Dlaczego dwuetapowe uwierzytelnianie jest takie ważne?

„W ciągu ostatnich kilku lat zmienione zostały obowiązujące od długiego czasu zalecenia mówiące między innymi o potrzebie cyklicznej, profilaktycznej zmiany hasła lub stosowania znaków specjalnych i cyfr w celu jego wzmocnienia. W wielu organizacjach procedury te jednak nadal są stosowane, co ma negatywny wpływ na bezpieczeństwo polskich instytucji oraz użytkowników” – stwierdzono w poradniku „Kompleksowo o hasłach” CERT Polska z 2022 roku, który serdecznie polecamy.

W opracowaniu znalazło się również kluczowe zdanie pod kątem bezpieczeństwa naszych kont. „Zastosowanie tego rozwiązania uniemożliwia atakującemu, który pozyskał nasz login i hasło, uwierzytelnienie się w usłudze, jeżeli nie zdobędzie on również drugiego składnika” – stwierdzono w dokumencie.

Czym jest dwuetapowe uwierzytelnianie?

Choć nazwa może wydawać się pozornie skomplikowana, dwuetapowe uwierzytelnianie to logowanie z wykorzystaniem dodatkowego składnika. Wśród najpopularniejszych warto wyróżnić m.in.:

• jednorazowe kody (OTP) z SMS lub dedykowanej aplikacji;
• klucze sprzętowe (U2F);
• aplikacje uwierzytelniające (wykorzystujące np. biometrię).

Niektórym może się wydawać, że dodatkowy składnik logowania utrudnia korzystanie z kont. Warto jednak rozważyć korzyści z takiego działania wobec „utrudnień” w postaci konieczności wpisania kodu z telefonu czy podłączenia klucza do USB.

Dwuetapowe uwierzytelnianie nie jest panaceum na wszelkie ataki, co pokazuje m.in. artykuł Sekuraka „Można było ominąć logowanie kluczem sprzętowym 2FA do Cloudflare”, lecz znacząco zwiększa poziom bezpieczeństwa podczas korzystania np. z mediów społecznościowych.

Warto przy tym podkreślić, że metody dwuetapowego uwierzytelniania różnią się od siebie pod kątem bezpieczeństwa. Obecnie najbardziej zaleca się korzystanie z kluczy sprzętowych (fizycznych) oraz odradza się używanie kodów SMS. Należy jednak podkreślić, że lepsze jest wykorzystanie dowolnego drugiego składnika uwierzytelniania niż żadnego z nich.

Jak włączyć dwuetapowe uwierzytelnianie?

Najwięksi dostawcy poczty elektronicznej w Polsce oraz popularne portale społecznościowe opublikowały poradniki dotyczące włączenia dwuetapowego uwierzytelniania. W opracowaniu CERT Polska „Włącz weryfikację dwuetapową, bo każdy może paść ofiarą wałka w internecie” zawarto linki do wskazówek na Gmailu, WP, Onecie, Interii, YouTube, Instagramie, Twitterze (X), LinkedIn oraz Facebooku.

Warto również podkreślić, że wszystkie polskie banki są zobowiązane do wykorzystywania rozwiązań z zakresu dwuetapowego uwierzytelniania.

„Kopia zapasowa”

Dwuetapowe uwierzytelnianie zakłada wykorzystanie dodatkowego etapu logowania, zazwyczaj opartego na innych urządzeniach (np. telefonie) lub przedmiocie (np. kluczu fizycznym). W związku z tym należy uwzględnić, że możemy utracić możliwość korzystania z danego składnika, np. w wyniku kradzieży czy przypadkowego zniszczenia. Aby tego uniknąć, należy uprzednio wygenerować kody zapasowe, umożliwiające zalogowanie się.

CERT Polska zaleca przechowywanie kodów na zewnętrznym nośniku lub wydrukowanie ich. Niezależnie od formy, kluczowe jest umieszczenie ich w bezpiecznym miejscu.

Dodawanie kluczy U2F do kont opisywaliśmy w materiale poświęconym tego rodzaju urządzeniom. Warto również zaopatrzyć się w dwa klucze, o czym informował Niebezpiecznik:

(...) do większości serwisów możesz podpiąć więcej niż jeden klucz i zdecydowanie warto to zrobić. Wtedy klucz podstawowy nosisz zawsze przy sobie, na przykład przypięty do kluczy domowych, a zapasowy trzymasz w bezpiecznym miejscu, np. domowym sejfie. Gdybyś kiedyś zgubił swój klucz podstawowy to zawsze będziesz mógł zalogować się do swoich kont kluczem zapasowym.
Niebezpiecznik

Dlaczego 2FA jest konieczne?

Loginy i hasła wpadają w ręce cyberprzestępców na dwa sposoby. Jednym z nich jest działanie złośliwego oprogramowania (głównie infostealerów), które wykrada dane logowania. Drugim z nich są wycieki danych, gdzie cyberprzestępcom udaje się uzyskać hashe haseł, czyli hasła przechowywane jako funkcje skrótu (ciągi znaków będące wynikiem działania algorytmów kryptograficznych).

We wrześniu br. opisywaliśmy upublicznienie rekordów, które najprawdopodobniej były wynikiem działania infostealera. W pliku znalazły się adresy URL portali, e-maile oraz hasła w formie tekstu. Udział haseł dłuższych niż 12 znaków wynosił 22,6%.

Nie można jednak zapominać o konieczności stosowania silnych haseł. W lipcu 2024 r. oraz styczniu br. przeanalizowaliśmy hashe haseł, które pochodziły z wycieków danych ze strony dla modelek oraz firmy zajmującej się sprzedażą armatury łazienkowej.

Co ciekawe, można znaleźć 1374 unikalnych haseł, które wystąpiły w obydwu zbiorach.

Podsumowując, dwuetapowe uwierzytelnianie to fundament bezpieczeństwa naszych kont. Nie wolno również zapominać o unikalnych i odpowiednio złożonych hasłach.