Bardzo ważnym aspektem korzystania z sieci Internet, a wraz z nią, użytkowania wszelkiego rodzaju kont, jest zrobić wszystko, co możliwe, aby maksymalnie poprawić bezpieczeństwo i naszą prywatność. Ponieważ tak wiele naszego życia odbywa się na urządzeniach mobilnych i laptopach, nic dziwnego, że nasze konta cyfrowe stały się magnesem przyciągającym przestępców.
- Co to jest uwierzytelnianie dwuskładnikowe?
- Przykłady popularnych rozwiązań 2FA
- Podsumowanie informacji o uwierzytelnianiu dwuskładnikowym
Co to jest uwierzytelnianie dwuskładnikowe?
W sieci Internet funkcjonują dwa popularne pojęcia stanowiące o bardzo podobnych rozwiązaniach dla celów zwiększenia bezpieczeństwa kont użytkowników. Są nimi weryfikacja dwuetapowa oraz uwierzytelnianie dwuskładnikowe. Chociaż nie są w pełni synonimami, to wiele produktów i usług weryfikacji dwuetapowej jest również przykładem uwierzytelniania dwuskładnikowego.
2FA czyli uwierzytelnianie dwuskładnikowe to dodatkowa warstwa zabezpieczeń służąca do upewnienia się, że osoba próbująca uzyskać dostęp do konta internetowego jest tym, za kogo się podaje. W praktyce oznacza to, że najpierw użytkownik wprowadzi swoją nazwę użytkownika i hasło. Zamiast od razu uzyskać dostęp do konta, konieczne będzie podanie kolejnej informacji. Ten drugi czynnik może pochodzić z jednej z następujących kategorii:
- Coś, co wiesz: może to być osobisty numer identyfikacyjny (PIN), hasło, odpowiedź na „tajne pytania” lub określony wzór naciśnięcia klawisza,
- Coś, co posiadasz: zazwyczaj użytkownik ma coś w swoim posiadaniu, na przykład kartę kredytową, smartfon lub mały token sprzętowy,
- Coś, czym jesteś: ta kategoria jest nieco bardziej zaawansowana i może obejmować wzór biometryczny odcisku palca, skan tęczówki lub odcisk głosowy.
Czynniki są tu o tyle kluczowe, że stanowią narzędzie lub przedmiot, za pomocą którego dochodzi do weryfikacji użytkownika na drugim etapie. Warto zwrócić uwagę, że posiadanie hasła dostępu lub tylko drugiego czynnika, w żaden sposób nie pozwoli na nieautoryzowany dostęp do konta. Nawet jeśli Twoje hasło zostanie skradzione lub Twój telefon zostanie zgubiony, szanse, że ktoś inny będzie miał Twoje informacje drugorzędne są bardzo mało prawdopodobne
Przykłady popularnych rozwiązań 2FA
Nie wszystkie czynniki 2FA są takie same, Obecnie w użyciu jest kilka rodzajów uwierzytelniania dwuskładnikowego. Niektóre mogą być silniejsze lub bardziej złożone niż inne, ale wszystkie zapewniają lepszą ochronę niż samo hasło dostępu. Popularne dodatkowe warstwy zabezpieczeń zaliczane do uwierzytelniania dwuskładnikowego to:
Tokeny sprzętowe dla 2FA
To jedna z najstarszych form uwierzytelniania, zwykle dostępna w formie, np. breloka przypinanego do kluczy i generującego kod numeryczny. W każdym momencie podjęcia próby uzyskania dostępu do konta brelok generuje jeden z kodów, umożliwiających przejście weryfikacji.
Ich największą wadą jest koszt dystrybucji, a ze względu na swoją formę, zostały praktycznie całkowicie wyparte z codziennego użytku. Nie oznacza to jednak, że nie są przydatne lub wciąż nie stanowią jednej z lepszych form wdrożenia weryfikacji dwuetapowej w firmach.
Wiadomości tekstowe SMS
O ile konto użytkownika w wybranym systemie jest zintegrowane z bramką SMS i konieczne jest podanie numeru telefonu, prawdopodobnie możliwe jest także wdrożenie autoryzacji za pomocą kodów SMS.
To bardzo popularna forma autoryzacji stosowana m.in. do dziś w bankach jako alternatywa dla aplikacji mobilnych. Po wpisaniu podczas logowania nazwy użytkownika i hasła, witryna wysyła użytkownikowi SMS-em unikalny jednorazowy kod dostępu.
Tokeny programowe
Najpopularniejsza forma uwierzytelniania dwuskładnikowego wykorzystuje generowane przez oprogramowanie jednorazowe hasło. Warunkiem skorzystania z tej formy uwierzytelniania jest zwykle zainstalowanie bezpłatnej aplikacji na swoim smartfonie lub komputerze.
Korzystanie z tej formy uwierzytelniania dwuskładnikowego jest ograniczone wyłącznie do witryny obsługującej ten typ uwierzytelniania. Ponieważ kod generowany jest wyłącznie na określonym urządzeniu, istnieje małe prawdopodobieństwo jego przechwycenia. Dodatkowo może być też wprowadzone ograniczenie czasowe, po którym niemożliwe będzie użycie wygenerowanego kodu (wymagane będzie wygenerowanie kolejnego).
Dobrym przykładem takiego systemu uwierzytelniania jest np. aplikacja Google Authentificator. Prosta w obsłudze aplikacja pozwala na dodanie zaufanych witryn, na których uwierzytelnianie ma zostać wprowadzone (o ile obsługują one uwierzytelnianie dwuskładnikowe). Następnie automatycznie w określonych odstępach czasu generowane są kolejne kody dostępu.
Uwierzytelnianie biometryczne
To jedna z najdroższych i najpopularniejszych form uwierzytelniania stosowana od dawna w dużych firmach oraz instytucjach, dla których niezbędny jest najwyższy poziom zabezpieczeń. Często stosowany jest na urządzeniach mobilnych, np. w procesie blokowania ekranu telefonu. Przykłady: odcisk palca, skan twarzy, skan siatkówki oka, puls.
Podsumowanie uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe stanowi bardzo ważny i przydatny element w procesie weryfikacji dostępu do konta użytkownika. Nie każdy serwis internetowy czy firma potrzebują takich zabezpieczeń, ale jeśli zastanawiasz się, czy warto wdrożyć takie rozwiązanie, powinieneś przede wszystkim kierować się bezpieczeństwem użytkowników i ich danych.