Czym jest 2FA i dlaczego warto je włączyć?
Przedwczoraj pisaliśmy o tym, że 43 na 100 logowań w sieci to próby nieautoryzowanego przełamania zabezpieczeń, generalnie apelując do zdrowego rozsądku internautów oraz systemowego podejścia do bezpieczeństwa ze strony firm. Ale co tak naprawdę może (i powinien) zrobić zwykły internauta? Najlepiej, żeby zajęło to chwilę, było proste i w jak największym stopniu pomogło uniknąć ryzyka utraty hasła.
I tu pora przedstawić (jeśli ktoś jeszcze nie zna) uwierzytelnianie dwuskładnikowe (Two-Factor Authentication, 2FA). To drugi składnik autoryzacji, obok „czegoś, co znasz” (czyli zazwyczaj hasła), „coś, co masz” – czyli najczęściej aplikacja na smartfonie (może też być SMS, automatyczny telefon, e-mail, bądź token sprzętowy). W przypadku najpopularniejszego rozwiązania, Google Authenticator, sprawa jest bardzo prosta:
- Instalujemy na telefonie aplikację ze sklepu dla naszego systemu operacyjnego
- W ustawieniach serwisu włączamy uwierzytelnianie dwuskładnikowe
- Skanujemy wyświetlony kod QR
- W aplikacji pojawia się odpowiednio opisany, zmieniający się co 60 sekund sześciocyfrowy kod
- Gdy przy logowaniu do serwisu pojawia się monit o drugi składnik, otwieramy aplikację i wpisujemy kod
W takiej sytuacji nawet jeśli stracimy nasze hasło, przy próbie zalogowania przestępca zobaczy komunikat o konieczności wprowadzenia dodatkowego kodu, a nasze dane pozostaną bezpieczne.
Skąd mam wiedzieć, czy mój dostawca wspiera Two-Factor Authentication? Najlepszą bazą dla stron i sieciowych aplikacji, przy których można wykorzystać uwierzytelnianie dwuskładnikowe jest witryna TwoFactorAuth.org. Spośród tych, których używam, znalazłem tam wszystkie.