Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Prowadzenie biznesu
  4. Logowanie dwuetapowe – czy warto je stosować?

Logowanie dwuetapowe – czy warto je stosować?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W dobie internetu dane osobowe stanowią bardzo cenny produkt. Nie powinno zatem dziwić, że masa osób z nie do końca uczciwymi zamiarami próbuje za wszelką cenę je pozyskać. W większości wypadków bazy z takimi informacjami trafiają do firm marketingowych oraz ankieterskich. Są jednak organizacje, które wykorzystują je do kradzieży, oszustw i wyłudzeń. Warto zadbać o swoje dane, gdyż mały błąd może okazać się bardzo kosztowny. Jednym z popularnych zabezpieczeń w sieci jest logowanie dwuetapowe. Wymaga jednak nieco więcej zorganizowania i wysiłku niż to standardowe logowanie. Pojawia się zatem pytanie – czy w rzeczywistości stanowi lepszą ochronę? Przekonajmy się.

Logowanie dwuetapowe – zacznijmy od podstaw

Nawet jeżeli ktoś słyszy pierwszy raz o logowaniu dwuetapowym, zapewne domyśla się, czym ono jest. Chodzi tu bowiem o wprowadzenie dodatkowej ochrony w czasie uwierzytelniania swojej tożsamości w sieci. Zamiast korzystać tylko z jednego zabezpieczenia, np. hasła do konta, dokładamy jeszcze jedną zaporę.

Logowanie dwuetapowe, czyli two-factor authentication, w skrócie 2FA, to metoda znana już od dawna. Kiedyś stosowana przez biznesmenów oraz wysoko postawionych pracowników korporacji i urzędników. Dzisiaj jest coraz bardziej popularna również wśród zwykłych użytkowników sieci. Nie ma się co dziwić, aktualnie każda osoba korzystająca z komputera lub smartfona może stać się ofiarą cyberataku. Zbyt słabe hasło do profilu społecznościowego grozi jego utratą oraz pozyskaniem przez przestępców naszych danych osobowych. To jeszcze da się przeżyć – co jednak, gdy osoby trzecie uzyskają dostęp do naszych rachunków bankowych? Wtedy łupem padną już nie zdjęcia z wakacji i garść mądrości życiowych wypisywanych na tablicy, ale także oszczędności życia. Dlatego też przy korzystaniu ze stron internetowych lub aplikacji, gdzie udostępniamy najważniejsze informacje o sobie, powinniśmy zachować szczególną ostrożność i zadbać o bezpieczną weryfikację naszej tożsamości.

Jak działa logowanie dwuetapowe?

Logowanie dwuetapowe polega na dwuetapowej weryfikacji naszej tożsamości. Czyli podczas logowania się do aplikacji, konta na stronie internetowej czy profilu na social mediach używamy dwóch różnych czynników weryfikacyjnych. Pierwszy najczęściej stanowi hasło, drugi to już kwestia wyboru i możliwości – może to być weryfikacja na podstawie linii papilarnych, kodu SMS czy linku wysłanego na maila.

Jakie mamy możliwości?

Chociaż elektroniczna bankowość przyzwyczaiła nas do zabezpieczenia w formie kodu SMS, to sposobów na logowanie dwuetapowe jest bardzo dużo. Jedne „bezpieczniejsze” od innych, mniej czasochłonne, prostsze lub bardziej dostępne. To, jakie czynniki uwierzytelniające wybierzemy, zależy już tylko od nas (lub możliwości, jakie daje operator danej aplikacji lub strony www). 

Wspomniane czynniki możemy podzielić na kilka grup:

  • czynniki wiedzy – opierają się na wiedzy użytkownika, czyli czymś, co może znać wyłącznie właściciel konta, np. hasło, numer PIN czy odpowiedź na pytanie stawiane podczas logowania;
  • czynniki posiadania – uwierzytelnienie jest możliwe wyłącznie dla osoby posiadającej jakiś przedmiot, np. kartę dostępu, token bezpieczeństwa, dowód osobisty, aplikację na telefon czy też określony numer telefonu, na który przesyłane są kody;
  • czynniki biometryczne – związane ściśle z daną osobą; logowanie jest możliwe, np. dzięki zeskanowaniu odcisku palca, rysów twarzy lub siatkówki oka; bardziej zaawansowane systemy potrafią rozpoznać użytkownika m.in. po dynamice naciśnięć klawiszy, wzorcach chodu lub barwie i tonie głosu;
  • współczynniki lokalizacji – uwierzytelnienie odbywa się zawsze w tej samej lokalizacji, w danym miejscu lub obszarze; informacje o geolokalizacji (GPS) pozwalają systemowi na sprawdzenie miejsca, w którym podejmowana jest próba logowania, a jeżeli lokalizacja użytkownika się nie zgadza, dostęp nie jest przydzielany;
  • czynniki czasowe — system ogranicza możliwość uwierzytelniania użytkownika do określonego okna czasowego.

Aktualnie najczęściej łączone są ze sobą czynniki wiedzy, posiadania oraz biometryczne. Hasło i odcisk palca, hasło i kod SMS czy też hasło i token to najbardziej nam znane sposoby logowania dwuetapowego. Nie ma jednak żadnych przeciwwskazań, aby mieszać ze sobą inne czynniki – im bardziej ten proces będzie skomplikowany, tym większą ochronę zapewni. 

Nie każde dodatkowe zabezpieczenie stanowi logowanie dwuetapowe

Ogólnie ujmując 2FA, możemy myśleć, że każde logowanie składające się z dwóch etapów to logowanie dwuetapowe, jednak tak nie jest. Aby tak było, uwierzytelnienie musi korzystać z dwóch składników różnych kategorii, np. zabezpieczenie dawniej wykorzystywane przez dostawców serwerów poczty e-mail polegające na wpisaniu hasła i odpowiedzi na pytanie, stanowiące „sekret” użytkownika w dalszym ciągu stanowi logowanie jednoetapowe (tzw. SFA – single-factor authentication), gdyż czynniki te należą do jednej grupy czynników wiedzy.

Powyżej opisana metoda logowania ma bardzo dużą słabość. Aplikacje lub strony www wymagają silnych haseł, które często są generowane. To z kolei skłania użytkowników do zapisywania ich na karteczkach położonych w pobliżu komputera, w notatce w telefonie lub w kalendarzu. Dostęp do hasła, zamiast utrudniony, staje się bardzo ułatwiony. Konta zabezpieczone hasłem i „sekretem” są również zagrożone z zewnątrz — hakerzy stosujący ataki brute-force, mając wystarczającą ilość czasu i determinacji, w końcu osiągną swój cel i złamią ochronę.

Gdzie możemy zastosować logowanie dwuetapowe?

Logowanie dwuetapowe może być stosowane wszędzie tam, gdzie wymagane jest od nas uwierzytelnienie swojej tożsamości. Aplikacje, strony sklepów internetowych, portale społecznościowe oraz szereg innych usługodawców działających w sieci dają możliwość skorzystania z logowania dwuetapowego. Najczęściej taką ochronę możemy spotkać w:

  • bankowości elektronicznej;
  • kontach e-mail;
  • hostingach;
  • sklepach internetowych i portalach aukcyjnych, np. allegro.pl czy amazon.com;
  • mediach społecznościowych, np. Instagram, Facebook, X;
  • aplikacjach na smartfony;
  • kontach z grami, np. Steam, GOG, Epic Games.

Domowa ochrona – co wybrać?

Abstrahując od możliwości wielkich korporacji i ich zabezpieczeń, zastanówmy się, co będzie bezpieczne dla zwykłych użytkowników sieci. Każdy, kto chce chronić swoją prywatność oraz swoje oszczędności, powinien zastanowić się, co może zrobić tu i teraz, aby zwiększyć swoje bezpieczeństwo.

Pierwsza możliwość to popularne kody SMS. Włączenie takiej opcji dla danej usługi będzie wymagało od użytkownika w czasie logowania, oprócz wprowadzenia nazwy użytkownika i hasła, wpisania kodu, który otrzyma on w formie wiadomości tekstowej przesłanej na telefon komórkowy. Metoda ta zapewnia spore bezpieczeństwo, gdyż włamanie się na cudzy telefon (chroniony blokadą Touch ID lub Face ID) nie jest takie proste. Z drugiej jednak strony cały ten proces potrafi być bardzo długi. SMS-y potrafią przychodzić nie w ciągu sekund, a minut, lub nie przyjść w ogóle, przez co należy powtórzyć próbę logowania.

Podobną metodą jest uwierzytelnienie przy pomocy kodu przesyłanego e-mailem. Działa to analogicznie do SMS-ów. Tak jak u poprzednika, tutaj również proces może się wydłużać. Dodatkowo wiadomości czasami lądują w spamie, co znacznie utrudnia logowanie. Trzeba także pamiętać, że bezpieczeństwo logowania zależy od poziomu zabezpieczenia skrzynki email. Mając słabe hasło do poczty, włączanie 2FA w innych miejscach mija się całkowicie z celem.

O wiele lepszym, szybszym i bezpieczniejszym rozwiązaniem wydaje się korzystanie z aplikacji autoryzujących, takich jak Google Authenticator i Microsoft Authenticator. Aby zweryfikować tożsamość, taka aplikacja generuje jednorazowy kod, który następnie należy wprowadzić wraz z nazwą użytkownika i hasłem podczas logowania się na swój profil. W tym wypadku, zamiast czekać kilka sekund czy minut na otrzymanie wiadomości tekstowej, osoba uwierzytelniająca generuje dla siebie numer. 

Jeszcze innym wartym rozważenia sposobem jest zakup czytnika linii papilarnych. Podłączenie takiego urządzenia do komputera lub laptopa pozwala na szybką i bezpieczną weryfikację. Skanery odcisków palców są teraz dostępne cenowo. Już za 200-300 zł można uzbroić się w naprawdę dobre urządzenie zabezpieczające. Jeżeli ktoś ma większy budżet, może pokusić się o czytnik twarzy lub głosu.

Logowanie dwuetapowe to nie wszystko

Aby czuć się bezpiecznym w sieci, warto przyswoić sobie kilka zasad. Logowanie dwuetapowe nie daje bowiem stuprocentowej gwarancji bezpieczeństwa. Im więcej wysiłku włożymy w ochronę swoich danych, tym spokojniej będziemy mogli spać.

Poniżej przedstawiam kilka zasad, których przestrzeganie pozwoli na względne bezpieczeństwo.

Przede wszystkim nie należy udostępniać swoich danych osobowych osobom trzecim, jeżeli nie jest to konieczne i nie ma pewności, że mamy do czynienia z osobą lub instytucją godną zaufania. Trzeba być szczególnie ostrożnym w rozmowach telefonicznych – nie zawsze osoba podająca się za pracownika banku w rzeczywistości nim jest. Nie należy również pokazywać dokumentów tożsamości (dowód osobisty, prawo jazdy, paszport), jeżeli nie wymagają tego przepisy prawa.

Trzeba zawsze niszczyć stare dokumenty i korespondencję papierową zawierającą wrażliwe informacje. Wyciągi z banków, dokumenty księgowego, deklaracje podatkowe – z czasem stają się one zwykłą makulaturą, jednak dla złodzieja w dalszym ciągu są cenne. Natomiast dokumenty, w których znajdują się ważne dane, powinny być przechowywane w miejscach zamkniętych na klucz (szafie pancernej lub sejfie).

W sieci nasza ostrożność powinna być tak samo wyczulona, jak w „realu”. Korzystając z internetu, należy:

  • używać różnych haseł dostępu na różnych stronach internetowych i w aplikacjach oraz regularnie je zmieniać;
  • zawsze się wylogować, kończąc sesję; niektórzy usługodawcy automatycznie wylogowują użytkowników, którzy przez kilka minut nie podejmują żadnych czynności na stronie (np. banki), jednak większość z nich nie aplikuje u siebie takiej opcji;
  • wybierać bezpiecznych sprzedawców, tj. takich, którzy mają historię w sieci oraz opinię innych użytkowników;
  • wykorzystywać certyfikowanych pośredników przy dokonywaniu płatności (np. PayU lub Tpay);
  • nie otwierać wiadomości e-mail nieznanego pochodzenia;
  • nie korzystać ze stron niekorzystających z certyfikatu SSL (tj. stron niemających w adresie frazy https://);
  • nie zezwalać na zapamiętywanie haseł przez przeglądarkę w przypadku bankowości elektronicznej lub innych ważnych dla nas stron internetowych;
  • korzystać wyłącznie z oryginalnego oprogramowania o wiadomym pochodzeniu; korzystając z wersji pirackich, bardzo łatwo zainfekować urządzenie;
  • używać programów antywirusowych.

Polecamy:

Wakacje od ZUS – rewolucja w opłacaniu składek

Zdrowe oczy przy długotrwałej pracy przed komputer...
Kolejne sklepy detaliczne znikają z rynku. Jakie s...
Wrzesień 2024
16
Poniedziałek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Koszt całkowity zatrudnienia pracownika w 2024 roku - musisz to wiedzieć!
  2. Praca na etacie nie wyklucza prowadzenia działalności
  3. Zwolnienie z pracy - 7 najczęstszych powodów utraty stanowiska
  4. Możesz naliczyć odsetki ustawowe od opóźnionych należności
  5. Działalność gospodarcza - rozliczenia z urzędem skarbowym na gruncie PIT
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prowadzenie biznesu

Jakie urządzenia mobilne wybrać do pracy w terenie? Przegląd…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Flagowe wydarzenie ELSA Poland powraca! - Ogólnopolska Konferencja Podatkowa
Nowa edycja I ​​❤ Marketing & Technology już w październiku!
Przywództwo 360° hasłem tegorocznej edycji EvolucJA – daj się zainspirować
Międzynarodowy Kongres Biur Rachunkowych 2024 – spotkanie ekspertów branży księgowej w Targach Kielce
3 Baltic Economic Congress Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów