Większość chronionych informacji do których uzyskujemy dostęp w sieci Internet i często poza nią, offline, jest zabezpieczona… loginem i hasłem. Dwie frazy stanowią fundamentalną podstawę bezpieczeństwa wielu cennych informacji. Cennych, nawet jeśli niektórym wydaje się, że nie są one nic warte. Nie będę straszył Cię liczbami ile wszelkiego kont przejmowanych jest każdego dnia, ile osób otrzymuje w wyniku takiego przejęcia fake powiadomienia od rodziny i znajomych i do jak ogromnych wyłudzeń dochodzi, nawet jeśli dysponujesz garstką znajomych na Facebooku. Login i hasło. Niedocenione, zaniedbane a często i udostępniane na lewo i prawo, niechronione, nie zabezpieczone. Dobra, łyk mocnej kawy i przechodzę do rzeczy.
Uwierzytelnianie dwuskładnikowe (2FA) wymaga wprowadzenia dwóch informacji w celu zweryfikowania tożsamości przed uzyskaniem dostępu do konta. Od razu zaznaczam, login i hasło to jest jedna informacja, jeden składnik, jeden poziom. Kiedy mówimy o dwóch składnikach, dwóch poziomach, o uwierzytelnianiu dwupoziomowym lub uwierzytelnianiu wielopoziomowym, mówimy zazwyczaj o podaniu hasła i jednorazowego kodu 2FA.
Login i hasło i dodatkowe uwierzytelnienie – 2FA i MFA
2FA to Two Factor Authentication. MFA to Multi Factor Authentication.
Po włączeniu 2FA nawet jeśli naruszenie bezpieczeństwa lub haker naruszy twoje hasło, Twoje konto będzie nadal bezpieczne. Uwierzytelnianie dwuetapowe ma na celu wymusić podanie dwóch elementów identyfikujących użytkownika lub autoryzujących czynność.
Brzmi bezpiecznie? Z pozoru, bo jeśli wczytacie się w Google to dowiecie się, że i ta metoda bywa zgubna, ale zakładamy wariant, że decydując się na taką identyfikację, postąpicie zgodnie z zaleceniami jej autorów lub sugestiami supportu, np. Facebooka, Google, Instagram, itp..
Ale nawet Donald Trump aby odpalić głowie nuklearne korzysta z uwierzytelnienia dupoziomowego albo nawet i wielopoziomowego, począwszy od czerwonego telefonu, kodu SMS, żółtej karteczki z monitora, dwóch kluczy i trzeciego schowanego w torebce jego żony, skończywszy na odcisku palca jego chomika. To żart, ale tak własnie wygląda uwierzytelnianie wieloetapowe. Ale to jest zbyt skomplikowane. Prawda?
Uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA) to dodatkowa warstwa bezpieczeństwa dla Twojej firmy – pomaga wyeliminować luki w zabezpieczeniach standardowego podejścia opartego tylko na haśle. W dzisiejszym środowisku online podstawowe podejście do bezpieczeństwa oparte na nazwie użytkownika i haśle jest łatwym łupem dla cyberprzestępców. Wiele logowań można złamać w ciągu kilku minut, a dane prywatne (takie jak dane osobowe i finansowe) są coraz bardziej zagrożone.
Aby najlepiej oddać charakter uwierzytelniania dwuskładnikowego i wieloskładnikowego warto spojrzeć na kolejne etapy identyfikacji, autoryzacji przez pryzmat odpowiedzi na trzy pytania. Odpowiedź na nie, stanowi odpowiedź na pytanie: czym może być drugi składnik uwierzytelniania, co poza loginem i hasłem może nas dodatkowo uchronić przed nieautoryzowanym dostępem.
- coś, co użytkownik zna (np. hasło, kod PIN lub odpowiedź na tajne pytanie)
- coś, co użytkownik ma (np. token, telefon komórkowy, USB, brelok)
- coś, czym jest użytkownik (np. rozpoznawanie twarzy lub głosu, biometria behawioralna, odcisk palca, skan siatkówki lub tęczówki)
Jak działa uwierzytelnianie dwuskładnikowe?
Po zalogowaniu się na konto zostaniesz poproszony o uwierzytelnienie przy użyciu nazwy użytkownika i hasła. To pierwszy krok. Te dane znasz, nimi posługujesz się na co dzień albo jeszcze gorzej, zapamiętałeś je w przeglądarce lub masz przyklejone na monitorze (nie wiem co gorsze).
Zalogowałeś się i… przychodzi SMS. Na określony numer telefonu, zawierający określony kod, który musisz podać. Albo wyciągasz z kieszeni token, klikasz, generujesz klucz i wpisujesz. Albo przykładasz palec do czytnika linii papilarnych.
To właśnie podjęcie tego dodatkowego kroku w procesie uwierzytelniania ma na celu podnieść Twoje bezpieczeństwo.
Gdzie mogę korzystać z uwierzytelniania dwuskładnikowego?
Powinieneś używać uwierzytelniania dwuskładnikowego dla wszystkich stron, serwisów, aplikacji, które takie coś obsługują.
- Bankowość internetowa (nawet w telefonie konieczne jest odblokowanie urządzenia i autoryzacja płatności kodem pin lub odciskiem palca w zależności od konfiguracji).
- Zakupy online (Amazon, PayPal, Google Play, Allegro)
- E-mail (Gmail, Yahoo, Outlook podczas logowania do poczty lub zmian w konfiguracji konta)
- Konta do przechowywania w chmurze (Dropbox, Box, Google Drive gdzie możliwy jest dostęp do newralgicznych danych)
- Konta w sieciach społecznościowych (Facebook, Instagram, Linkedin, Tumblr, Twitter – zapomniane, niedocenione, ale stanowiące potężne narzędzie do wyłudzeń i podszywania się pod innych)
- Menedżerowie haseł (menadżer haseł zabezpieczony jest zwykle jednym silnym hasłem, a sam plik z hasłami jest szyfrowany). Cała moc tego zabezpieczenia tkwi więc w jednym haśle,
-
Aplikacje komunikacyjne.