Dmuchaj na zimne. Zabezpiecz się podwójnie!
Weryfikacja dwuetapowa – nie uwierzysz, jak łatwo możesz zadbać o bezpieczny dostęp do swoich systemów. Niektóre zagrożenia w sieci wymagają wyrafinowanych środków ochrony. Przed innymi możesz się zabezpieczyć, korzystając z prostych rozwiązań.
Czym jest weryfikacja dwuetapowa?
Samo hasło nie wystarcza, aby skutecznie zabezpieczyć dostęp do Twoich systemów przed hakerami. Zwłaszcza, że tysiące Polaków „broni” dostępu do swoich kont firmowych hasłami takimi jak „qwerty”, „123456”, „misiek”, czy „polska”. Weryfikacja dwuetapowa, zwana także weryfikacją bądź uwierzytelnianiem dwupoziomowym, jest sposobem zabezpieczenia dostępu do poczty e-mail, stron www, aplikacji czy systemów IT opartym na dwóch metodach uwierzytelniania. Oprócz tradycyjnie podawanego loginu i hasła, wymaga ona dodatkowego uwierzytelnienia, na przykład za pomocą kodu wyświetlanego na przenośnym urządzeniu lub wysyłanego przez SMS.
Weryfikacja dwupoziomowa jest prostą, lecz bardzo skuteczną metodą ochrony przed phishingiem, przejęciem hasła, czy atakami wykorzystującymi metody inżynierii społecznej.
Metody weryfikacji dwuskładnikowej
Od kodów-zdrapek po czytniki linii papilarnych. Istnieje wiele rozwiązań uwierzytelniania dwupoziomowego, które możesz wdrożyć w swojej firmie, aby uszczelnić dostęp do kluczowych danych i systemów. Do najpopularniejszych należą:
Token bezpieczeństwa
Czyli małe urządzenie przypominające wyglądem pamięć USB. Tokeny starszej generacji wyświetlają jednorazowy kod, który należy wpisać w odpowiednie pole w panelu logowania. Te nowsze podłączasz do portu USB (lub innego, w zależności od tokena), a następnie generujesz kod, klikając w odpowiedni pole na panelu logowania lub dotykając urządzenia, który autoryzuje dostęp za pomocą Twoich linii papilarnych.
Kod SMS
Ta metoda wykorzystywana jest często przy logowaniu do kont Gmail lub do autoryzacji transakcji bankowych. Podczas logowania system wysyła na numer telefonu użytkownika unikalny kod, który należy wprowadzić we właściwe pole, aby uzyskać dostęp do usługi. Chociaż weryfikacja za pomocą wiadomości SMS jest wygodna, ma swoje minusy. Taki kod można bowiem stosunkowo łatwo podejrzeć lub przechwycić.
Uwierzytelnianie przez telefon
W tej opcji system oddzwania na zweryfikowany wcześniej numer użytkownika, na przykład na telefon stacjonarny. Użytkownik odbiera telefon i potwierdza chęć zalogowania za pomocą klawiatury. Metoda ta przydaje się, kiedy pracownik nie chce korzystać z telefonu prywatnego do otrzymywania SMS-ów z kodami. Nie zawsze jest jednak wygodna.
Powiadomienia push
Powiadomienia push to notyfikacje wyświetlane na urządzeniach mobilnych w czasie rzeczywistym. Aby się zalogować przy ich użyciu, po podaniu loginu i hasła użytkownik żąda wysłania powiadomienia na smartfon lub tablet, a następnie potwierdza całą operację w notyfikacji. Olbrzymią zaletą tego rodzaju uwierzytelniania jest odporność na ataki man-in-the-middle.
Jednorazowe hasła na telefon (HOTP)
Weryfikacja możliwa jest również za pomocą jednorazowych, ograniczonych czasowo kodów wyświetlanych w aplikacji mobilnej. Aby z nich skorzystać, użytkownik skanuje kod QR, który otrzymuje w aplikacji po zażądaniu logowania lub wprowadza ręcznie towarzyszący mu numer do pola logowania. Z tej metody można korzystać np. kiedy znajdujemy się poza zasięgiem sieci komórkowej i nie możemy otrzymywać SMS-ów.
Zabezpieczenia biometryczne
Najbardziej zaawansowane systemy weryfikacji korzystają z zabezpieczeń biometrycznych. Aby się zalogować, zamiast wpisywać lub skanować kod, potwierdzasz swoją tożsamość za pomocą odcisku palca na czujniku znajdującym się w laptopie czy telefonie. Jest to jedna z najwygodniejszych i najbezpieczniejszych metod weryfikacji
A co jeśli zgubię telefon lub token?
Większość z powyższych metod wymaga użycia urządzenia, na które przychodzi kod weryfikacyjny. A co jeśli je zgubimy, albo zostawimy w domu?
Nowoczesne systemy do weryfikacji dwuetapowej mają i na to rozwiązanie. Umożliwiają one kontakt z administratorem sieci, na przykład poprzez panel logowania do systemu lub aplikacji, do której próbujemy się dostać, w celu otrzymania jednorazowego, tymczasowego kodu. Takie rozwiązanie przydaje się w wyjątkowych okolicznościach.