O co chodzi z 2FA? Czemu warto korzystać z dwustopniowego uwierzytelniania?

Dwustopniowe uwierzytelnianie (ang. 2FA = two-factor authentication) powoli staje obowiązkowym „kurkiem bezpieczeństwa” i to nie tylko w życiu zawodowym. Poleganie tylko na sile swojego hasła, choćby najbardziej wymyślnego, może okazać się niewystarczające.

Dlaczego? Na pewno słyszeliście o wyciekach danych z mniejszych i większych baz (sklepów internetowych, narzędzi online, portali społecznościowych, uniwersytetów itd.). Takie incydenty zdarzają się praktycznie codziennie, a w dobie RODO słyszymy o tym jeszcze częściej niż kiedyś.

Z czym się to wiąże? Wśród danych, które wyciekły, często znajdują się Wasze hasła. Czasem są to dane w formie zwykłego tekstu, czasem zahaszowane*, ale i z haszami potencjalny zainteresowany jest w stanie sobie poradzić. Jeśli używacie takich samych lub podobnych haseł do wielu serwisów, Wasze konta są narażone. Nie wspominam nawet o takim scenariuszu, że Wasze hasła są po prostu słabe (warto zerknąć tu: Wikipedia) i zostaną złamane „z palca”. I tu przychodzi z pomocą wspomniany przeze mnie „kurek bezpieczeństwa”, czyli dwustopniowe uwierzytelnianie.

Tutaj, czyli na stronie „Have I Been Pwned”, możecie sprawdzić czy Wasze hasła wyciekły. Także Chrome w najnowszej wersji ma opcję „Sprawdź hasła” (Check passwords). Znajdziecie ją w menedżerze haseł (klik na pasku w Wasze zdjęcie –> ikonka kluczyka –> Sprawdź hasła). Jeśli któreś z używanych przez Was haseł wyciekło (ang. compromised), to pokaże się ikonka ostrzeżenia (jak poniżej).

A gdzie tu zagrożenie? Jeśli myślicie sobie teraz „eeee, przecież ja nic takiego nie mam na moim Fejsie/Instagramie/Gmailu etc.”, nic bardziej mylnego. Tak, możesz tam „nic” nie mieć, ale po włamaniu na Wasze konto haker może wykorzystać Twoją tożsamość i wysyłać spam do znajomych (naciąganie na BLIKa i inne tego typu akcje). Natomiast osoby, które mają podłączoną kartę płatniczą do konta reklamowego, mogą się spotkać z niemiłą niespodzianką – sponsoringiem czyjejś kampanii reklamowej. Przykładów jest mnóstwo i nie warto po prostu ryzykować.

Jak to działa? Większość znanych i mniej znanych serwisów ma w swoich ustawieniach możliwość włączenia dwustopniowego uwierzytelniania. Trzeba się tylko do tego „dokopać”. Opcja polega najczęściej na wpisaniu jednorazowego kodu, który uzyskamy SMSsem, mailem lub w aplikacji typu Google Authenticator. Możliwe jest też potwierdzanie logowania na telefonie poprzez wiadomości w aplikacji (pushe). Włączenie 2FA jest bezpłatne i nie jest aż tak kłopotliwe, jakby się to mogło wydawać. Jeśli korzystamy ciągle z tych samych urządzeń, kodu nie będziemy musieli podawać za każdym razem. Wyjątkiem jest wtyczka do WordPressa – Google Authenticator.

Jeśli nawet Twoje hasło wycieknie to wciąż będziesz zabezpieczony jednorazowym kodem. Oczywiście jest możliwość przechwycenia także i tego kodu, ale są to sytuacje bardziej marginalne.

Serwisy i portale oferujące dwustopniowe uwierzytelnianie to m.in. Facebook, Twitter, Instagram, Allegro, Google, Dropbox, Amazon, GitHub, PayPal, Slack, Microsoft, Trello, Apple, WordPress (wtyczka).

Gdzie znaleźć? Najczęściej opcja włączenia 2FA znajduje się w ustawieniach prywatności i bezpieczeństwa (privacy and security). Należy poszukać tam opcji 2FA lub dwustopniowego uwierzytelniania (nazewnictwo może być różne, np. dwuetapowe, dwuskładnikowe itd.).

Przy włączeniu opcji będziemy musieli wpisać jednorazowy kod z SMSa czy aplikacji (warto wcześniej ją zainstalować).

Polecam zabezpieczyć na pierwszym miejscu swoje e-maile, ponieważ dzięki dostępowi do Waszych skrzynek pocztowych, włamywacze mogą bez problemu resetować hasła w innych usługach!


*haszowanie – używanie funkcji haszującej (funkcji skrótu, funkcji mieszającej). Polega to na przypisaniu ciągowi znaków (np. hasłu) innego ciągu. Funkcja ta jest jednostronna, czyli znając zahaszowane hasło nie jesteśmy w stanie go odtworzyć w formie zwykłego tekstu. Haszowanie wykorzystywane jest w algorytmice i kryptografii.

Źródło tekstu: https://javaheri.pl/o-co-chodzi-z-2fa/