To, czym jest weryfikacja dwuetapowa czy też uwierzytelnianie dwuskładnikowe (ang. Two Factor Authenticaton, 2FA), doskonale definiuje sama nazwa tego rozwiązania. Chodzi o prosty, ale skuteczny mechanizm potwierdzania zadeklarowanej tożsamości, w którym to potwierdzenie zachodzi dwukrotnie, z wykorzystaniem zupełnie różnych składników.
Jakich składników? Można je podzielić na trzy grupy: coś, co wiemy, coś, co posiadamy oraz to, czym jesteśmy. W tej pierwszej grupie zawierają się utworzone przez nas hasła, kody PIN lub ewentualne tajne pytania pomocnicze (np. jak się nazywał twój przyjaciel z przedszkola?). Druga grupa wykorzystuje to, co posiadamy – na przykład telefon komórkowy, na który przychodzi SMS z kodem potwierdzającym albo specjalny klucz USB (U2F). Trzecia grupa obejmuje natomiast wszelkie dane biometryczne i behawioralne użytkownika, takie jak np. kształt twarzy czy linie papilarne.
Zasada jest prosta – przy uwierzytelnianiu wykorzystywane są dwa składniki, które należą do różnych grup, np. znane nam hasło (grupa pierwsza) plus kod przesłany na aplikację mobilną w naszym telefonie (grupa druga) albo też kod PIN (grupa pierwsza) plus skanowanie twarzy (grupa trzecia). Liczba dostępnych kombinacji jest ogromna i – co ciekawe – bynajmniej nie zamknięta, bo z pewnością wkrótce pojawią się w tym obszarze nowe rozwiązania.
Dlaczego warto korzystać z uwierzytelniania dwuskładnikowego?
Argument za wykorzystywaniem uwierzytelniania dwuskładnikowego jest bardzo prosty – to znacznie skuteczniejsze zabezpieczenie, w porównaniu z uwierzytelnianiem jednoskładnikowym, bazującym z reguły na utworzonym przez użytkownika haśle. Hasło można złamać (w wielu przypadkach to tylko kwestia czasu, a przy prostszych hasłach i współczesnych komputerach wcale nie potrzeba go aż tak wiele), można też je niechcący ujawnić, możemy również paść ofiarą wycieku bądź kradzieży bazy danych. Wówczas cyberprzestępcy mają do dyspozycji informacje dotyczące np. tysięcy użytkowników jakiegoś serwisu, sklepu czy usługi. W tym także do adresów mailowych oraz… haseł dostępowych. Jeśli jednak użytkownik stosuje uwierzytelnianie dwuskładnikowe, taki wyciek nie jest równoznaczny z końcem świata.
Warto pamiętać też o dodatkowej korzyści – łatwiejszym odzyskaniu dostępu np. do konta poczty elektronicznej, w przypadku, gdy zwyczajnie zapomnimy hasła. Jeśli użytkownik jest w stanie w inny sposób udowodnić swoją tożsamość, odzyskanie konta jest łatwe.
Kiedy warto korzystać z weryfikacji dwuetapowej?
Eksperci zajmujący się cyberbezpieczeństwem rekomendują, by używać uwierzytelniania dwuskładnikowego wszędzie tam, gdzie ewentualne straty będą naprawdę poważne. Zabezpieczymy w ten sposób nasze podstawowe konto poczty elektronicznej, wykorzystywane od lat i zawierające ważną korespondencję. Oczywiście 2FA powinno się również stosować w bankowości internetowej (na szczęście banki wymuszają to rozwiązanie), ale także przy zabezpieczaniu kont społecznościowych (Facebook, Instagram, LinkedIn, Tumblr, Twitter, Snapchat) i kont w sklepach internetowych (jeśli to umożliwiają).
Warto w tym momencie podkreślić, że w przypadku większości usług i serwisów, w których skonfigurowaliśmy uwierzytelnianie dwuskładnikowe, jest ono wykorzystywane tylko w wyjątkowych sytuacjach – tych, które mogłyby wyrządzić użytkownikowi znaczne szkody. Na przykład: do zalogowania się na internetowe konto bankowe wystarcza często hasło lub kod PIN, natomiast wykonanie przelewu wymaga już potwierdzenia, np. poprzez kod SMS albo listę jednorazowych haseł, otrzymaną od banku. Podobnie jest w przypadku konta poczty elektronicznej lub w mediach społecznościowych – jeśli wykorzystujemy menedżera haseł wbudowanego w przeglądarkę, nie trzeba będzie nawet podawać hasła, by się zalogować. Natomiast zmiana podstawowych ustawień użytkownika takiego serwisu (np. zmiana hasła) będzie już zwykle wymagać uwierzytelnienia dwuskładnikowego.
Warto stosować, ale warto też zachować ostrożność
Każde zabezpieczenie może zostać w jakiś sposób złamane lub ominięte przez przestępców, ale nie ulega wątpliwości, że w przypadku uwierzytelniania dwuskładnikowego jest to znacznie trudniejsze. Użytkownicy muszą jednak zachować ostrożność, ponieważ cyberprzestępcy nie próżnują. Najpoważniejszymi rodzajami zagrożeń są w tym przypadku phishing (wyłudzanie danych) oraz różnego rodzaju podstępy wykorzystujące socjotechnikę. Dochodzi też do tego złośliwe oprogramowanie szpiegujące (tzw. keyloggery).
Scenariusze działania oszustów są wciąż modyfikowane, udoskonalane i uwiarygadniane np. poprzez podszywanie się pod znane instytucje rządowe lub finansowe. Należy więc z jednej strony mieć świadomość, że uwierzytelnianie dwuskładnikowe nie chroni w pełni przed tego typu zagrożeniami, ale z drugiej – pozwala je w znaczącym stopniu ograniczyć.
Jeśli zatem wraz z włączeniem 2FA nie wyłączymy równocześnie zdrowego rozsądku, weryfikacja dwuetapowa zapewni nam spokojne i bezpieczne korzystanie z najważniejszych internetowych usług i serwisów.
Więcej o weryfikacji dwuetapowej na stronie: cert.pl/2etapy/