W dzisiejszych czasach nie ma innej opcji – jeśli tylko serwis z którego korzystasz (i gdzie gromadzisz wrażliwe dane) korzysta z uwierzytelniania dwuskładnikowego (2 Factor Authentication, 2FA), korzystaj z niego i Ty. Nawet jeśli będzie Cię to kosztować kilka/naście sekund więcej za każdym logowaniem, pomyśl jak fajnie będzie wyglądał cyberprzestępca, który po wykradnięciu Twojego hasła zobaczy: „Wpisz drugi czynnik”. Ups – niespodzianka.

W ostatnich dniach Google – jedna z czterech firm, w przypadku których korzystam z 2FA – zdecydowało się nieco ułatwić/przyspieszyć życie swoim użytkownikom i pozwolić im zrezygnować z części sytuacji, w których muszą zaglądać do aplikacji Authenticator lub przepisywać kod z SMSa. Teraz wystarczy wybrać w opcjach bezpieczeństwa telefon z którego korzystamy i od tego momentu próbując zalogować się do Google na innym urządzeniu, zobaczymy komunikat push, pytający, czy właśnie usiłujemy zalogować się z innego urządzenia do Google. Klikając „tak” – logujemy się, a jeśli to nie my – rzucamy się natychmiast do zmiany hasła.

Czy warto? Zachowana jest zasada: „coś, co wiem” – czyli hasło + „coś, co mam” – fizyczny token, którego rolę pełni nasze urządzenie mobilne. Co więcej – jeśli ktoś będzie usiłował włamać się na nasze konto, informacja dzięki wiadomości push trafi do nas natychmiast. Oczywiście kiedy będziemy offline, lub będziemy logować się z tego samego telefonu, który mamy ustawiony w opcjach – wtedy wciąż przyda się aplikacja. Warto zaznaczyć, że nie chodzi o numer telefonu, ale o fizyczną słuchawkę. Dzięki temu unikamy sytuacji, gdy zły człowiek sklonuje naszą kartę SIM, by odbierać na nią SMSy.

Ja już się przełączyłem, ale ja zawsze byłem early adopterem 🙂 A Wy, co o tym sądzicie?

Jedno trzeba Apple’owi przyznać – gdy robi się gorąco, potrafią reagować na wnioski swoich użytkowników, tym bardziej, gdy chodzi o tych, o których gazety pisują jeszcze regularniej niż o firmie z Cupertino. Jennifer Lawrence (jakoś ona przede wszystkim kojarzy mi się z ostatnią awanturą na styku celebrytów i ich iPhone’ów) i jej koleżanki mają prawo odczuwać dość głęboki żal po tym, jak ich nie do końca ubrane zdjęcia wypłynęły w eter, więc Apple zdecydował się na objęcie swoim uwierzytelnianiem dwuskładnikowym również iClouda. Dobrze przynajmniej, że nie pochwalił się tym jako innowacyjnym rozwiązaniem, podobnie jak Apple Pay, które od znanego od lat z Androida NFC różni się tym, że działa tylko z iPhone’ami 6…

Czyli co, jest dobrze? No ja bym raczej powiedział, że pogłoski o wzroście faktycznego bezpieczeństwa danych w korzystaniu z usług chmurowych Apple’a są nieco przesadzone. Faktycznie bowiem, łącząc się z iCloud musimy teraz wpisać kod z SMSa, ale… jedynie w przypadku, gdy podłączamy nowe urządzenie. Notabene – o tym wcześniej nie wiedziałem, ale to dlatego, że nie używam iUrządzeń – podobnie jest w przypadku zakupów z iTunes, czy AppStore, gdzie nie można już wymagać 2FA przy drugim zakupie z tego samego urządzenia! Widzicie w tym sens? Tzn. we wprowadzeniu uwierzytelniania dwuskładnikowego sens jest olbrzymi i zawsze każdego będę do tego namawiał, ale nawet jeśli chcemy uprościć użytkownikom życie, tym, którzy chcą, trzeba pozwolić korzystać z pełnej funkcjonalności, nie ograniczając je do wciąż użytecznej, ale jednak protezy.

Tym niemniej pierwszy krok zrobiony, drugim – od 1.10 będzie wprowadzenie dedykowanych haseł do aplikacji, nie wspierających 2FA. Teraz może być tylko lepiej!

Kto z Was słyszał przynajmniej raz o złośliwym oprogramowaniu na telefony komórkowe, przechwytującym SMSy autoryzujące przelewy ręka w górę! Dobra, możecie opuścić – zasłaniacie widnokrąg. Nosić ze sobą fizyczny token też nie za dobrze – można zgubić albo zapomnieć. Może fajnie by było używać do przelewów czegoś w rodzaju Google Authenticator ale to z wielu względów też nie jest do końca idealne…

Tymczasem dzisiaj przeglądając odmęty sieci wpadłem na fajną aplikację do uwierzytelniania dwuskładnikowego. To takie trochę połączenie wspomnianego GA z fizycznym tokenem i trochę z używaną przeze mnie „technologią karteczki” (o tym na końcu). PINgrid, bo tak nazywa się ta aplikacja, nie generuje jednak ciągu cyfr, ale ich siatkę (ów „Grid”, 6×6 lub 8×8, w zależności od tego, jak ustawimy), zmieniającą się co 60 sekund. Najważniejsze pozostaje w naszej głowie – klucz, w jakiej kolejności pukać w które kwadraciki.

I co w tej sytuacji złodziejowi/cyber-przestępcy z naszego telefonu? Nie zduplikuje hasła (bo po pierwsze de facto go nie wpisujemy tylko pukamy we fragmenty ekranu – a nie w klawiaturę;

a po drugie za 60 sekund i tak cyfry będą inne). Jeśli zainstaluje oprogramowanie przechwytujące SMSy to może je sobie wsadzić w… buty, bo żadne SMSy nie będą wysyłane. Czy raczej nie byłyby, bo o ile oprogramowanie klienckie na wszystkie systemy mobilne można sobie ściągnąć (oczywiście za darmo), o tyle nie spotkałem się jeszcze z jego komercyjnym wykorzystaniem.

Jak Wam się to podoba? Ja akurat mam obsesję na punkcie bezpieczeństwa mojej komórki, ale myślę, że na tego typu rozwiązanie skusiłbym się chętniej, niż na SMSy autoryzacyjne. Wzorek łatwo zapamiętać, ilość cyfr nie musiałaby być limitowana do 6 jak w Authenticatorze, a aplikacja po prostu uruchamiałaby się w momencie, gdy trzeba by było potwierdzić przelew. Eat this, cyber-thieves, że się tak z obcego wyrażę 🙂

Więcej o rozwiązaniu przeczytacie na stronie producenta.

PS: A o co chodziło z „technologią karteczki”? Na moim biurku w pracy mam przyklejoną taką siatkę 8×8, tylko, że tam są wielkie i małe litery, cyfry i znaki specjalne, rozsiane kompletnie losowo po całej kartce. W przeciwieństwie do PINgrid’a, tam znaki się nie zmieniają, co miesiąc zmieniam za to klucz do rozszyfrowania hasła. W efekcie więc hasło mogę bez ryzyka trzymać przyklejone do monitora 🙂