go już od dawna – to token kryptograficzny, którym również możemy szyfrować maile (np. te z Waszymi danymi osobowymi) oraz je podpisywać. Skorzystanie z 2FA w Poczcie Orange jest trywialnie proste. Wystarczy, jeśli:

  • zalogujesz się na swoje konto na https://poczta.orange.pl
  • wybierzesz Ustawienia, a następnie sekcję Weryfikacja dwuetapowa
  • aktywujesz odpowiadającą Ci wersję

Dodatkowo przełączyliśmy jeszcze nasze serwery pocztowe w tryb SSL/Enforced TLS. W skrócie – szyfrujemy Wasze dane tak, by naprawdę nikt nie mógł do nich zajrzeć.

Spokojnych świąt dla Was i Waszych bliskich. A w dzisiejszych czasach przede wszystkim zdrowia.

 

Udostępnij: 2FA, czyli oszustowi opadnie szczęka

Bezpieczeństwo

Hasło wszyte w mankiecie

9 listopada 2017

Hasło wszyte w mankiecie

Hasło. Z jednej strony tak ważne, a z drugiej strony – tak piekielnie problematyczne. Bo o ile wpisanie go na stronie nie stanowi wielkiego problemu, nawet wymyślenie to nie żadne rocket science, ale już zapamiętać mocne hasło – to potrafi być sporym wyzwaniem…

Kurtka inteligentna, ale… brudna?

No bo tak – skoro mocne hasło ma mieć 12+ znaków, wielkie i małe litery, cyfry i znaki specjalne, no i nie zawierać wyrażeń słownikowych, to kto normalny coś takiego zapamięta (ja się nie liczę 😉 )? OK, można tę robotę scedować na menedżera haseł, ale – cóż – jego też trzeba zabezpieczyć mocnym hasłem. I tu na pomoc przychodzi nam technologia.

Wszystko wokół nas zaczyna być smart, ubrania też. Póki co, wiążą się z tym głównie minusy. Po pierwsze, takiej super kurtki nie możemy normalnie prać, a po drugie i kolejne – zerknijcie do mojego tekstu o konferencji Secure. Ale – jak widać powyżej, jeśli już obejrzeliście – wynalazcy z Uniwersytetu Waszyngtońskiego nie znają pojęcia „niedasię” i pracują nad możliwością… programowania części naszego ubrania! I to też nie jest rocket science, bo korzystają z elementów dostępnych w każdym sklepie. No może nie każdym ;), ale na pewno nie trzeba ich szukać w jakichś dziwnych miejscach.

Mankiecie, na pomoc?

Istota tkwi w przewodzących prąd niciach, wszytych w ubranie, czy to jako dodatek, czy – jak zakładam docelowo – na etapie produkcji. Korzystając z ferromagnetycznych właściwości materiału z którego są zrobione, można za pomocą odpowiedniego urządzenia (w zasadzie… magnesu) – nomen omen – „zaszyć” w nich, za pomocą dodatniej i ujemnej polaryzacji, ciąg zer i jedynek. Encyklopedii Brittanica w ten sposób nie zapiszemy, ale drugi składnik hasła, albo… uprawnienia dostępu do budynku już tak! A taki ferromagnetyczny element możemy wmontować w krawat, pasek, opaskę, naszyjnik, czy wszyć w mankiet koszuli. Drzwi otwierane krawatem? Brzmi dziwnie, ale sami przyznacie, że ma sens.

„Wyprałem hasło”

Badania naukowców z Waszyngtonu udowodniły, że do gromadzenia w ten sposób krótkich ciągów znaków nie potrzeba elektroniki, żadnych sensorów, nic z tych rzeczy. Do odczytania wystarczy zwykły magnetometr, a pod tym tajemniczym hasłem kryje się choćby najzwyklejszy czip NFC w telefonie. Jedno nad czym trzeba popracować, to problem zanikania jakości sygnału. W przypadku badań po tygodniu siła sygnału osłabiała się nawet o 30 procent, ale z drugiej strony, „mankiet” można było po prostu „naładować”. Aha, wysokie temperatury też wytrzymało, nawet 160 st. C, więc prać można bez ryzyka.
Przyznam szczerze, że mnie się taka koncepcja podoba. A Wam?

Udostępnij: Hasło wszyte w mankiecie

Bezpieczeństwo

Google ułatwia 2FA

23 czerwca 2016

Google ułatwia 2FA

W dzisiejszych czasach nie ma innej opcji – jeśli tylko serwis z którego korzystasz (i gdzie gromadzisz wrażliwe dane) korzysta z uwierzytelniania dwuskładnikowego (2 Factor Authentication, 2FA), korzystaj z niego i Ty. Nawet jeśli będzie Cię to kosztować kilka/naście sekund więcej za każdym logowaniem, pomyśl jak fajnie będzie wyglądał cyberprzestępca, który po wykradnięciu Twojego hasła zobaczy: „Wpisz drugi czynnik”. Ups – niespodzianka.

W ostatnich dniach Google – jedna z czterech firm, w przypadku których korzystam z 2FA – zdecydowało się nieco ułatwić/przyspieszyć życie swoim użytkownikom i pozwolić im zrezygnować z części sytuacji, w których muszą zaglądać do aplikacji Authenticator lub przepisywać kod z SMSa. Teraz wystarczy wybrać w opcjach bezpieczeństwa telefon z którego korzystamy i od tego momentu próbując zalogować się do Google na innym urządzeniu, zobaczymy komunikat push, pytający, czy właśnie usiłujemy zalogować się z innego urządzenia do Google. Klikając „tak” – logujemy się, a jeśli to nie my – rzucamy się natychmiast do zmiany hasła.

Czy warto? Zachowana jest zasada: „coś, co wiem” – czyli hasło + „coś, co mam” – fizyczny token, którego rolę pełni nasze urządzenie mobilne. Co więcej – jeśli ktoś będzie usiłował włamać się na nasze konto, informacja dzięki wiadomości push trafi do nas natychmiast. Oczywiście kiedy będziemy offline, lub będziemy logować się z tego samego telefonu, który mamy ustawiony w opcjach – wtedy wciąż przyda się aplikacja. Warto zaznaczyć, że nie chodzi o numer telefonu, ale o fizyczną słuchawkę. Dzięki temu unikamy sytuacji, gdy zły człowiek sklonuje naszą kartę SIM, by odbierać na nią SMSy.

Ja już się przełączyłem, ale ja zawsze byłem early adopterem 🙂 A Wy, co o tym sądzicie?

Udostępnij: Google ułatwia 2FA

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej