Dyrektywa PSD2 (Payment Services Directive 2) Parlamentu Europejskiego i Rady Unii Europejskiej z 25 listopada 2015 roku – w Polsce wdrożona we wrześniu 2019 roku – nałożyła na banki świadczące usługi płatnicze online szereg obowiązków. Jednym z nich było włączenie weryfikacji dwuetapowej w celu znacznego zmniejszenia możliwości po pierwsze włamywania się na konta bankowe, po drugie wykonywania nieautoryzowanych przelewów, po trzecie zaś wykonywania jakichkolwiek operacji wewnątrz kont bankowych, np. zmieniania danych. Czy jednak weryfikacja dwuetapowa jest na tyle skuteczna, że warto włączyć ją na innych portalach? Na czym polega i jakie sposoby logowania pozwala wybrać?
Niniejszy artykuł stanowi uzupełnienie publikacji pt. Jak tworzyć bezpieczne hasła i chronić się przed cyberatakami?, którą także polecam przeczytać.
Co to jest weryfikacja dwuetapowa?
Weryfikacja dwuetapowa, inaczej uwierzytelnianie dwuskładnikowe bądź w oryginale Two-Factor Authentication (2FA), to metoda dodatkowego zabezpieczenia konta w serwisie internetowym bądź aplikacji (zarówno desktopowej, jak i mobilnej). Polega na ponownej weryfikacji użytkownika tuż po tym, jak poprawnie wpisze login i hasło, których używa do logowania się w danym serwisie. Jeżeli użytkownik nie przejdzie któregokolwiek z etapów, nie uda mu się uzyskać dostępu do konta.
W jaki sposób działa weryfikacja dwuetapowa?
Pierwszy etap weryfikacji dwuetapowej przebiega zupełnie tak samo jak tradycyjny sposób logowania się na konto. Należy wejść na wybrany portal, kliknąć opcję „zaloguj/logowanie/…”, po czym wpisać login i hasło. Jeżeli są zgodne z tymi, które użytkownik ustawił w serwisie, pierwszy etap weryfikacji zakończy się sukcesem i otworzy drogę do drugiego etapu.
Drugi etap wygląda różnie w zależności od wybranego przez użytkownika czynnika weryfikacyjnego (o czym w kolejnym punkcie). Popularnym rozwiązaniem jest przepisanie kodu, który użytkownik po poprawnym wpisaniu loginu i hasła automatycznie otrzymuje np. SMS-em bądź e-mailem. Kiedy kod zostanie przepisany bezbłędnie, użytkownik otrzyma dostęp do konta.
Weryfikacja dwuetapowa – sposoby uwierzytelniania
Istnieją różne sposoby uwierzytelniania dwuskładnikowego, spośród których użytkownik zazwyczaj może wybrać preferowany. Pierwszym etapem najczęściej jest wpisanie loginu i hasła, czyli tradycyjna metoda logowania, którą stosuje większość portali internetowych. Z kolei drugi etap może przebiegać m.in. na jeden z popularnych sposobów podanych w tabeli.
Drugi etap 2FA: metoda | Na czym polega? | Zalety | Wady |
---|---|---|---|
Kod SMS | Kod otrzymywany SMS-em, który trzeba przepisać do okna weryfikacyjnego na stronie bądź w aplikacji | + Bardzo łatwa i szybka metoda + Metoda dostępna na wszystkich telefonach + Metoda dostępna na większości portali umożliwiających 2FA | – Metoda niebezpieczna w przypadku dostępu do telefonu osób trzecich – Możliwe opóźnienia w otrzymaniu kodu lub problemy z siecią – Możliwe przejęcie SMS-a |
Kod e-mail | Kod otrzymywany w wiadomości e-mail, który trzeba przepisać do okna weryfikacyjnego na stronie bądź w aplikacji | + Wygodna i szybka metoda + Nie trzeba mieć pod ręką telefonu + Metoda dostępna w wielu serwisach mających 2FA | – Ryzyko związane z włamaniem na pocztę e-mail – Ryzyko związane z dostępem osób z otoczenia do konta pocztowego – Możliwe opóźnienia w otrzymaniu e-maila z kodem |
Kod z aplikacji autoryzacyjnej | Kod otrzymywany w aplikacji autoryzacyjnej, tzw. tokenie software’owym (np. Google Authenticator lub Microsoft Authenticator), który trzeba przepisać do okna weryfikacyjnego na stronie bądź w aplikacji | + Wygodna i szybka metoda + Metoda bezpieczna ze względu na brak konieczności przesyłania kodu przez sieć + Metoda nie wymaga połączenia z internetem | – Ryzyko w przypadku dostępu do telefonu osób trzecich – Konieczność pobrania i zainstalowania aplikacji, a także nauczenia się korzystania z niej – Aplikacje dostępne są tylko na nowoczesnych urządzeniach |
Potwierdzenie logowania na innym urządzeniu | Powiadomienie push na telefonie wymagające potwierdzenia próby zalogowania w czasie rzeczywistym poprzez kliknięcie potwierdzenia lub przepisanie kodu | + Bardzo łatwa i wygodna metoda + Bardzo szybka metoda weryfikacji, bez opóźnień | – Metoda dostępna tylko w wybranych serwisach i aplikacjach – Ryzyko w przypadku dostępu osób trzecich do telefonu lub zalogowanych aplikacji |
Weryfikacja biometryczna | Rozpoznanie twarzy, gałki ocznej lub linii papilarnych za pomocą kamery bądź czytnika linii papilarnych w urządzeniu | + Dane biometryczne są trudne do podrobienia + Bardzo szybka i wygodna metoda logowania | – Metoda dostępna tylko na nowoczesnych urządzeniach – Ryzyko braku weryfikacji w przypadku brudnej kamery lub czytnika, złego oświetlenia czy brudnego palca, uszkodzenia kamery bądź czytnika |
Fizyczny klucz bezpieczeństwa | Umieszczenie fizycznego klucza (np. U2F, FIDO2) w porcie USB i wygenerowanie kodu dostępu | + Bardzo wysoki stopień bezpieczeństwa + Bardzo szybka weryfikacja użytkownika + Nierzadko konieczność podjęcia kilku kroków, np. wsadzenia klucza do portu USB i dotknięcia przycisku | – Podatność fizycznego klucza na zniszczenie, zgubienie, kradzież – Konieczność poniesienia kosztu zakupu – Konieczność posiadania klucza zawsze przy sobie |
Poza sposobami wymienionymi w tabeli istnieją inne metody weryfikacji użytkownika na drugim etapie, m.in. stosowanie: tokenów sprzętowych OTP (fizycznych generatorów kodów jednorazowych), jednorazowych kodów drukowanych, aplikacji mobilnych imitujących działanie klucza U2F/FIDO, pytań dodatkowych, kodów dyktowanych w trakcie automatycznej rozmowy telefonicznej. Są jednak mniej popularne od przedstawionych w tabeli.
Uwierzytelnianie wieloskładnikowe
Warto wiedzieć, że weryfikacja dwuetapowa (2FA) jest tylko jednym z rodzajów uwierzytelniania wieloskładnikowego/wielopoziomowego (Multi-Factor Authentication, MFA). W celu zwiększenia bezpieczeństwa logowania można rozszerzyć uwierzytelnianie dwuskładnikowe o jeden lub nawet kilka składników (3FA, 4FA, 5FA etc.). W praktyce polega to np. na połączeniu tradycyjnego logowania z przepisaniem kodu SMS i następnie weryfikacją biometryczną.
Po co stosować weryfikację dwuetapową?
Weryfikacja dwuetapowa wydłuża czas logowania i bywa uciążliwa – a to trzeba wstać z fotela i pójść po telefon, żeby przepisać kod, a to system się zawiesił i konieczne jest wysłanie ponownego żądania wygenerowania kodu, a to e-mail nie przychodzi, a sesja na stronie wygasła. Przerabiałam to nie raz. Jednakże drobne niedogodności są warte zaakceptowania, ponieważ uwierzytelnienie dwuskładnikowe znacznie komplikuje hackerom dostęp do nie swoich kont.
- Pierwszym powodem ogromnej wagi korzystania z weryfikacji dwuskładnikowej jest zablokowanie hackerom dostępu do danego konta internetowego. Ktoś może odgadnąć Twój login (bo np. zna Twój adres e-mail) oraz złamać Twoje hasło (bo np. był wyciek danych z serwisu, ustawiłeś hasło łatwe do złamania metodą brute force lub padłeś ofiarą phishingu), w związku z czym bez mrugnięcia okiem przejdzie tradycyjny etap logowania. Jeżeli jednak stanie przed koniecznością przepisania kodu bądź weryfikacji biometrycznej, nie będzie w stanie pójść dalej.
- Drugi powód, dla którego warto używać uwierzytelniania dwuskładnikowego, bezpośrednio łączy się z pierwszym. Chodzi o uniemożliwienie dostępu hackerom do danych osobowych. Pamiętaj, że hacker, który zaloguje się na Twoje konto, nie tylko otrzyma możliwość zmiany hasła, skasowania wszystkich informacji czy napisania do Twoich znajomych i np. wyłudzenia od nich pieniędzy (w przypadku włamania na portal społecznościowy bądź skrzynkę e-mail). Także uzyska wgląd we wszystkie dane, które podałeś podczas rejestrowania konta. Mogą to być numer PESEL, numer dowodu osobistego bądź innych ważnych dokumentów, numer konta bankowego, imiona rodziców, numer telefonu i inne dane, które pozwolą nieuczciwej osobie łamać prawo, podając się za Ciebie.
- Trzeci powód stanowi znaczne utrudnienie uzyskania dostępu do serwisów połączonych. Obecnie na wiele portali można się zalogować kontem w serwisach takich jak Google czy Facebook. Jeżeli hacker włamie się akurat na takie konto, które jest połączone z innymi bądź pozwala na logowanie się w innych serwisach, uzyska dostęp do znacznie większej liczby danych i możliwości, niż gdyby włamał się na pojedyncze, niepowiązane z innymi konto.
- Czwarty powód to ograniczenie dostępu do kont internetowych osobom korzystającym z Twoich urządzeń. Jeżeli komputer czy laptop pozostają do użytku wieloosobowego, np. w obrębie rodziny, warto stosować weryfikację dwuetapową chociażby w celu chronienia swojej prywatności oraz poufności swoich rozmów i działań. Zresztą ochrona prywatności jest ważna nie tylko w odniesieniu do innych osób korzystających z komputera, ale także do wspomnianych już hackerów. Myśl o tym, że prywatne rozmowy, zdjęcia czy dane wypłynęły i pozostają do wglądu wszystkich użytkowników sieci, nie brzmi atrakcyjnie.
- I wreszcie piąty powód to otrzymywanie powiadomień o nieudanej próbie zalogowania, które często przychodzą na skrzynkę e-mail w formie wiadomości lub pojawiają się w aplikacji w formie powiadomień push w przypadku próby włamania się na konto i zablokowania logowania na drugim etapie weryfikacji dwuetapowej. Wówczas możesz podjąć kroki w celu poprawy bezpieczeństwa swojego konta, czyli przede wszystkim zmienić hasło, które zostało złamane, a następnie przemyśleć swoje działania, które mogły doprowadzić do odgadnięcia loginu i hasła.
Czy weryfikacja dwuetapowa jest obowiązkowa?
Z reguły uwierzytelnianie dwuskładnikowe nie jest obowiązkowe, choć podejrzewam, że z biegiem lat się stanie. Póki co jako obligatoryjne wprowadziły je tylko niektóre serwisy, np. bankowe, rządowe oraz wybrane społecznościowe. Natomiast na wielu portalach weryfikacja dwuskładnikowa jest opcjonalna – warto poszukać jej w ustawieniach i włączyć. Niestety część stron – np. serwisy starego typu – nie oferuje żadnych metod 2FA. Wówczas szczególnie ważne staje się ustawienie właściwego: długiego, skomplikowanego, silnego hasła, a następnie postępowanie zgodnie z regułami bezpiecznego przechowywania i stosowania haseł, które opisałam w artykule pt. Jak tworzyć bezpieczne hasła i chronić się przed cyberatakami?.