2fa
Pamiętasz, jak w zeszłym roku wyciekły nagie zdjęcia pewnych celebrytów? Historia ta nie tylko poprawiła komuś humor (i prawdopodobnie noc), ale okazała się także być całkiem niezłym środkiem edukacyjnym.
Na przykład wielu ludzi uświadomiło sobie, że imię ich zwierzaka jest niekoniecznie dobrym hasłem, a dwuetapowe uwierzytelnianie nie jest przeznaczone wyłącznie dla maniaków zabezpieczeń IT, ale także dla każdego właściciela iPhone’a zdobionego kryształkami Swarovskiego.
Zdjęcia, o których było głośno w zeszłym roku, wyciekły z chmury firmy Apple, w której przechowywane są kopie fotografii wykonanych urządzeniami Apple. Hakerzy zastosowali najprostszą drogę włamania do usługi, łącząc phishing z metodą siłową. Po tej wpadce firma postanowiła rzetelniej chronić swoich użytkowników i zastosowała w chmurze iCloud dwuetapowe uwierzytelnianie (2FA), a następnie zaleciła swoim klientom korzystanie z niego.
Jednak korzystanie z 2FA w iCloud, jak również w Gmailu, Facebooku i wielu innych serwisach internetowych, jest opcjonalne. Większość ludzi woli je pominąć, ponieważ nie jest zbyt wygodne i zabiera cenny czas.
Tymczasem nawet jeśli nie jesteś Kim Kardashian czy Kate Upton, możesz w bardzo łatwy sposób stracić kontrolę nad swoim kontem e-mail lub profilem w mediach społecznościowych. A konsekwencje tego mogą być naprawdę odczuwalne.
Dwa zamki są lepsze niż jeden zamek
Większość ludzi myśli, że dwuetapowa autoryzacja to system wysyłający hasła jednorazowe w wiadomościach tekstowych. Cóż, faktycznie jest to najlepsza metoda 2FA dla serwisów internetowych, ale nie jedyna.
Ogólnie 2FA jest jak drzwi z dwoma zamkami. Jednym z ich jest tradycyjny zestaw loginu i hasła, a drugim może być cokolwiek. Co więcej, jeśli dwa zamki Ci nie wystarczą, możesz zastosować ich tyle, ile zechcesz. Ale wtedy proces otwierania drzwi wydłuży się, więc lepiej zacząć od dwóch.
Hasła wysyłane za pośrednictwem SMS-ów są łatwym i w miarę wiarygodnym sposobem autoryzacji. W miarę, bo za każdym razem, gdy chcesz uzyskać dostęp do usługi, musisz mieć w pobliżu telefon, poczekać na SMS-a, wprowadzić cyfry…
Jeśli popełnisz błąd lub wprowadzisz kod zbyt późno, procedurę należy powtórzyć. Jeśli na przykład nastąpi zator w sieci operatora, SMS może przyjść z opóźnieniem. Domyślam się, że taka sytuacja może kogoś irytować.
Jeśli nie masz zasięgu (co się najczęściej zdarza podczas podróży), nie dostaniesz hasła. Możesz zgubić swój telefon i nie być w stanie zmienić sposobu logowania, co jest jeszcze bardziej frustrujące.
Na szczęście na takie okoliczności wiele stron, np. Facebook czy Google, oferuje opcje dodatkowe –chociażby listę jednorazowych kluczy, które możesz stworzyć, wydrukować i przechowywać w bezpiecznym miejscu zawczasu.
Pięć sposobów, jak ochronić swoje prywatne zdjęcia przy użyciu weryfikacji dwuetapowej
Co więcej, autoryzacja 2FA przy pomocy jednorazowych kodów wysyłanych przez SMS-y nie musi być włączona na stałe, ale może obowiązywać przy logowaniu się z nieznanego urządzenia. Zasada działania jest taka sama dla każdej aplikacji przypisanej do Twojego konta (np. klienta pocztowego) – przed uruchomieniem musisz wprowadzić specjalnie wygenerowane hasło.
Zatem, o ile nie logujesz się codziennie z nowego urządzenia, dwuetapowe uwierzytelnianie przez SMS-y nie jest takie kłopotliwe. Ustawione raz, działa zawsze.
Tożsamość na smartfonie
Jeśli często podróżujesz, lepszym sposobem uwierzytelniania będzie specjalna aplikacja. Inaczej niż w przypadku SMS-ów, metoda ta działa offline. Hasło jednorazowe jest generowane nie na serwerze, ale na smartfonie (chociaż wstępna konfiguracja wymaga połączenia z internetem).
Jest wiele aplikacji do autoryzacji, ale Google Authenticator zdecydowanie wyznacza branżowy standard. Poza Gmailem, program ten obsługuje inne usługi typu Facebook, Tumblr, Dropbox, vk.com, WordPress i inne.
Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs
— Google (@google) October 3, 2013
Jeśli wolisz aplikacje łączące inne funkcje, wypróbuj Twilio Authy. Jest podobna do Google Authenticator, ale ma wiele przydatnych opcji.
Po pierwsze, umożliwia przechowywanie certyfikatów w chmurze i kopiowanie ich na inne urządzenia (smartfony, komputery PC, tablety i wiele innych platform, wraz z Apple Watch). Nawet jeśli Twoje urządzenie zostanie skradzione, wciąż będziesz miał kontrolę nad swoim kontem. Aplikacja wymaga wprowadzenia kodu PIN po każdym jej uruchomieniu, a klucz można odwołać, gdy urządzenie zostanie zhakowane.
Po drugie, Twilio Authy ułatwia życie, gdy rozpoczynasz używanie nowego urządzenia (funkcji tej nie posiada Google Authenticator).
Jeden klucz zamiast kilku
Wymienione wyżej rozwiązania mają jedną wadę. Jeśli używasz tego samego urządzenia do logowania się i odbierania SMS-ów z hasłami jednorazowymi lub stosujesz aplikację generującą klucze 2FA, ochrona ta nie jest taka wiarygodna.
Wyższy poziom ochrony zapewniają sprzętowe tokeny. Mają różne kształty i tworzą potrzebne elementy logowania; mogą być tokenami USB, inteligentnymi kartami czy tokenami offline z cyfrowym wyświetlaczem, ale ich zasada działania jest taka sama – są to minikomputery, które generują klucze jednorazowe na żądanie. Następnie klucze te wprowadza się ręcznie lub automatycznie — na przykład za pomocą interfejsu USB.
Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP – http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR
— Yubico (@Yubico) April 16, 2015
Generowanie takich kluczy sprzętowych nie zależy od zasięgu sieci, telefonu ani innych czynników; działają one bez względu na okoliczności. Niestety kupuje się je jako osobny sprzęt i niektórym osobom trudno jest nie zgubić takiego małego gadżetu.
Zazwyczaj klucze takie są używane do ochrony usług bankowości internetowej, systemów firmowych lub innych ważnych rzeczy. Równocześnie do zabezpieczenia swojego konta w serwisie Google lub WordPress możesz użyć eleganckiego urządzenia na USB, które zapamięta hasła do uwierzytelniania FIDO U2F (jak popularne tokeny YubiKey).
Pokaż swoje implanty!
Tradycyjne kucze sprzętowe zapewniają wysoki poziom ochrony, ale nie są zbyt wygodne w użytkowaniu. Używanie dysku USB za każdym razem, gdy chcesz uzyskać dostęp do usługi online, może być męczące, a poza tym nie można go podłączyć do smartfonu.
Znacznie łatwiej byłoby korzystać z klucza bezprzewodowego, który jest dostarczany przez Bluetooth lub NFC. Nawiasem mówiąc, jest to możliwe w nowych specyfikacjach FIDO U2F zaprezentowanych minionego lata.
Znacznik, który mógłby weryfikować użytkownika, może być zastosowany wszędzie: w pęku kluczy, karcie bankowej lub nawet w czipie NFC wszczepionym pod skórą. Każdy smartfon mógłby odczytać ten klucz i zautoryzować użytkownika.
Jedno, dwa, wiele
Pomysł uwierzytelniania dwuetapowego nie jest wcale przestarzały. Aby zwiększyć bezpieczeństwo dostępu, wiele usług (np. Google czy Facebook) analizuje kilka czynników – sprawdzają urządzenie i przeglądarkę, z których następuje logowanie, jak również lokalizację czy schemat działania użytkownika. W celu wyłapania oszukańczych aktywności podobnych systemów używają banki.
Zatem, w przyszłości prawdopodobnie będziemy polegać na zaawansowanych rozwiązaniach wieloczynnikowych, które zapewniają zdrową równowagę pomiędzy wygodą a bezpieczeństwem. Jednym ze świetnych przykładów ilustrujących takie podejście jest projekt Abacus, który był zaprezentowany na ostatniej konferencji Google I/O.
W nowej rzeczywistości Twoja tożsamość nie będzie potwierdzana jedynie przy użyciu hasła, ale przez zbiór kilku czynników: lokalizacja, co w danym momencie robisz, w jaki sposób mówisz, oddychasz, jaki masz rytm serca, czy używasz protez cybernetycznych itp. Urządzeniem, które wyczuje i zidentyfikuje te czynniki, będzie prawdopodobnie Twój smartfon.
W tym miejscu mogę podać jeden przykład – szwedzcy badacze używają dźwięku otoczenia jako czynnika uwierzytelniającego.
Koncepcja ta została nazwana Sound-Proof i jest bardzo prosta. Gdy próbujesz uzyskać dostęp do jakiejś usługi na swoim komputerze, serwer wysyła żądanie do aplikacji zainstalowanej na smartfonie. Komputer i smartfon nagrywają otaczający dźwięk, przekształcają w cyfrowy podpis, szyfrują i wysyłają do serwera do analizy. Jeśli są takie same, oznacza to, że oryginalny użytkownik próbuje dostać się do usługi.
Oczywiście podejście to nie jest idealne – gdy oszust siedzi niedaleko użytkownika na przykład w restauracji, otaczające go dźwięki są praktycznie takie same. Wówczas pod uwagę powinny być brane inne czynniki zapobiegające włamaniu się na konto.
Koniec końców, zarówno Sound-Proof, jak i Abacus mają za zadanie zapewniać ochronę w przyszłości. Gdy będą komercyjne, zagrożenia i wyzwania w dziedzinie bezpieczeństwa informacji prawdopodobnie także ewoluują.
Dzisiaj wystarczy korzystać z weryfikacji dwuetapowej. Instrukcje pomagające włączyć tę funkcję możesz znaleźć na większości popularnych serwisów.
Porady