Sam login i hasło to zbyt mało, gdy w grę wchodzą pieniądze
lub cenne dane. Logowanie wieloskładnikowe dodaje do zabezpieczeń jeszcze jedną
przeszkodę dla cyberprzestępców. Dodatkową warstwę ochrony zapewni nam niepozorny
gadżet, który zawsze możemy mieć przy sobie.
Najstarsi użytkownicy bankowości internetowej pamiętają
jeszcze czasy, gdy możliwość obsługi konta w sieci była nowością. Dostępu do
serwisu transakcyjnego strzegł wówczas zazwyczaj tylko numer klienta i ustalone
przez użytkownika hasło. Banki były jednak jednymi z pierwszych instytucji,
które zdecydowały się na wprowadzenie drugiego poziomu zabezpieczeń. Najpierw
tam, gdzie potwierdza się transakcję, np. przelew, a później również w innych działaniach.
W 2019 r. weszły w życie zmiany w prawie dotyczącym usług
płatniczych, które wymusiły stosowanie uwierzytelniania wieloskładnikowego w
wielu sytuacjach. Idea ta opiera się na wykorzystaniu do potwierdzenia
tożsamości użytkownika jednocześnie co najmniej dwóch elementów z listy:
- Czegoś, co wiemy (np. numeru klienta, hasła).
- Czegoś, co mamy (np. telefonu komórkowego).
- Czegoś, czym jesteśmy (np. odcisk palca).
Mechanizmy używane do silnego uwierzytelnienia powinny być
od siebie niezależne. Utrata lub ujawnienie jednego elementu (np. zgubienie
telefonu) nie powinna wpływać na drugi (np. zapamiętane przez nas hasło). W
ten sposób można lepiej ochronić się przed konsekwencjami chociażby wyłudzeń
danych.
Rachunek podwójnie zabezpieczony
Silne uwierzytelnienie nie jest wymagane przy każdym
logowaniu do bankowości internetowej, ale w niektórych bankach możliwe jest
włączenie logowania dwuskładnikowego, które zapewnia dodatkowe
zabezpieczenie konta. Skorzystanie z tej opcji oznacza, że za każdym razem przy
próbie dostępu do rachunku potwierdzamy operację w wybrany sposób.
„W momencie w którym oszust przejmie nasze dane logowania
do bankowości elektronicznej, czyli login i hasło, bez drugiego składnika
uwierzytelniania (np. potwierdzenia w aplikacji bankowej) nie będzie mógł
zalogować się na nasze konto. Takie podwójne zabezpieczenie pozwala lepiej
chronić nasze pieniądze oraz dane przed cyberprzestępcami” – wskazuje Paulina
Rosłoń, ekspert w Departamencie Cyberbezpieczeństwa Banku Pekao S.A.
Wieloskładnikowe zabezpieczenia działające na takiej
zasadzie spotkać dziś możemy nie tylko w finansach. Korzystają z nich dostawcy
aplikacji internetowych, poczty elektronicznej, a także platformy
społecznościowe. Drugim, obok loginu i hasła, elementem chroniącym konto jest
zazwyczaj jednorazowe hasło generowane przez aplikację (np. Microsoft
Authenticator), potwierdzenie w aplikacji mobilnej chronionej biometrią lub
PIN-em, a czasem także kod wysyłany SMS-em lub mailem. Jedną z coraz szerzej
dostępnych opcji jest także sprzętowy klucz U2F, czyli niewielkie
urządzenie podłączane do portu USB lub komunikujące się bezprzewodowo z
komputerem, lub smartfonem.
Klucz U2F – na jakiej zasadzie działa zabezpieczenie?
Skrót U2F pochodzi od hasła „Universal 2nd Factor”, a więc
nawiązuje do roli, jaką pełni urządzenie. Jest ono drugim poziomem
zabezpieczenia dostępu do konta bankowego lub innych cyfrowych zasobów –
„czymś, co mamy” fizycznie w ręku, podobnie jak np. klucz do zamka w drzwiach. W odróżnieniu od tradycyjnego klucza wymaga on jednak uwierzytelnienia
użytkownika. Rozwiązuje się to poprzez ustalenie numeru PIN podczas pierwszego
użycia albo np. przez rejestrację odcisku palca w bardziej zaawansowanych
modelach.
Klucz sprzętowy U2F wykorzystuje mechanizm kryptografii
asymetrycznej. W uproszczeniu idea ta opiera się na generowaniu unikalnej pary
kluczy szyfrujących – klucza publicznego i klucza prywatnego. Drugi z nich jest
zapisywany bezpiecznie na urządzeniu U2F i nigdy go nie opuszcza. Dane
zaszyfrowane jednym kluczem z pary, odczytać można wyłącznie przy użyciu
drugiego klucza z tego samego zestawu.
Umożliwia to wykorzystanie schematu „wyzwanie i odpowiedź”,
w którym nadawca (np. nasz komputer) prosi odbiorcę (podłączony do niego klucz
USB) o podpisanie swoim kluczem prywatnym porcji informacji („wyzwanie”) i
odesłanie jej z powrotem. Jeśli „odpowiedź” uda się odczytać, to mamy pewność, że w
wymianie danych uczestniczył ten konkretny sprzęt, przechowujący unikalny klucz
prywatny.
Jak wybrać klucz U2F? Ekspert podpowiada
Na rynku dostępnych jest wiele kluczy, o różnych cechach,
funkcjach i cenach. Banki zalecają, by zwrócić uwagę w pierwszej kolejności na
obsługiwane przez urządzenie standardy i wybrać sprzęt spełniający wymogi
FIDO2.
Paulina Rosłoń, ekspert w
Departamencie Cyberbezpieczeństwa Banku Pekao S.A. poleca, aby „przed podjęciem
decyzji dokładnie przeanalizować swoje potrzeby i wymagania, a także zwrócić
uwagę na reputację i opinie producentów kluczy sprzętowych na rynku. Przy
wyborze powinniśmy brać pod uwagę takie aspekty jak:
- przeznaczenie klucza sprzętowego – czy będziemy
go wykorzystywać do użytku osobistego, czy dokonujemy zakupu dla firmy, - rodzaj portu, z którym powinien być kompatybilny
nasz klucz (np. USB-A, USB-C, Lightning, wsparcie dla protokołu NFC), - sposób, w jaki chcemy przechowywać klucz – czy
będzie on przez większość czasu podpięty do komputera, czy chcemy nosić go przy
sobie na breloku, - dodatkowe cechy klucza – np. wodoodporność, odporność na uszkodzenia
fizyczne oraz czy potrzebujemy dodatkowych warstw ochrony – np. czytnika biometrycznego”.
„Zawsze warto uzbroić się w minimum
dwa klucze – podstawowy (używany na co dzień) i awaryjny,
który przyda nam się w przypadku uszkodzenia, zgubienia lub kradzieży klucza
podstawowego” – dodaje ekspertka.
Modele z modułem NFC są nieco droższe niż klucze wyłącznie z
interfejsem USB, ale mogą zainteresować osoby, które korzystają przede
wszystkim z urządzeń mobilnych. Jeśli potwierdzamy operacje wiele razy każdego
dnia, opcja zbliżeniowa okaże się szybsza i wygodniejsza niż podłączanie
klucza.
Klucz sprzętowy w praktyce
Gdy mamy już wybrany sprzęt w ręku, włączenie
wieloskładnikowego logowania z użyciem klucza U2F wymaga zaledwie kilku kroków.
Najpierw musimy sparować klucz z serwisem, w którym będziemy się logować.
Wybieramy odpowiednią opcję w ustawieniach i podłączamy urządzenie do komputera
lub smartfona.
Drugim krokiem jest potwierdzenie dodania klucza, np.
poprzez zatwierdzenie operacji w aplikacji mobilnej. Od tej pory logowanie przebiegać
będzie już w nowy sposób.
Po podaniu loginu i hasła, proszeni jesteśmy o podłączenie
klucza.
W następnym kroku podajemy PIN klucza zabezpieczeń, co
potwierdza, że ze sprzętu korzysta uprawniony użytkownik.
Przy podłączeniu klucza przez USB proszeni jesteśmy jeszcze
o dotknięcie samego urządzenia.
Jeśli korzystamy z klucza z modułem NFC, połączenie odbywa
się poprzez zbliżenie urządzenia do czytnika, np. na pleckach smartfona.
Warto podkreślić, że jeden klucz może być użyty w wielu
aplikacjach. Możemy go wykorzystać nie tylko do wzmocnienia zabezpieczeń
bankowości elektronicznej, ale także chroniąc swoje konta społecznościowe,
rachunki maklerskie, a także np. aplikacje przechowujące hasła i inne wrażliwe
dane (np. LastPass i podobne).
Przed czym chroni klucz U2F?
Wiele schematów oszustw online bazuje na wyłudzeniu
wrażliwych informacji w cyfrowej formie. Najprostszym przykładem jest phishing,
gdzie przestępcy podstępem kierują potencjalną ofiarę na fałszywą stronę
internetową udającą witrynę, np. banku. Tam użytkownik podaje dane do logowania
i trafiają one prosto do oszustów. Kolejnym krokiem może być np. skłonienie
ofiary do zainstalowania oprogramowania na telefonie i przełamanie w ten sposób
drugiego poziomu zabezpieczeń.
„W przypadku ataku phishingowego z wykorzystaniem fałszywej
strony logowania do bankowości elektronicznej, jeśli będziemy korzystać z
funkcji logowania przy użyciu klucza sprzętowego, próba oszustwa zakończy się
fiaskiem przestępcy. Klucz nie będzie bowiem w stanie wykryć połączenia z
fałszywą stroną, na której moglibyśmy omyłkowo chcieć się zalogować” – wskazuje
Paulina Rosłoń.
„Klucz sprzętowy jest zawsze bezpieczniejszym wyborem niż
np. hasła przesyłane w wiadomościach tekstowych. Kod z SMS-a czy e-mail może
zostać wyłudzony przez przestępców w taki sam sposób, jak login i hasło. Nawet
gdy cyberprzestępca uzyska zdalny dostęp do naszego urządzenia i będzie mógł
np. odczytywać nasze SMSy, jeśli sami nie włożymy klucza do portu, nie będzie w
stanie zalogować się na nasze konto bankowe. W przypadku klucza U2F oszust
musiałby mieć do niego fizyczny dostęp” – dodaje ekspertka. Przypomina jednak,
że najważniejszym ogniwem bezpieczeństwa zawsze pozostaje człowiek, jego
świadomość na temat zagrożeń i odporność na socjotechniki stosowane przez
przestępców.
Klucze sprzętowe uznaje się obecnie za jeden z najlepszych
mechanizmów używanych w uwierzytelnieniu wieloskładnikowym. Chociaż nieco
ustępuje on pod względem wygody i wstępnych kosztów innym dostępnym opcjom, to
jest to cena, którą warto zapłacić, gdy w grę wchodzi bezpieczeństwo.
Materiał powstał we współpracy z Bankiem Pekao SA.
0 komentarzy