Cyberprzestępcy nie śpią – wystarczy jeden drobny błąd, by utracić dostęp do konta i na zawsze pożegnać się ze zgromadzonymi na nim środkami. To właśnie dlatego strony internetowe związane z finansami (banki, pośrednicy płatności, giełdy kryptowalut, kantory internetowe i inne) zobowiązują użytkowników do korzystania z tzw. uwierzytelniania dwuskładnikowego, znanego też jako 2FA. Czym jest uwierzytelnianie dwuskładnikowe? Na jakiej zasadzie działa? Czy 2FA faktycznie w pełni chroni konto przed cyberprzestępcami?
Spis treści
Czym jest uwierzytelnianie dwuskładnikowe?
Termin uwierzytelnianie dwuskładnikowe pochodzi od angielskiego określenia Two Factor Authenticaton (w skrócie: 2FA) i oznacza podwójną warstwę zabezpieczeń dostępu do konta. Przy logowaniu na standardowo zabezpieczonej stronie internetowej użytkownik musi podać jedynie coś, co zna, czyli swój login oraz hasło. Jeżeli informacje te trafią w niepowołane ręce, cyberprzestępca uzyska pełny dostęp do konta. W przypadku blogów lub forów internetowych szkody nie będą raczej zbyt wielkie, ale już włamanie na konto bankowe, portfel kryptowalut czy media społecznościowe może okazać się tragiczne w skutkach. Uwierzytelnianie dwuskładnikowe powstało, by zapobiegać tego typu sytuacjom – użytkownik musi podać nie tylko login oraz hasło, ale też tzw. token, czyli dodatkową informację, która jest aktywna tylko podczas konkretnej próby logowania. Zazwyczaj jest to albo jednorazowy kod wysyłany w wiadomości SMS lub email, albo powiadomienie w specjalnej aplikacji mobilnej, które trzeba zaakceptować.
Jak działa uwierzytelnianie dwuskładnikowe?
Tak jak wspomnieliśmy, uwierzytelnianie dwuskładnikowe opiera się na tokenie, który stanowi dodatkową warstwę zabezpieczeń. Choć założenie 2FA jest zawsze takie samo (użytkownik poprzez bezpieczny kanał dostaje jednorazową informację umożliwiającą mu potwierdzenie próby logowania), to szczegółowa zasada działania zabezpieczenia może różnić się w zależności od serwisu internetowego. Poniżej omówiliśmy cztery najpopularniejsze rodzaje uwierzytelniania dwuskładnikowego.
2FA przez wiadomość SMS
Ten rodzaj uwierzytelniania dwuskładnikowego był najpopularniejszy kilka lat temu, ale obecnie się od niego odchodzi. Za każdym razem, gdy logujesz się na swoje konto, otrzymujesz wiadomość SMS z jednorazowym kodem. Na jego wpisanie masz określony czas (zwykle od 30 sekund do 10 minut). Jeśli kod jest poprawny, to uzyskasz dostęp do konta.
2FA w formie emaila
2FA w formie wiadomości wysłanej na adres email jest mniej popularne, ale wciąż wykorzystywane przez wiele serwisów. Zasada działania jest prosta – gdy logujesz się na konto, na przypisany adres email zostaje wysłana wiadomość z jednorazowym kodem. Wiele serwisów dołącza do maila dodatkowe informacje takie jak także adres IP, rodzaj urządzenia i miejsce, skąd dokonano próby logowanie – pozwala to na łatwe zweryfikowanie, czy na konto nie próbują się włamać cyberprzestępcy.
2FA w ramach aplikacji mobilnej
Coraz więcej serwisów internetowych, szczególnie powiązanych z branżą finansową, zachęca użytkowników do skorzystania z 2FA w ramach aplikacji mobilnej. Dotyczy to zarówno aplikacji wypuszczonych przez konkretny serwis (np. aplikacja banku), jak i specjalnych aplikacji przeznaczonych tylko i wyłącznie do uwierzytelniania dwuskładnikowego. Te ostatnie pozwalają zebrać w jednym miejscu tokeny do kilku lub kilkunastu kont i charakteryzują się dość wysokim poziomem bezpieczeństwa. Trzy najpopularniejsze to Google Authenticator, Authy oraz Microsoft Authenticator. Jak działa taki rodzaj 2FA? Cóż, to zależy od wybranej aplikacji. Gdy logujesz się na konto, na podłączoną aplikację mobilną przychodzi powiadomienie push. Możesz wtedy albo potwierdzić logowanie, albo je anulować. Alternatywnie aplikacja generuje jednorazowe kody o krótkim czasie przydatności (zazwyczaj 30 sekund), które działają podobnie jak kody SMS, choć są od nich znacznie bezpieczniejsze.
2FA za pomocą danych biometrycznych
Choć uwierzytelnianie dwuskładnikowe za pomocą danych biometrycznych (odcisk palca, zdjęcie twarzy) jest wykorzystywane rzadko, to w ostatnich latach zyskuje na popularności, głównie za sprawą skanerów odcisków placów instalowanych w najnowszych smartfonach. By potwierdzić logowanie do serwisu, musisz poprawnie potwierdzić swoją tożsamość poprzez dane biometryczne, czy to skanując wcześniej zapisany odcisk palca, czy robiąc zdjęcie swojej twarzy. Po ten rodzaj 2FA chętnie sięgają polskie banki, ale zagraniczne firmy zazwyczaj traktują go z rezerwą ze względu nie nieco niższy poziom bezpieczeństwa.
Czy uwierzytelnianie dwuskładnikowe zapewnia pełne bezpieczeństwo?
Choć uwierzytelnianie dwuskładnikowe to podstawa bezpiecznego korzystania z kont internetowych, to jak każde zabezpieczenie nie jest ono perfekcyjne. Cyberprzestępcy coraz sprawniej uczą się je omijać, zazwyczaj korzystając z phishingu. By zminimalizować ryzyko, stosuj się do kilku prostych zasad bezpieczeństwa. Nigdy nie podawaj nikomu kodów wygenerowanych przez 2FA. Gdy otrzymasz na aplikację mobilną powiadomienie push, upewnij się, że faktycznie dotyczy ono twojego logowania, sprawdzając datę, geolokalizację oraz rodzaj urządzenia. Przed wpisaniem swoich danych upewnij się też, że znajdujesz się na właściwej domenie – cyberprzestępcy szczególnie chętnie tworzą kopie stron internetowych, wyłudzając w ten sposobów dane. Niestety każdy rodzaj 2FA ma też swoje wady. Kartę SIM można sklonować i przejąć w ten sposób SMS-y przychodzące na dany numer, zaś na urządzenie mobilne z aplikacją hakerzy mogą się włamać. Dlatego warto pamiętać, że najskuteczniejszym zabezpieczeniem konta w banku czy na giełdzie kryptowalut jest klucz U2F. Nie wszystkie serwisy wspierają to rozwiązanie, ale jeżeli istnieje taka opcja, to warto zainteresować się tym rodzajem zabezpieczeń, szczególnie jeśli posiadasz na koncie duże środki.
Na sam koniec chcielibyśmy podkreślić, że prawidłowo skonfigurowane uwierzytelnianie dwuskładnikowe stanowi skuteczne zabezpieczenie przed większością ataków. Uważne korzystanie z 2FA nie daje ci gwarancji bezpieczeństwa posiadanych środków, ale pozwali znacząco zminimalizować ryzyko ich utraty.
