Zgłoś zdarzenie
Wróć

Na czym polega dwuskładnikowe uwierzytelnianie (2FA)?

Zdrowy styl życia

Z roku na rok rośnie liczba zgłoszeń związanych z atakami phishingowymi, gdzie przestępcy podszywają się pod zaufane instytucje, aby wyłudzić dane. W tym dynamicznie zmieniającym się krajobrazie, stosowanie jedynie silnych haseł przestaje być wystarczające. Kluczowym elementem staje się wdrożenie dodatkowych zabezpieczeń, takich jak dwuskładnikowe uwierzytelnianie (2FA), które dodaje kolejną warstwę ochrony dla Twoich danych.

Silne hasła są podstawą bezpieczeństwa w sieci, ale mają swoje ograniczenia. W rzeczywistości każde hasło jest tak silne, jak bezpieczne są serwisy, w których je wykorzystujemy. Jeśli dostawca usług doświadczy wycieku danych, Twoje hasło może trafić w ręce cyberprzestępców.

Jak działają cyberprzestępcy

Cyberprzestępcy znajdą niejeden sposób, by zyskać dostęp do naszych kont (mailowych, social mediowych, bankowych itp.). W tym celu posługują się zarówno różnymi metodami pozyskiwania danych, jak i wszelkiej maści socjotechnikami.

Do popularnych działań możemy zaliczyć technikę credential stuffing, która polega na automatycznym testowaniu skradzionych loginów i haseł na różnych stronach, w nadziei, że użytkownik stosuje te same dane logowania wszędzie. Przestępcy próbują także zalogować się na różne konta używając popularnych, słabych haseł (np. „123456”, „qwerty”). Przy dużej liczbie testowanych kont istnieje spora szansa, że ktoś wciąż używa jednego z tych powszechnie stosowanych haseł (ta metoda nazywa się password spraying).
 
Dlatego wprowadzenie dwuskładnikowego uwierzytelniania (2FA) skutecznie minimalizuje ryzyko sytuacji, w której osoba trzecia dostanie się na nasze konto. Nawet jeśli hasło zostanie przejęte, przestępca nie będzie w stanie zalogować się bez autoryzacji drugim składnikiem, takim jak kod SMS czy potwierdzenie w aplikacji uwierzytelniającej. 

Czym jest 2FA?

Dwuskładnikowe uwierzytelnianie  (2FA) to proces, który wymaga potwierdzenia tożsamości użytkownika za pomocą dwóch niezależnych metod weryfikacji. Nawet jeśli hasło zostanie skompromitowane  (czyli upublicznione w ramach wycieku danych), drugi składnik ochrony sprawi, że dostęp do konta pozostanie dla przestępcy nieosiągalny. 

Z jakich elementów uwierzytelniania możemy skorzystać?

  • Coś, co wiesz – Twoje hasło lub kod PIN. 
  • Coś, co masz – kod generowany przez aplikację uwierzytelniającą, token sprzętowy  (specjalne urządzenie do autoryzacji, np. generator kodów jednorazowych) czy wiadomość SMS. 
  • Coś, czym jesteś – dane biometryczne, takie jak odcisk palca, rozpoznawanie twarzy czy skan tęczówki oka. 

Jak działa 2FA w praktyce?

Korzystanie z 2FA w praktyce przypomina logowanie do aplikacji bankowej. To znaczy, że podczas logowania na swoje konto (np. mailowe lub w social media) wpisujemy hasło, a następnie wprowadzamy dodatkowy kod weryfikacyjny.

Kod weryfikacyjny może być: 

  • generowany w czasie rzeczywistym przez aplikacje uwierzytelniające,
  • wysłany SMS-em na Twój numer telefonu. 
  • wygenerowany przez token sprzętowy , np. generator kodów jednorazowych  

Nawet w przypadku wycieku hasła, dostęp do konta będzie chroniony, ponieważ przestępcy musieliby zyskać dostęp  do drugiego składnika uwierzytelniającego.

Jak wdrożyć 2FA?

Większość serwisów, w których zakładamy konta użytkownika (skrzynka mailowa, social media itp.) oferuje możliwość włączenia 2FA. By to zrobić, należy przejść do ustawień konta (lub ustawień bezpieczeństwa) i tam odszukać funkcję uwierzytelniania dwuskładnikowego. W kolejnym kroku należy wybrać preferowaną metodę, np. aplikację uwierzytelniającą i postępować zgodnie z dalszymi instrukcjami. 

Dowiedz się więcej: Jak bezpiecznie kupować i płacić online?

Jak bezpiecznie zarządzać wieloma hasłami?

Tworzenie unikalnych, silnych haseł dla każdego serwisu to jedno z kluczowych zaleceń bezpieczeństwa. Jednak w praktyce dla wielu użytkowników jest to trudne, ponieważ wymaga zapamiętanie nawet kilkunastu skomplikowanych haseł. 

W takiej sytuacji z pomocą przychodzą programy zwane menedżerami haseł. Przechowują one wszystkie dane logowania w jednym, zaszyfrowanym miejscu, do którego użytkownik musi zapamiętać tylko jedno hasło. Warto jednak pamiętać, aby zabezpieczyć dostęp do menedżer haseł korzystając z dwuskładnikowej weryfikacji (2FA). 

Dlaczego warto rozważyć korzystanie z menedżera haseł?

Generuje on skomplikowane kombinacje dla każdego konta, które posiadamy.

  • Dzięki automatycznemu uzupełnianiu danych logowania nie musimy pamiętać każdego hasła z osobna.
  • Hasła są szyfrowane, dzięki czemu nawet w przypadku wycieku danych z serwisu menedżera haseł nasze dane pozostają bezpieczne. 
  • Większość menedżerów haseł synchronizuje dane między komputerem, smartfonem i tabletem, co ułatwia korzystanie z nich w każdej sytuacji.

Na rynku dostępnych jest wiele menedżerów haseł. Warto zwrócić uwagę na to, czy wybrane rozwiązanie:

  • oferuje funkcję generowania haseł? 
  • pozwala na synchronizację między urządzeniami? 
  • ma funkcje monitorowania wycieków danych? 
  • wspiera uwierzytelnianie dwuskładnikowe (2FA)? 

Czy można „obejść” 2FA?

Przestępcy mogą próbować wykorzystać phishing (czyli podszywanie się pod inną osobę lub instytucję, aby wyłudzić informacje) do obejścia 2FA. W tym celu zazwyczaj tworzą fałszywe strony logowania, które przechwytują hasło i jednorazowe kody weryfikacyjne generowane w procesie dwuskładnikowej weryfikacji. Użytkownik jest wówczas przekonany, że loguje się na prawdziwą stronę, podczas gdy naprawdę przekazuje swoje dane do logowania i kod weryfikacyjny – cyberprzestępcy.

Innym rodzajem obejścia 2FA jest tzw. atak Man-in-the-Middle (czyli z ang. „człowiek pośrodku”), który polega na tym, że przestępca „podstawia się” między użytkownika a serwis, z którym ten się łączy i przechwytuje dane w czasie rzeczywistym (m.in. hasła czy kody generowane przez aplikacje uwierzytelniające). Te ataki są szczególnie groźne, gdy użytkownik korzysta z publicznych sieci Wi-Fi (często są one słabo zabezpieczone).

Cyberbezpieczeństwo zaczyna się od świadomych decyzji. Inwestując czas w naukę dobrych praktyk i korzystając z dostępnych narzędzi, nie tylko chronimy siebie, ale także tworzymy barierę dla cyberprzestępców. W cyfrowym świecie, gdzie zagrożenia są nieuniknione, proaktywne podejście i większa uważność są najlepszą obroną. 

------- 
Maciej Michałowski, ekspert cyberbezpieczeństwa w firmie Hollow Point Cybersecurity. Ukończył kierunek Kryptologia i Cyberbezpieczeństwo na Wojskowej Akademii Technicznej w Warszawie. Wieloletni reprezentant Polski w najbardziej złożonych i technicznych ćwiczeniach cyberbezpieczeństwa na świecie – Locked Shields, organizowanych przez NATO CCDCOE. Specjalizuje się w operacjach Red Team, testach penetracyjnych oraz inżynierii społecznej, posiadając wieloletnie doświadczenie w branży, zdobywane podczas realizacji projektów na wielu kontynentach. 
 
 

Tagi: #technologie
Maciej Michałowski 29.01.2025

Wybrane dla Ciebie

Dziewczyna leży na hamaku w górach i przegląda telefon

Jak chronić dane osobowe w sieci?

Wyobraź sobie, że pewnego dnia budzisz się i odkrywasz, że ktoś wziął kredyt na twoje nazwisko, opróżnił twoje konto bankowe lub podpisał umowy, korzystając z twoich danych. To nie jest scena z thrillera, ale codzienność tysięcy osób na całym świecie. W erze cyfryzacji nasze dane osobowe stały się walutą – cenną i pożądaną przez cyberprzestępców, którzy coraz częściej wykorzystują naszą nieuwagę, zaufanie i aktywność online.

Tagi: #technologie

Zdrowy styl życia
Zobacz wszystkie wpisy