Wyciek danych logowania do Dropboksa? Nauczmy się w końcu korzystać z dwustopniowego uwierzytelniania kont. To proste!

Artykuł 14.10.2014
Wyciek danych logowania do Dropboksa? Nauczmy się w końcu korzystać z dwustopniowego uwierzytelniania kont. To proste!

Wyciek danych logowania do Dropboksa? Nauczmy się w końcu korzystać z dwustopniowego uwierzytelniania kont. To proste!

W czasach, gdy przynajmniej raz w tygodniu świat obiega informacja o kolejnym wycieku zdjęć czy haseł, mogłoby się wydawać, że nie istnieją naprawdę skuteczne, dostępne dla wszystkich sposoby na zabezpieczenie informacji. Można oczywiście zacząć od ustawienia innego hasła dla każdej usługi, a nawet ich regularnej zmiany, ale jeśli hasła i tak wyciekną, a my nie zdążymy szybko zareagować, będziemy w takiej samej sytuacji, co inni. Jednak i na ten problem jest rozwiązanie – uwierzytelnianie dwuetapowe.

Nazwa brzmi trochę skomplikowanie i może to jest właśnie powodem, przez który w dalszym ciągu korzysta z tego rozwiązania mniej użytkowników niż powinno. A powinni tak naprawdę wszyscy, niezależnie od tego, czy na swoim koncie trzymają zdjęcia kota, czy faktycznie istotne informacje.

Wbrew pozorom nie jest to ani trudne, ani czasochłonne. Nie wymaga też zbyt wielkiej wiedzy informatycznej.

Czym jest uwierzytelnianie dwuetapowe?

O takim sposobie logowania się do kont w różnych usługach mówi się dość często, ale niezbyt często stara się wyjaśnić na czym tak naprawdę ono polega. Jednocześnie wielokrotnie powtarza się nieprawdziwe informacje, np. że takie logowanie wymaga wprowadzenia… odpowiedzi na pytanie pomocnicze. Oczywiście to bzdura – takie zabezpieczenie w przypadku wycieku mogłoby nam dać bardzo niewiele. Nie chodzi też o przepisywanie cyfr czy liter z wyświetlanych grafik.

Uwierzytelnianie dwuetapowe opiera się na standardowym haśle oraz dodatkowym kodzie jednorazowym, którego zdobycie przez atakującego konto jest trudne albo wręcz po prostu niemożliwe. Osoby, którym kojarzy się to z bankowym tokenem, mają oczywiście rację. Rozwiązanie działa bowiem na dokładnie tej samej zasadzie.

bezpieczenstwo

Sposobów przekazywania dodatkowego hasła może być kilka, przy czym najczęściej stosuje się przesłanie go wiadomością SMS na wskazany przez nas wcześniej numer telefonu. W niektórych przypadkach możemy generować go za pomocą specjalnych aplikacji dla telefonów komórkowych lub przychodzącego połączenia telefonicznego.

Jak więc wygląda taka procedura? Bardzo prosto, szczególnie że po aktywacji dwustopniowego uwierzytelniania, większość akcji obydwa się automatycznie. W momencie próby zalogowania się do konta, po podaniu prawidłowego “zwykłego” hasła, jesteśmy proszeni o wprowadzenie kodu uwierzytelniającego otrzymanego np. za pomocą SMS. Przeważnie nie jest on ani długi, ani skomplikowany i nie powinien wydłużyć całej operacji o więcej niż kilkanaście czy kilkadziesiąt sekund. Niewielka cena za bezpieczeństwo.

Nie ma więc mowy o konieczności wymyślania, czy też pamiętania drugiego hasła. Generuje je bowiem dla nas każdorazowo maszyna. Dodatkowo są one ważne jedynie przez określony czas, co chroni nas przed przypadkami, kiedy nie wykorzystamy naszego kodu, a ktoś np. uzyska dostęp do naszej skrzynki SMS.

Przed jakimi atakami chroni uwierzytelnianie dwuetapowe?

Właśnie przed tymi najczęstszymi – odgadywaniem banalnie prostych haseł, czy np. wykorzystywaniem jednego przejętego kompletu login + hasło w wielu serwisach. Nawet jeśli bowiem mamy w każdej usłudze hasło “qwerty123” i atakującemu uda się je odgadnąć, aby uzyskać dostęp do konta będzie musiał wprowadzić dodatkowo kod, np. z SMS czy aplikacji. A te znajdują się przecież fizycznie na telefonie.

A jeśli zgubię telefon?

Tutaj zaczynają się problemy wynikające głównie z dwóch faktów. Po pierwsze tracimy dostęp do źródła kodów jednorazowych, a po drugie zyskuje je potencjalny atakujący. Jeśli więc szybko chcemy zalogować się np. na cudzym komputerze, żeby zablokować dostęp do usługi lub zmienić hasło, możemy mieć nieco kłopotów.

telefon obslugiwany rysikiem

Na szczęście większość firm oferuje odpowiednie “koła ratunkowe”. Przykładowo Dropbox w momencie konfiguracji dwuetapowego uwierzytelnienia przekazuje nam 16-cyfrowy kod, który umożliwi odblokowanie konta w takiej właśnie sytuacji. Nie zmienia to jednak faktu, że trzeba po prostu reagować szybko, choć bez wątpienia szybciej przekonamy się o zgubieniu telefonu, niż o włamaniu do bazy haseł. O niektórych z tych ostatni pewnie nie dowiadujemy się wcale.

Jak często muszę z tego korzystać?

Prawdopodobnie jeden z kluczowych elementów, przez które użytkownicy nie chcą nawet przetestować tego rozwiązania – są przekonani, że muszą dodatkowy kod wprowadzać za każdym razem. Na szczęście nie jest to prawda.

Drugie hasło jest niezbędne tylko przy logowaniu. Jeśli więc np. uwierzytelnimy aplikację na telefonie, przez długi czas nie będziemy się musieli do niej logować dwuetapowo, przynajmniej jeśli się nie wylogujemy. To samo ma miejsce np. w przypadku aplikacji komputerowych czy stron internetowych. Większość serwisów stosuje dodatkowe zabezpieczenie w postaci wygasania uwierzytelnienia i np. w przypadku usług Google w przeglądarce raz na 30 dni musimy dokonać ponownej autoryzacji.

zabezpieczenia 2

Oczywiście można skonfigurować zabezpieczenia tak, aby dwuetapowe logowanie było konieczne za każdym razem i wtedy np. nie musimy obawiać się o to, że zgubiliśmy komputer czy tablet z “zatwierdzoną” przeglądarką. Pytanie tylko, czy takie zabezpieczenia, które mogą czasem nieco denerwować, są wszystkim potrzebne.

Kto oferuje dwustopniowe uwierzytelnianie?

Na liście firm, które stosują weryfikację dwuetapową możemy znaleźć większość dostawców najważniejszych usług. Oferuje ją m.in. Google, Dropbox, Box, Bit.ly, Apple, Microsoft, WordPress, Twitter, Facebook, LastPass, Evernote, Yahoo, PayPal czy LinkedIn. Oczywiście nie jest to pełna lista, tę można znaleźć np. pod adresem twofactorauth.org.

Jak włączyć uwierzytelnienie dwustopniowe (na przykładzie Dropboxa)?

W większości przypadków aktywacja tego zabezpieczenia jest równie banalna, co korzystanie z niego. Najłatwiejszym sposobem na odnalezienie instrukcji jest po prostu wpisanie w Google nazwy serwisu i frazy “dwustopniowe uwierzytelnienie”, co zaprowadzi nas do szczegółowej instrukcji. Oto jak wygląda to w przypadku Dropboxa:

Na początek oczywiście logujemy się standardowo na nasze konto, po przym przechodzimy do panelu Ustawienia i zakładki Bezpieczeństwo:

dropbox 0

Tuż pod ustawieniami hasła znajduje się kontrolka informująca o stanie dwustopniowego uwierzytelniania. Klikamy oczywiście na “Włącz”. Serwis poprosi nas o ponowne wprowadzenie naszego zwykłego hasła:

dropbox 2

Na następnym kroku musimy wybrać, czy chcemy skorzystać z aplikacji do generowania kodów, czy chcemy otrzymywać wiadomości SMS z kodami do jednorazowego logowania:

dropbox 3

Jeśli wybierzemy weryfikację SMS, konieczne będzie oczywiście wprowadzenie naszego numeru telefonu, przy czym warto upewnić się, że jest poprawny. Wybierając aplikację, wyświetlony zostanie kod QR z odpowiednim kluczem (możemy go także wpisać ręcznie), który pozwoli nam na generowanie kolejnych kodów. Wspierane są aplikacje dla BlackBerry, Androida, iOS i Windows Phone.

W przypadku SMS, musimy wprowadzić kod, który otrzymamy w wiadomości tekstowej. Dopiero wtedy otrzymamy możliwość włączenia dwuetapowej weryfikacji. Jeśli więc pomylimy się w naszym numerze już przy konfiguracji, nie zablokujemy sobie dostępu do konta. Dodatkowo istnieje możliwość dodania zapasowego numeru telefonu.

Wszystko to zajmuje raptem może z 5 minut, nawet dla osoby, która zetknie się z tym po raz pierwszy i będzie uważnie czytać wszystkie informacje przed każdym naciśnięciem przycisku “Dalej”. W zamian za to nie będzie musiała się martwić o to, że ktoś złamie jej hasło czy też po prostu dojdzie do kolejnego dużego wycieku danych.

Oczywiście nie zapewni nam to bezpieczeństwa przed absolutnie wszystkimi atakami – takie zabezpieczenia po prostu nie istnieją – ale przynajmniej pozwoli spać spokojniej, ze świadomością, że zrobiliśmy przynajmniej tyle.

 

* Zdjęcia pochodzą z serwisu Shutterstock.

Dołącz do dyskusji