Uwierzytelnianie dwuskładnikowe
Ciąg dalszy tematu zabezpieczeń – tym razem omówię tzw. „uwierzytelnianie dwuskładnikowe”. Nazwa sugeruje coś bardzo skomplikowanego, ale proszę się nie zrażać – wbrew pozorom jest to bardzo prosta sprawa. 🙂
Niektórych może to zaskoczyć, ale jestem przekonany że zdecydowana większość z nas miała z dwuskładnikową autoryzacją styczność.
Kiedy? Podczas płatności online.
Przynajmniej część osób czytających ten tekst czasem robi przelewy przez Internet. Logujemy się wtedy na nasze konto (pierwszy składnik), wchodzimy w zlecenie przelewu, wypełniamy je, zatwierdzamy i wtedy pojawia się nam pole na kod z SMSa lub (na szczęście coraz rzadziej) z plastikowej zdrapki (to jest właśnie ten drugi składnik).
O co chodzi?
Najprościej rzecz ujmując, uwierzytelnianie dwuskładnikowe polega na tym, że oprócz podstawowej pary typu login + hasło, w trakcie logowania się gdzieś lub zlecania operacji konieczne jest podanie jeszcze jednego, najczęściej generowanego hasła lub kodu. Pozwala to znacząco podnieść poziom bezpieczeństwa wykonywanej operacji.
Gdzie jest to stosowane?
Zazwyczaj w miejscach, w których nieuprawniony dostęp wiąże się ze zwiększonym ryzykiem utraty wrażliwych danych lub kradzieży środków. Oczywistym miejscem są internetowe aplikacje bankowe. Ale coraz częściej taki rodzaj zabezpieczeń pojawia się w innych miejscach, np. w sklepach internetowych, takich jak allegro czy na platformach kojarzonych z grami: Steam, Ubisoft Connect, Origin itp.
Facebook, Instagram, Twitter i wiele innych serwisów również wspiera uwierzytelnianie dwuskładnikowe. Jest to coraz bardziej powszechna forma dodatkowego zabezpieczenia dostępu.
Rodzaje
Drugi składnik możemy otrzymywać w formie jednorazowego kodu SMS. Jednak są też inne sposoby tworzenia takiego kodu, np. za pomocą aplikacji mobilnych takich jak Google Authenticator, Microsoft Authenticator czy Authy. Wymaga to jednak instalacji aplikacji w telefonie.
Jak to skonfigurować?
Konfiguracja takiego rozwiązania jest bardzo prosta. W ustawieniach konta jakiejś usługi najczęściej istnieje opcja o nazwie „Uwierzytelnianie dwuskładnikowe” (lub coś podobnego). Klikamy w nią i często mamy do wyboru użycie aplikacji mobilnej. Po kliknięciu pojawia się kod do przepisania na telefon, a oprócz tego bardzo często widoczny jest kod QR do zeskanowania za pomocą telefonu (co usprawnia proces, ponieważ przepisanie kodu ręcznie jest czasochłonne i podatne na ryzyko popełnienia literówki). Następnie musimy przepisać kod wygenerowany przez nasze urządzenie w odpowiednie pole by połączyć ze sobą nasze konto i aplikację generującą kody.
I już! Od teraz przy logowaniu oprócz loginu i hasła będziemy musieli przepisać kod z aplikacji.
A co, jeśli zgubię telefon?
Jeżeli korzystamy z uwierzytelniania dwuskładnikowego opartego o aplikację mobilną, warto wygenerować sobie również kody awaryjne. W sytuacji, gdy utracimy dostęp do urządzenia, możemy skorzystać z tych kodów. Inaczej ryzykujemy trwałą utratę dostępu do konta.
Uwierzytelnianie dwuskładnikowe znacząco podnosi poziom bezpieczeństwa naszego konta. Jeśli włączymy dwuskładnikową autoryzację, to nawet w sytuacji, gdy login i hasło do naszego konta wyciekną, włamywacz wciąż nie uzyska do niego dostępu, ponieważ napotka dodatkową przeszkodę w postaci pola na kod jednorazowy. Jest to więc duża korzyść niskim kosztem.
Podsumowanie
Ja sam korzystam z uwierzytelniania dwuskładnikowego w kilku miejscach. W pracy też co jakiś czas muszę przepisywać kod SMS, aby uzyskać dostęp do niektórych zasobów. I uważam, że jest to bardzo dobre rozwiązanie.
A co Wy sądzicie o uwierzytelnianiu dwuskładnikowym? Korzystacie z niego? Jeśli tak, to gdzie? Napiszcie w komentarzu!
PS. Jeśli uważasz, że ten wpis jest wartościowy, udostępnij go. Bardzo proszę też o śledzenie mojej strony na Facebooku! Z góry dzięki za zaufanie 😉
PPS. Masz pomysł na kolejny wpis? Napisz temat w komentarzu!
