Dlaczego warto korzystać z MFA?

Łukasz Terlikowski, 22 września 2020

Nikt nie zaprzeczy, że Internet stał się nieodłącznym elementem życia większości z nas. Usługi online, poczta, usługi bankowe, portale społecznościowe na stałe zagościły w naszej codzienności. Wszystko jest na tyle wygodne i na tyle powszechne, że nie zwracamy uwagi na to, czy jest bezpieczne. Razem z upowszechnieniem dostępu do Internetu, wzrosło ryzyko kradzieży danych oraz utraty prywatności. Dopóki nie doświadczymy takiej sytuacji osobiście, może nam się wydawać, że problem nas nie dotyczy. Konsekwencje mogą jednak być ogromne. Utrata kontroli nad pocztą, na skutek przywłaszczenia konta, może umożliwić złodziejowi przejęcia naszej tożsamości w innych usługach internetowych. Spowodowane jest to przeważnie używaniem jedynie hasła. Na dodatek słabego.

W ostatnich latach było kilka głośnych wycieków baz danych z hasłami użytkowników witryn internetowych. Korzystając z samego hasła, bardzo dużo ryzykujemy. Zwłaszcza jeśli używamy go w wielu miejscach. Dlatego warto się zabezpieczyć w dodatkowy sposób stosując uwierzytelnianie wieloskładnikowe MFA (Multi-Factor Authentication), które obecnie jest jednym z najskuteczniejszych sposobów zabezpieczenia się przed kradzieżą danych.

Do zalogowania używamy wtedy nie tylko hasła, ale i dodatkowego potwierdzenia naszej tożsamości, którą zarejestrowaliśmy w naszej usłudze:

  • SMS/wiadomość tekstowa;
  • połączenie głosowe;
  • zabezpieczenie biometryczne;
  • aplikacje do uwierzytelniania;

są to dodatkowe czynniki, które zwiększają bezpieczeństwo konta. Wyciek hasła przestaje być tak straszny. Nawet jeśli przestępca pozna hasło, podczas próby zalogowania nie będzie miał naszego urządzenia do potwierdzenia autentyczności.

Proste zabezpieczenie w postaci kodu wysłanego za pomocą SMS podczas logowania, uniemożliwia wejście innej osobie. Użycie aplikacji do uwierzytelniania, która zamiast wysyłać kody za pomocą tekstu, wyświetla prośbę o potwierdzenie logowania, jest jeszcze wygodniejsze.  

Logowanie przy użyciu zabezpieczenia aplikacją authenticator na smartfonie
Logowanie przy użyciu zabezpieczenia aplikacją Authenticator na smartfonie
Powiadomienie informujące o próbie logowania
Powiadomienie informujące o próbie logowania

Podczas rejestracji konta pocztowego, dostępu do banku lub portali społecznościowych, oprócz hasła powinniśmy ustawić dodatkowe zabezpieczenie. Najprostszą metodą jest autoryzacja przez SMS. Producenci smartfonów coraz częściej wyposażają urządzenia w rozwiązania, które zwiększają naszą wygodę, jednocześnie oferując wysoki poziom bezpieczeństwa. Po wstępnej konfiguracji aplikacji za pomocą hasła i SMS posługujemy się już wtedy tylko zabezpieczeniami takimi jak odcisk palca czy skan twarzy (Face ID). Jest to znacznie wygodniejsze niż wpisywanie kodów SMS.

Logowanie za pomocą odcisku palca
Logowanie za pomocą odcisku palca

Wszystko to sprawia, że dużym zainteresowaniem cieszy się logowanie bez użycia haseł. Jest jeszcze jeden powód, dla którego zawsze powinniśmy ustawiać dodatkową formę uwierzytelniania tam, gdzie jest to możliwe. Powszechną praktyką jest podszywanie się pod usługi, z których korzystamy. Wyłudzanie danych jest praktykowane codziennie. Złodziej prosi nas o otwarcie fałszywego e-maila, adresu www lub zalogowanie na fałszywej stronie, do złudzenia przypominającej tą, na której zawsze się logujemy. Techniki przestępców są na tyle skuteczne, że nawet osoby świadome zagrożenia potrafią dać się oszukać. W takiej sytuacji, jeśli podamy nasz login, hasło i nie mamy dodatkowego sposobu uwierzytelniania, w niedługim czasie, konto może zostać zablokowane poprzez zmianę hasła.

Wiadomość e-mail próbująca wyłudzić dane
Wiadomość e-mail próbująca wyłudzić dane
Strona próbująca wyłudzić dane logowania
Strona próbująca wyłudzić dane logowania

Np. na koncie pocztowym Gmail mamy dodany dodatkowy poziom uwierzytelniania taki jak SMS lub Google Authenticator, nawet w przypadku wyłudzenia lub złamania hasła, złodziej nie będzie w stanie uzyskać dostępu do naszej poczty.

Przykład dodatkowego żądania logowania po podaniu hasła
Przykład dodatkowego żądania logowania po podaniu hasła

Istnieją aplikacje bankowe, które pozwalają na zalogowanie się wyłącznie przez podanie nazwy użytkownika i hasła. Pamiętajmy, że operacje bankowe powinny być również dodatkowo uwierzytelniane. Służy do tego wcześniej skonfigurowany numer telefonu, pozwalający na dodatkową autoryzację SMS lub odciskiem palca. W dzisiejszych czasach to już standard.

Przykład podwójnej prośby SMS dla wykonania operacji bankowej
Przykład podwójnej prośby SMS dla wykonania operacji bankowej


Posiadanie samego hasła jest bardzo złą praktyką. Dlatego, jeśli jeszcze nie włączyłeś dodatkowego zabezpieczenia, zrób to teraz.

BLOG

Zobacz inne nasze artykuły

Wdrożenie Disaster Recovery (DRaaS) –Case Study

Wdrożenie Disaster Recovery (DRaaS) –Case Study

Ciągłość działania firmy to w dużej mierze zapewnienie nieprzerwanego działania systemów informatycznych. Coraz więcej firm decyduje się na wdrożenie rozwiązań typu Disaster Recovery. Dziś nie są one związane z ogromnymi kosztami i można je nabyć w formie usługi...

Korzyści z wdrożenia ISO27001

Korzyści z wdrożenia ISO27001

W artykule przybliżę czym jest norma ISO27001, dlaczego wdrożyliśmy ją w Support Online, a także jakie korzyści przyniosło naszej firmie jej wprowadzenie. Co to jest ISO 27001? ISO27001 jest międzynarodową normą. Została stworzona do stosowania w organizacjach jako...