Z raportu „Security Risks Survey” firmy Kaspersky Lab wynika, że w 2015 roku 45% użytkowników Internetu na świecie narażonych było na działanie złośliwego oprogramowania, a 44% twierdziło, że zna osoby, których urządzenia zostały zainfekowane. Dokonano włamania na konta 25% internautów, a 48% doświadczyło zagrożenia związanego z finansami. Skala problemu jest duża, dlatego wprowadzanie odpowiednich zabezpieczeń kont w sieci jest kluczowym działaniem w walce z cyberprzestępcami. Jedną z najpopularniejszych metod ochrony dostępu jest dwuetapowa weryfikacja (2FA).
Na czym polega dwuetapowa weryfikacja?
Obecnie nawet posiadanie silnego hasła nie gwarantuje, że niepowołana osoba nie uzyska dostępu do naszego konta. Prowadzi to do konieczności stosowania dodatkowego zabezpieczenia, na przykład dwuetapowej weryfikacji. W pierwszym kroku wpisuje się login i hasło do konta, w drugim wprowadza się jednorazowy kod, który generowany jest dla tej konkretnej operacji i przesłany na numer telefonu komórkowego podanego uprzednio przez właściciela konta.
Wprowadzanie dodatkowego kodu podczas każdej operacji logowania może niektórym wydawać się dość uciążliwe, dlatego usługodawcy zaproponowali rozwiązanie w postaci tzw. zaufanego urządzenia. Wówczas tylko pierwsze logowanie na zaufanym urządzeniu wymaga dwuetapowej weryfikacji. Dla dodatkowego zabezpieczenia wprowadza się jeszcze czasami wymóg przeprowadzenia dwuetapowej weryfikacji ponownie, jeśli logowanie nie miało miejsca przez pewien okres, na przykład przez 60 dni. Warto również pamiętać, że każde urządzenie można bez problemu usunąć z listy zaufanych.
Gdzie wykorzystuje się dwuetapową weryfikację?
Tego rodzaju zabezpieczenia stosuje się wszędzie tam, gdzie istnieje konieczność lepszej ochrony dostępu do kont w sieci. Dotyczyć to może zarówno obszarów finansów i bankowości, ochrony danych, jak i zabezpieczeń profili w serwisach internetowych oraz poczty e-mail. Niewątpliwie najbardziej dotkliwą konsekwencją nieautoryzowanego dostępu do konta jest utrata pieniędzy w przypadku bankowości internetowej. Aby ograniczyć tego rodzaju zdarzenia, banki stosują dwuetapową weryfikację, najczęściej opierając się na kodach SMS, ale również coraz intensywniej wykorzystując identyfikację biometryczną. Oprócz hasła przy logowaniu do bankowego konta lub karty płatniczej dokonywana jest identyfikacja na podstawie obrazu twarzy, tęczówki i siatkówki, głosu lub odcisku palca. Takie rozwiązanie będzie na przykład testował na dużą skalę w swoich bankomatach w 2016 roku największy polski bank – PKO BP.
Nie tylko bankowość korzysta z zalet dwuetapowej weryfikacji. Stosowana jest ona wszędzie tam, gdzie kładzie się nacisk na ochronę danych, szczególnie w dużych przedsiębiorstwach i korporacjach, także przy ochronie zasobów umieszczanych w chmurze. Tego typu rozwiązanie zabezpiecza między innymi logowanie do Dysku Google, do konta Microsoft z takimi usługami jak Outlook, Office, SkyDrive czy Xbox, do usługi Dropbox lub do konta AppleID. Coraz powszechniej dwuetapową weryfikację stosują również popularne wśród milionów internautów portale społecznościowe jak Facebook czy Twitter. Tego rodzaju zabezpieczenie znają także miłośnicy gier komputerowych, np. na platformie Steam lub korzystający z produktów firmy Blizzard.
Rodzaje weryfikacji dwuetapowej
Przedstawione powyżej mechanizmy modelowego działania dwuetapowej weryfikacji bazują na rozwiązaniu, którym jest generowanie jednorazowych haseł i przesyłanie ich za pomocą wiadomości SMS na telefon komórkowy. Jak twierdzi Andrzej Ogonowski z SMSAPI.pl, polskiej platformy do masowej wysyłki SMS – jest to jedna z najpopularniejszych form dostarczania kodu identyfikacyjnego. Krótkie wiadomości tekstowe są bezpłatne, ale przede wszystkim ogólnodostępne, ponieważ, według danych GUS, na jednego Polaka przypada 1,5 karty SIM. Korzystanie z SMS-owej formy weryfikacji jest dla nas wygodne, a dla nadawcy skuteczne, ponieważ telefon mamy najczęściej przy sobie.
Kolejnym przykładem zastosowania dwuetapowej weryfikacji może być wypłata pieniędzy z bankomatu. Pomijając wypłaty małych kwot w technologii zbliżeniowej, pozostałe operacje wykonuje się dwuetapowo. Konieczne jest fizyczne wprowadzenie do czytnika bankomatu karty płatniczej oraz kodu PIN. Inny sposób podwójnej weryfikacji to na przykład połączenie hasła lub numeru identyfikacyjnego z wcześniej ustalonym odblokowującym wzorem do narysowania. Do nowocześniejszych metod zalicza się weryfikację naszego położenia geograficznego lub konieczność podłączenia do urządzenia klucza USB.
Gdy użytkownik znajduje się poza Polską, a musi wykonać logowanie oparte na dwuetapowej weryfikacji, nie mając dostępu do sieci telefonicznej, może po prostu zainstalować specjalną aplikację, która generuje kody autoryzacyjne w trybie offline (np. Authenticator lub Google Authenticator). Niektórzy usługodawcy lub instytucje finansowe oferują również specjalne aplikacje mobilne pozwalające na uzyskanie kodu identyfikacyjnego.
Jak chronimy swoje konta?
11% respondentów z całego świata przebadanych na potrzeby raportu odkryło, że ktoś niepowołany uzyskał dostęp do ich skrzynki e-mail lub konta na portalu społecznościowym, a co więcej, hasło zostało zmienione bez ich zgody. 7% respondentów zauważyło, że ktoś uzyskał dostęp do ich kont bankowych. Niepokojące jest to, że aż 16% użytkowników sieci nie zabezpiecza swoich urządzeń (smartfon, tablet, komputer) w żaden sposób, natomiast 58% wykorzystuje do tego jedynie hasła.
Pomimo wydłużonego czasu logowania warto przemyśleć dodatkowe metody zabezpieczania się przed niechcianymi atakami. Dwuetapowa weryfikacja zajmie tylko kilka sekund, a możemy dzięki temu ochronić nasze dane i zasoby pieniężne.