Weryfikacja dwuetapowa (2FA): Jak zabezpieczyć konta w internecie za pomocą uwierzytelniania dwuskładnikowego?

Weryfikacja dwuetapowa (2FA) – wszystko o uwierzytelnianiu dwuskładnikowym. Porównanie metod: e-mail, kody SMS, kody czasowe w aplikacji, klucz U2F. Co wybrać i jak zabezpieczyć konta? Sprawdzam!

2FA

Samo hasło to często zbyt mało, aby ochronić dostęp do naszego konta. Niezależnie od tego, czy mówimy o koncie w serwisie społecznościowym, banku, w sklepie internetowym czy w państwowej usłudze zdrowotnej – warto aby do logowania dodać drugi składnik. W ten sposób znacznie podniesiemy poziom bezpieczeństwa tego konta. A w niektórych przypadkach wręcz w 100% zabezpieczymy nasze konto przed włamywaczami i cyberprzestępcami.

Dlaczego warto? Jak to zrobić? Jakie są metody zabezpieczenia i jak działają? Którą metodę dwuskładnikowego logowania wybrać? Tutaj to sprawdzę.

O czym mówimy? Definicja

Na początek szybka definicja, aby było wiadomo, o czym jest ten artykuł.

Uwierzytelnianie dwupoziomowe, uwierzytelnianie dwuskładnikowe, uwierzytelnianie wielopoziomowe, weryfikacja dwustopniowa, weryfikacja dwuetapowa, 2FA – (ang. Two-Factor Authentication, Multi-factor authentication) – metoda autoryzacji lub uwierzytelniania używana najczęściej przy logowaniu, która oprócz hasła zakłada użycie co najmniej drugiego innego „składnika” zabezpieczającego dostęp do konta.

Brzmi skomplikowanie? Bez obaw. Dalej dowiesz się co to jest i jak w praktyce wygląda. W artykule będę zamiennie używał pojęć 2FA, weryfikacja dwuetapowa, uwierzytelnianie dwuskładnikowe i innych.

Po co „drugi składnik” logowania?

Czy nie wystarczy login i hasło? Niestety nie. Choć wydaje się, że długie, unikalne i trudne do złamania hasło powinno dobrze chronić dostęp do naszego konta, to nie jest tak ze względu na najsłabsze ogniwo – nas samych.

Cyberprzestępcy czasem łamią hasła, ale jednak znacznie częściej stosują phishing. Czyli z pomocą socjotechniki próbują nakłonić nas do podania naszego loginu i hasła na fałszywej, podstawionej przez nich stronie internetowej, która do złudzenia przypomina np. stronę logowania do Facebooka, maila czy konta w banku.

I wierz mi: Przy dobrze wycelowanym ataku na taki phishing nabierze się prawie każdy.

Drugi składnik logowania to dodatkowa bariera, która dodatkowo chroni nasze konto przed dostępem osób niepowołanych. Nawet takich, które w ten czy inny sposób zdobędą hasło do naszego konta.

Co to jest „drugi składnik” w dwuskładnikowym (dwustopniowym) zabezpieczeniu konta?

Pierwszym „składnikiem” jest hasło – to już wiemy. A co może być drugim? Stara zasada zabezpieczania mówi, że dobre zabezpieczenie powinno się składać z co najmniej dwóch składników. Powinno być to:

  1. Coś co wiesz
  2. Coś co masz

Czymś co wiesz, jest oczywiście unikalne i trudne do złamania hasło. Choć w praktyce możesz takiego hasła nawet nie znać, korzystając z menedżera haseł (do czego zachęcam!). Ja swoich haseł nie znam 🙂

Natomiast czymś co masz może być np. telefon, specjalny fizyczny token, klucz bezpieczeństwa na USB czy lista z tajnymi kodami.

Jak to wygląda w praktyce? Najlepiej pokazać to na przykładzie, który prawdopodobnie dobrze znasz. Mowa o bankach, które od dawna stosują drugi składnik – jeśli nie przy samym logowaniu, to przy potwierdzaniu niektórych transakcji na rachunkach.

Banki do tego celu korzystały kiedyś z fizycznych urządzeń nazywanych tokenami, które wyświetlały unikalne kody, albo z kart-zdrapek, na których pod ponumerowanymi polami zasłoniętymi zdrapką ukryte były jednorazowego użytku kody służące do potwierdzania przelewów czy innych operacji na koncie. Dziś są to głównie jednorazowe kody wysyłane jako SMS lub – coraz cześciej – powiadomienia z prośbą o potwierdzenie transakcji wysyłane z aplikacji bankowej na smartfonie.

Choć oczywiście banki to szczególny przypadek, a miejsc – jak i metod zabezpieczenia – jest znacznie więcej. Odejdźmy więc na chwilę od banków, które stosunkowo dobrze sobie radzą, narzucając wszystkim klientom dwuskładnikową autoryzację i porozmawiajmy o najpopularniejszych sposobach na zabezpieczenia innych internetowych kont.

Metody weryfikacji dwuetapowej: lista i porównanie

Pora na poznanie współczesnych metod zabezpieczania kont internetowych drugim składnikiem logowania. I prześwietlenia ich pod kątem ich WAD i ZALET.

Oto 4 aktualnie najczęściej używane „drugie składniki” logowania:

  1. Kody jednorazowe lub linki wysyłane przez e-mail
  2. Kody jednorazowe wysyłane przez SMS
  3. Kody czasowe w aplikacji
  4. Klucz U2F

Przyjrzyjmy se im bliżej.

1# Kody jednorazowe lub linki wysyłane przez e-mail

Logujesz się, podając login i hasło, a w ramach dodatkowego potwierdzenia, że ty to ty, dostajesz prośbę o zerknięcie na swoją skrzynkę e-mail, gdzie czeka na Ciebie wiadomość z kodem lub linkiem służącym do potwierdzenia logowania.

Przykład jednorazowego kodu bezpieczeństwa wysyłanego przez e-mail (Airbnb)
Przykład jednorazowego kodu bezpieczeństwa wysyłanego przez e-mail (Airbnb)

Plusy kodów/linków wysyłanych przez e-mail:

  • nie wymaga żadnych dodatkowych aplikacji czy sprzętów (e-mail ma każdy)
  • w treści maila mogą czasem być dodatkowe informacje pomagające w podjęciu decyzji o autoryzacji (np. miasto, z którego ktoś się loguje)

Minusy kodów/linków wysyłanych przez e-mail:

  • skrzynka e-mail jest najbardziej narażona na przejęcie przez cyberprzestępców ze wspomnianych metod
  • nie chroni przed phishingiem (!) (Ty się logujesz na stronie przestępcy, a on w tym czasie za pomocą danych które mu podajesz na prawdziwej stronie)
  • e-mail nie jest bezpieczną formą komunikacji

Co musiałoby się stać, aby ktoś przejął Twoje konto zabezpieczone przez kody/linki e-mail?

  • Scenariusz 1: Ktoś włamuje się na Twoją skrzynkę e-mail
  • Scenariusz 2: Ktoś przechwytuje treść wiadomości e-mail „w locie” (np. obcej sieci WiFi, gdy nie korzystasz z VPN)
  • Scenariusz 3 (najbardziej prawdopodobny): Phishing. Przestępca czeka po „drugiej stronie” na Twoje dane, aby w tym samym czasie zalogować się za ich pomocą i poczekać, aż potwierdzisz jego próbę logowania

2# Kody jednorazowe wysyłane przez SMS

Przy logowaniu dostajesz na podanych wcześniej numer telefonu SMS z kodem jednorazowego użytku do przepisania na stronę logowania.

Przykład jednorazowych kodów wysyłanych przez SMS (Profil Zaufany ePUAP)
Przykład jednorazowych kodów wysyłanych przez SMS (Profil Zaufany ePUAP)

Plusy kodów przez SMS:

  • każdy ma telefon, na który można wysłać SMS
  • SMSy trudniej jest „przechwycić” niż treść wiadomości e-mail

Minusy kodów przez SMS:

  • nie chroni przed phishingiem (!)
  • nie chroni przed wyrobieniem duplikatu karty SIM
  • nie chroni przed przekierowaniem SMS-ów

Co musiałoby się stać, aby ktoś przejął Twoje konto zabezpieczone przez kody SMS?

  • Scenariusz 1 (mało prawdopodobny): Ktoś kradnie Ci fizycznie telefon i odczytuje treść SMSa. Albo odczytuje treść, wykorzystując chwilę Twojej nieuwagi.
  • Scenariusz 2: Ktoś wyciąga od Twojego operatora duplikat karty SIM i zaczyna odbierać Twoje SMSy (tzw. atak SIM-Swap)
  • Scenariusz 3: Ktoś z wykorzystaniem luk w procedurach Twojego operatora komórkowego (albo za pomocą włamania Twoje konto internetowe u niego) ustawia przekierowanie wiadomości SMS na inny (podstawiony) numer telefonu
  • Scenariusz 4 (najbardziej prawdopodobny): Phishing. Po wpisaniu loginu i hasła na fałszywej stronie wpiszesz i kod z SMSa. W tym samym czasie, gdy Ty logujesz się na fałszywej stronie, przestępca robi to na tej prawdziwej z użyciem danych, które mu podajesz.

3# Kody czasowe w aplikacji

Metoda TOTP (ang. Time-Based One-Time Password), czyli jednorazowych kodów zmieniających się co jakiś czas. Zakłada, że masz zainstalowaną aplikację (np. Google Authenticator, Authy, Microsoft Authenticator), która po zeskanowaniu kodu QR jest w stanie generować 6-cyfrowe kody zmieniające się co 30 sekund. Zabezpieczenie wymaga podania aktualnie wygenerowanego w aplikacji kodu.

Niektóre menedżery haseł (np. 1Password) mają wbudowaną obsługę takich kodów w swojej aplikacji na smartfony i komputery.

Przykład czasowych kodów generowanych przez aplikację (Google Authenticator)
Przykład czasowych kodów generowanych przez aplikację (Google Authenticator)

Plusy kodów czasowych w aplikacji:

  • każdy ma smartfona
  • aplikacje do obsługi kodów są darmowe lub mogą być wbudowane w menedżera haseł

Minusy kodów czasowych w aplikacji:

  • nie chroni przed phishingiem (!)

Co musiałoby się stać, aby ktoś przejął Twoje konto zabezpieczone przez kody czasowe w aplikacji?

  • Scenariusz 1 (mało prawdopodobne): Kradzież i odblokowanie smartfona lub „podpatrzenie” kodu
  • Scenariusz 2 (najbardziej prawdopodobny): Phishing. Znowu. Mimo że przestępca „po drugiej stronie” ma mniej niż 30 sekund, to i tak jest to aktywnie (i niestety z sukcesami) wykorzystywany atak.

4# Klucz U2F

Co to jest klucz U2F? To fizyczny przedmiot przypominający pendrive lub brelok do kluczy. Zapisane są na nim unikalne dane kryptograficzne, dzięki którym możemy autoryzować logowanie (czy inne operacje) po wcześniejszym dodaniu takiego klucza do konta. Ze względu na jego budowę, autoryzacja przy pomocy takiego klucza będzie poprawna tylko na prawdziwej stronie internetowej.

Istnieją różne klucze i mogą obsługiwać różne porty np. USB, USB-C, lightning, a niektóre z nich mają także możliwość komunikacji bezprzewodowej za pomocą NFC lub Bluetooth.

Przykładowy klucz U2F Yubikey przypięty do kluczy
Przykładowy klucz U2F Yubikey przypięty do kluczy (CC BY-SA 4.0 – Yubico)

Plusy klucza U2F:

  • nie wymaga instalacji, konfiguracji, czy zasilania
  • jest mały i poręczny i nie wymaga zasilania (można go nosić przy kluczach)
  • jeden klucz może chronić dowolnie wiele kont w dowolnie wielu serwisach i być używany na dowolnie wielu urządzeniach (komputery, smartfony, tablety itd.)
  • jako jedyny w 100% chroni przed phishingiem (!)

Minusy klucza U2F:

  • wymaga zakupu klucza

Co musiałoby się stać, aby ktoś przejął Twoje konto zabezpieczone za pomocą klucza U2F?

  • Scenariusz 1 (jedyny, mało prawdopodobny): Ktoś jednocześnie za pomocą phishingu wyłudza od Ciebie login i hasło oraz jednocześnie kradnie Ci fizycznie klucz U2F

Uwierzytelnianie dwuskładnikowe: Co wybrać?

Po przeczytaniu powyższego zestawienie wybór może być tylko jeden: KLUCZ U2F jest najbezpieczniejszą metodą dwuetapowej autoryzacji (2FA) i jedynym „drugim składnikiem”, który jest odporny na phishing!

Sam korzystam z kluczy U2F tam, gdzie tylko jest to możliwe. Dopiero jeżeli na danym koncie nie mam takiej możliwości, to sięgam kolejno po następne metody autoryzacji, czyli:

  1. Kody czasowe w aplikacji (sam mam je generowane i przechowywane razem z hasłami w menedżerze haseł 1Password)
  2. Kody jednorazowe SMS
  3. Kodu wysyłane przez e-mail

Właśnie w takiej kolejności – od najbezpieczniejszego (klucz U2F), do najmniej bezpiecznego rozwiązania (e-mail).

Każde rozwiązanie jest znacznie lepsze od braku „drugiego składnika” przy logowaniu. A najlepszym rozwiązaniem jest zaopatrzenie się w klucze U2F. A najlepiej zadbanie o to, aby miała je też cała nasza rodzina i znajomi 🙂

FAQ: Najczęstsze pytania dot. dwuskładnikowej autoryzacji

Czy przy każdym logowaniu będzie trzeba używać „drugiego składnika”? To niewygodne!
Mam dla Ciebie dobrą wiadomość. Nie trzeba w kółko i przy każdym logowaniu korzystać z drugiego składnika. Większość stron pozwala na zapamiętanie tzw. zaufanego urządzenia na jakiś czas (np. 2 tygodnie, miesiąc) i przez ten czas nie będziemy pytani ponownie o wybrany przez nas drugi składnik. Zostaniemy poproszeni o jego użycie dopiero po jakimś czasie lub przy próbie logowania się na konto z nowego urządzenia.

Co, jeśli zgubię telefon z aplikacją z kodami?
Aplikacje z kodami mają możliwość wykonania kopii zapasowej / backupu – warto robić to na taki wypadek. Można też skorzystać z menedżera haseł, który przechowuje hasła (i kody) w chmurze lub na kilku urządzeniach.

Niektóre serwisy przy ustawianiu dwuskładnikowej autoryzacji przygotowują i udostępniają też listę awaryjnych kodów zapasowych, które można użył właśnie w takiej sytuacji.

Co, jeśli zgubię klucz U2F?
Na taką ewentualność warto mieć co najmniej dwa klucze U2F – jeden np. nosić zawsze przy sobie przypięty do pęku kluczy, drugi (awaryjny) schowany gdzieś w nieoczywistym miejscu.

Jakie strony, serwisy i usługi korzystają z dwuskładnikowej autoryzacji?
Z najpopularniejszych są to m.in.:

  • Google (w tym: Gmail, Google Drive, YouTube itd.)
  • Facebook (w tym: Messenger)
  • Instagram
  • Allegro
  • Dropbox
  • Github
  • OneDrive
  • Microsoft (w tym: Xbox Live)
  • Snapchat
  • WhatsApp
  • Outlook.com
  • ePUAP
  • PayPal
  • Google Wallet
  • Twitter
  • Wykop
  • PlayStation Network
  • Steam
  • GOG
  • Discord

To tylko przykłady, bo w praktyce większość szanujących się usług udostępnia możliwość zabezpieczenia swojego konta jedną (lub kilkoma) metodami 2FA.

Jaki klucz U2F wybrać?
To zależy od tego, czy klucz będzie używany na komputerze, czy również na smartfonie. W sieci znajdziesz sporo ofert kluczy z portami USB, USB-C, lightning (do iPhonów i iPadów) oraz z działających także bezprzewodowo (NFC i Bluetooth). Wybierz taki, który Tobie będzie pasował – każdy spełni swoją podstawową funkcję.

Ja korzystam z kluczy firmy Yubico (zobacz na Ceneo), ale w sieci znajdziesz też sporo kluczy innych firm.

Jak dodać klucze U2F i używać ich w Google i na Facebooku?

Na przykładzie konta Google pokażę, w jaki sposób możemy włączyć dwuskładnikowe uwierzytelnianie za pomocą klucza U2F.

  1. Aby rozpocząć zabezpieczanie konta w Google, musimy odwiedzić stronę https://myaccount.google.com i w menu po lewej stronie, wybrać zakładkę „Bezpieczeństwo”
myaccount.google.com -> Bezpieczeństwo
  1. Następnie w sekcji „Logowanie do Google” klikamy na opcję „Weryfikacja dwuetapowa”
Logowanie w Google -> Weryfikacja dwuetapowa
  1. Pojawi się kreator, który pozwoli nam zabezpieczyć konto. Po kliknięciu na „Rozpocznij”, zostaniemy poproszeni o podanie hasła do konta w Google.
Weryfikacja dwuetapowa w Google
  1. Po podaniu hasła, Google zapyta o metody logowanie, której chcemy użyć. Klikamy wtedy na „Wybierz inną opcję” i wybieramy z listy „Klucz bezpieczeństwa Google”
Wybór metody weryfikacji dwuetapowej w Google
  1. Zgodnie z instrukcjami na ekranie, podpinamy nasz klucz, dotykamy przycisku na nim i… gotowe!
Google: zarejestruj klucz bezpieczeństwa

Czynności powtarzamy, dodając drugi, zapasowy klucz, jeśli taki posiadamy. Od teraz możemy logować się do usług Google w 100% bezpiecznie. I nawet ktoś, kto przejmie czy złamie nasze hasło nie będzie w stanie zalogować się na nasze konto.

Na Facebooku, możesz dodać swój klucz U2F do uwierzytelniania dwuskładnikowego na stronie https://www.facebook.com/security/2fac/settings/, którą znajdziesz też klikając pod linkiem „Ustawienia” w prawym górnym rogu ekranu (rozwijalne menu) i przechodząc do sekcji „Bezpieczeństwo i logowanie”

Facebook: dodawanie klucza U2F do weryfikacji dwustopniowej
Facebook: dodawanie klucza U2F do weryfikacji dwustopniowej

Na koniec apel: Bardzo gorąco zachęcam Cię do zabezpieczenia swoich kont internetowych za pomocą „drugiego składnika” czyli 2FA. To bardzo mocno utrudnia „pracę” włamywaczom czy cyberprzestępcom, którzy atakują różne konta w internecie. Zaopatrz siebie i najbliższych w klucze U2F, które w praktyce w 100% zabezpieczą Twoją skrzynkę e-mail, dysk w chmurze czy sieci społecznościowe, z których korzystasz.

A jeśli ten poradnik okazał się przydany: podziel się linkiem do niego na FB, Insta, Twitterze, Linkedinie czy gdziekolwiek jesteś obecny. Będę Ci wdzięczny!

Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA

i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe:

PODSTAWY BEZPIECZEŃSTWA