Jest taka forma dwustopniowego uwierzytelniania, której nijak nie da się oszukać.
Zwykły kod “w chwili słabości” możesz podać też przestępcom, a narzędzie o którym zaraz Ci opowiem nie da się w ten sposób oszukać. Chodzi oczywiście o klucze sprzętowe, znane pod skrótem U2F.
Jak by to powiedział klasyk: “SMS oszukasz, Push oszukasz, Authenticator oszukasz, ale U2F nie oszukasz.”. Zaczynamy?
Spis treści
2FA dobre i lepsze
Nie zrozum mnie źle. Każde zabezpieczenie 2FA, czy to w formie SMS, kodu generowanego przez aplikację, czy inne, jest lepsze, niż jego brak. Z tym nie ma co dyskutować.
Jeżeli dostęp do Twojego konta w serwisach internetowych jest obecnie chroniony tylko przez hasło, to istnieje duże ryzyko że po wycieku tego hasła ktoś zaloguje się w Twoim imieniu. Dlatego, tak jak opowiadałem Ci ostatnio, używamy zabezpieczeń 2FA.
I o ile w wielu przypadkach 2FA w formie SMS jest dobrym wyborem, to wciąż nie jest odpowiedzią na wszystkie rodzaje ataków.
Dlatego najlepszą formą autoryzacji dwuskładnikowej są klucze sprzętowe – właśnie dlatego, że nie da się ich tak łatwo oszukać.
W jakim sensie oszukać?
Wyobraź sobie, że otrzymujesz wiadomość, w której ktoś skłania Cię do kliknięcia w link logowanie-facebook.com.
Widzisz stronę Facebooka i prośbę o zalogowanie. Strona ma “zieloną kłódkę” – uznajesz ją za bezpieczną, więc się logujesz. I nieświadomie oddajesz wtedy swoje hasło przestępcom.
Jeżeli masz aktywne zabezpieczenie 2FA, to poza loginem i hasłem atakujący będą musieli wpisać jeszcze np. kod z SMS, ale o niego też mogą Cię zapytać na fałszywej stronie.
Jest to trudniejsze, trzeba przygotować się na taką ewentualność, ale jeżeli atakujący jest bardziej zdeterminowany, to może to zrobić.
Wystarczy więc chwila nieuwagi i odpowiednich argumentów, żeby podać te dane i umożliwić dostęp do naszego konta. Ten aspekt jest minusem standardowych metod 2FA.
Przewaga kluczy sprzętowych
Klucze sprzętowe działają jednak nieco inaczej.
Aby się zalogować będzie potrzebny Twój login i hasło, a następnie podłączenie do portu USB specjalnego urządzenia (podobnego do pendrive).
Ciekawostka jest taka, że niemożliwe jest oszukanie takiego klucza.
Po podłączeniu będzie on potwierdzał nasze logowanie tylko wtedy, gdy będziemy logować się do prawdziwego serwisu. Przestępcy nie będą więc w stanie poprosić nas o kod na fałszywej stronie i wykorzystać go do potwierdzenia swojego logowania. Będzie to fizycznie niemożliwe.
Korzystanie z klucza sprzętowego
Niestety obecnie nie wszystkie strony internetowe pozwalają na potwierdzanie logowania przez U2F. Większość serwisów społecznościowych i dobre skrzynki pocztowe posiadają jednak taką możliwość.
Podłączenie klucza do konta odbywa się zwykle w tej samej zakładce, w której konfigurujemy logowanie dwuskładnikowe. Wybieramy odpowiednią opcję (“klucz sprzętowy” lub “U2F”), podłączamy klucz i dotykamy go.
To wszystko.
Każde kolejne nowe logowanie (w szczególności na nowym urządzeniu) będzie wymagać podobnej operacji.
A co z telefonem?
Przy logowaniu do zabezpieczonego serwisu z poziomu telefonu wystarczy tylko zbliżyć oba te urządzenia do siebie – i gotowe! (telefon i klucz muszą mieć NFC)
Cena
Minusem tego rodzaju zabezpieczenia jest koszt – musimy kupić takie urządzenie. Jeden klucz sprzętowy to koszt rzędu około 100-200 zł.
Powinniśmy posiadać 2 takie klucze (1. podstawowy, 2. awaryjny), więc robi się z tego niemały wydatek.
Jeżeli jednak masz odpowiedzialną pracę lub zależy Ci na swoim bezpieczeństwie cyfrowym, to warto zainwestować tę kwotę i być chronionym.
Podsumowanie
Jak widzisz, klucze sprzętowe są nieco drogie, ale za ich ceną idzie również bardzo wysoki poziom bezpieczeństwa. Jeżeli zależy Ci na tym, aby chronić swoje konta online tak bardzo, jak to możliwe, to wybór tego zabezpieczenia jest raczej oczywistością.
Daj znać w komentarzu, czy korzystasz z U2F. Może masz jakieś inne rady w związku z tymi urządzeniami?
Podziel się też tym materiałem ze swoimi znajomymi – bezpieczeństwo cyfrowe jest ważne dla nas wszystkich!
0 komentarzy