Pośrednio wspominaliśmy o niej w wielu artykułach, ale nigdy nie napisaliśmy specjalnego artykułu, w którym skoncentrowalibyśmy się na wyjaśnieniach – co to jest dwuetapowa weryfikacja, jak działa i gdzie należy jej używać.
Co to jest dwuetapowa weryfikacja?
To funkcja oferowana przez wielu dostawców usług internetowych, która nakłada dodatkową warstwę ochrony na proces logowania się na konto. Wymaga od użytkownika dwukrotnego uwierzytelniania. Najpierw – zwyczajnie – hasłem. A później – zależy, najbardziej popularną autoryzacją w drugim kroku jest podanie kodu otrzymanego w SMS-ie lub e-mailu. Głównym założeniem jest to, że do zalogowania się należy coś wiedzieć i coś mieć. Dlatego, aby uzyskać dostęp do prywatnej sieci wirtualnej Twojej firmy, musisz mieć hasło i dysk USB.
Dwa etapy logowania się to nie panaceum na uniknięcie przejęcia konta, ale spora bariera dla wszystkiego, co mogłoby próbować włamać się na chronione konto. Myślę, że wszyscy dobrze wiedzą, że hasła są wadliwe: słabe są łatwe do zapamiętania, ale i do odgadnięcia; silne są trudne do odgadnięcia, ale też trudne do zapamiętania. Z tego powodu ludzie, którzy nie są biegli w tworzeniu haseł, używają wciąż tych samych. Dzięki takiemu rodzajowi autoryzacji atakujący musi rozpracować Twoje hasło i posiadać dostęp do drugiego członu, czyli albo będzie w posiadaniu Twojej komórki, albo włamie się na Twoje konto pocztowe.
Co to jest weryfikacja dwuetapowa i gdzie warto ją włączyć?
Były już próby zastąpienia haseł czymś innym, ale nic sensownego nie wymyślono. Na chwilę obecną system dwuetapowej weryfikacji to najlepsza ochrona, jaką mamy. Drugą korzyścią takich systemów (szczególnie tych, które polegają na odbieraniu kodów w e-mailach i SMS-ach) jest to, że dzięki nim wiesz, gdy ktoś próbuje włamać się na Twoje konto. Wielokrotnie to zaznaczałem, ale napiszę jeszcze raz: jeśli odbierzesz kod weryfikacyjny na swoim urządzeniu albo na swojej poczcie, a nie próbowałeś się zalogować, to całkiem prawdopodobne, że ktoś odgadł Twoje hasło i próbuje przechwycić Twoje konto. Jeśli tego doświadczysz, to idź za ciosem i zmień swoje hasło.
Na jakich kontach powinienem włączyć dwuetapową weryfikację?
O tym, kiedy i gdzie należy włączyć dwuczłonowe logowanie, może decydować prosta zasada: jeśli jakiś serwis go oferuje, a Ty uważasz dane konto za wartościowe, skorzystaj z tej możliwości. Zatem, może Pinterest? Nie wiem. Być może. Gdybym miał konto na Pintereście, pewnie nie chciałoby mi się wprowadzać dwóch haseł przy każdym logowaniu. Ale w przypadku bankowości internetowej, dwóch kont pocztowych (zwłaszcza jeśli masz specjalny adres e-mail do przywracania konta), wartościowych sieci społecznościowych (może Facebook i Twitter), a już na pewno danych AppleID i iCloud lub jakiegokolwiek innego konta kontrolującego Twoje urządzenie na Androidzie – wszystkie powinny być chronione drugim hasłem.
Oczywiście, możesz rozważyć również konieczność podawania takiego hasła dla każdego konta powiązanego z pracą. Jeśli masz jakąś swoją stronę opartą na platformie WordPress, GoDaddy, NameCheap czy jakiejś innej, włącz tam także weryfikację dwuetapową. Zalecamy także włączenie tej funkcji dla każdego konta, z którym jest skojarzona karta kredytowa czy debetowa: PayPal, eBay, eTrade itp. I tu podobnie: Twoja decyzja, czy włączyć tę weryfikację, powinna wynikać z tego, jak dotkliwe byłoby dla Ciebie stracenie dostępu do niego.
Czy istnieją jakieś inne formy autoryzacji składającej się z dwóch kroków?
Jak dotąd, omawialiśmy weryfikację dwuetapową w postaci kodu wysłanego na Twoje urządzenie mobilne lub konto e-mail, a także wykorzystanie urządzenia USB często oferowanego wraz z hasłem do uzyskania dostępu do sieci VPN. Istnieją także generatory kodów, typu SecureID firmy RSA, które zazwyczaj są używane w środowisku korporacyjnym. Jednak na ten moment są to najczęstsze formy autoryzacji dwuetapowej. Oczywiście są też inne.
Kody TAN to nieco przestarzała forma weryfikacji dwuetapowej, najbardziej popularna w Europie. Właściwie to sam nigdy z nich nie korzystałem, ale jeśli dobrze rozumiem, Twój bank mógł wysłać Ci listę kodów TAN (na kartce) i za każdym razem, gdy wykonywałeś transakcje internetowe, musiałeś wprowadzić jeden z nich w celu autoryzacji. Bankomaty to także przykład weryfikacji dwuetapowej: to, co wiesz, to Twój PIN – a to, co posiadasz, to Twoja karta debetowa.
Pomijając formy papierowe, wiele szumu było wokół weryfikacji z użyciem biometrii. Niektóre systemy wymagają hasła i odcisku palca, skanu tęczówki, bicia serca lub jakiegoś innego czynnika biologicznego.
Na popularności zyskują także gadżety, które nosi się ze sobą. Część systemów wymaga specjalnej bransoletki lub innego akcesorium z wbudowanym czipem emitującym częstotliwość radiową. W specjalistycznych magazynach czytałem pomysły badaczy związane z tatuażami elektromagnetycznymi, które mogą być drugim członem w autoryzacji.
Zarówno Google, jak i Facebook posiadają aplikacje mobilne do generowania kodów, które umożliwiają użytkownikom tworzenie ich własnych haseł jednorazowych zamiast kodu SMS lub pocztowego.