Wstęp.
W poprzednim wpisie starałem się skupić na sprzętowym zabezpieczeniu logowania, przy użyciu klucza Yubikey od Yubico. Dzisiaj skupmy się na darmowych rozwiązaniach. Mamy ich kilka do wyboru. Oczywiście jak wszystko mają swoje plusy i minusy. Następnie pokażę Ci jak korzystać z każdej z opisanych metod. Wyjaśnię również, w jaki sposób te metody wdrożyć.
W tym wpisie nie będę się skupiać ponownie na podstawowych definicjach takich jak 2FA, FIDO2 czy U2F. To wszystko jest opisane w poprzednim wpisie, do którego lektury zachęcam.
Przypomnę tylko, że uwierzytelnianie 2-składnikowe to takie, które oprócz loginu i hasła, chce od nas coś jeszcze… uwierzytelnianie dwuskładnikowe za darmo.
Także zaczynamy:
Kody SMS.
Jest to chyba najbardziej rozpowszechniona metoda dodatkowego uwierzytelniania. Kody SMS są łatwe, szybkie, przyjemne i jednorazowe. Najczęściej nie musimy za nie płacić.
Przykład kodu sms, wykorzystanego do uwierzytelnienia aplikacji księgowej.
Niestety najprostsze rozwiązania nie zawsze są najlepsze. Także i tutaj znajdziemy kilka, dość istotnych wad. Przede wszystkim kody SMS nie chronią przed phishingiem! Oznacza to, że sprytny złodziej, może próbować od nas te hasło uzyskać. SMS nie ochroni nas również przed duplikatem karty ani przed przekierowaniem na inny numer.
Do tego zawsze musisz mieć przy sobie naładowany telefon.
Jak widać, kody jednorazowe SMS mają swoje wady, ale na pewno lepiej stosować je niż nie stosować niczego.
Linki i kody email.
Kolejną metodą, którą omówię, są linki uwierzytelniające. Działają na bardzo zbliżonej zasadzie do kodów SMS, ale są używane nieco rzadziej i do mniej krytycznych aplikacji. Otóż linki częściej są używane to potwierdzenia dołączenia na przykład do newslettera. Kody natomiast są wykorzystywane już typowo do logowania się na przykład w popularnej platformie Steam.
Wiadomości email z kodem uwierzytelniającym do Steam.
Email, podobnie jak wiadomość SMS jest dość łatwe i przyjemne w użyciu, ale jest jeszcze mniej bezpieczne. Pomijam już kwestię naładowania baterii w telefonie, ponieważ możemy z tej metody korzystać na komputerze. Tutaj znów pojawia się podatność na phishing. Email jest bardzo narażony na przejęcie przez hackerów i ogólnie nie jest bezpieczną formą komunikacji.
Jednakże tak jak wyżej — lepiej stosować takie zabezpieczenie, niż żadne.
Autentyfikatory.
Teraz skupimy się nad metodą uwierzytelniania dwuskładnikowego za pomocą aplikacji. Mianowicie są to specjalne aplikacje tzw. autentyfikatory. Działają na prostej zasadzie. Co pewien interwał czasowy (1 – 2 minuty) generują specjalne, jednorazowe kody dostępowe. Składają się one z 6 cyfr. Aplikacje te są całkowicie bezpłatne, a żeby z nich korzystać, wystarczy zeskanować kod QR (np. w ustawieniach konta Google czy Facebook).
Aplikacje, które możemy wykorzystać do tej metody uwierzytelniania to m. in: Google Authenticator, Microsoft Authenticator, Auth.
Kody wygenerowane przez Google Autenticator.
Jedyną wadą tego rozwiązania jest brak „odporności” na phishing. No i oczywiście sytuacja, w której ktoś nam kradnie, niezabezpieczony i naładowany telefon.
Implementacja na przykładzie Gogole.
A jak i z czym to się je? Samo wdrożenie, któregokolwiek z powyższych sposobów jest bardzo proste. Pokarzę to na przykładzie konta Google.
Także zaczynamy oczywiście od zalogowania si.ę do naszego konta i wybrania opcji „Zarządzaj kontem Google”.
Następnie wybieramy (włączamy) opcję weryfikacja dwuetapowa.
W kolejnym kroku z lewej strony z listy wybieramy opcję „Bezpieczeństwo”.
Ostatnim etapem jest wybór interesujących nas opcji uwierzytelniania.
No i VOILA! Zabezpieczyliśmy konto. Uwierzytelnianie dwuskładnikowe za darmo — prawda, że proste?
Podsumowanie.
Jak widać na powyższych przykładach, wdrożenie zabezpieczeń nie musi być ani trudne, ani kosztowne. Należy tylko temu poświęcić trochę uwagi. Moim skromnym zdaniem warto, a nawet więcej. Powinien to być obowiązek nałożony na każdego z nas. Uniknęlibyśmy wtedy większości żenujących wymuszeń na wnuczka czy policjanta. Ochronimy się wtedy również przed niekontrolowanymi wyciekami danych z różnych serwisów. A te zdarzają się nader często.
Oczywiście gdyby ktoś miał problem z wdrożeniem któregoś ze sposobów — służę pomocą. Odezwij się poprzez formularz kontaktowy lub zadzwoń.
