W naszych publikacjach wielokrotnie podkreślaliśmy, że konta zabezpieczone wyłącznie hasłem
należy traktować jako niezabezpieczone. Współczesne zagrożenia związane z cyberprzestępczością i wykorzystywanie coraz bardziej zaawansowanych technik włamań wymagają bardziej zaawansowanych strategii obronnych. Jednym z kluczowych narzędzi w walce o bezpieczeństwo cyfrowe jest uwierzytelnianie dwuskładnikowe.
Co to jest uwierzytelnianie dwuskładnikowe?
Uwierzytelnianie dwuskładnikowe (MFA) to metoda zabezpieczania kont, która wymaga od
użytkownika przedstawienia dwóch różnych rodzajów dowodów tożsamości. Oba te elementy, choć dostarczane przez użytkownika w celu potwierdzenia tożsamości, są niezależne od siebie, co znacznie utrudnia przechwycenie dostępu przez osoby niepowołane.
Dominujące rozwiązanie w obszarze MFA to uwierzytelnianie przy użyciu SMS-ów. To rozwiązanie,
mimo że lepsze niż brak zabezpieczeń, nie zapewnia pełnego bezpieczeństwa.
Dlaczego?
Korzystanie z SMS-ów jako elementu uwierzytelniania jest praktykowane od lat i stanowi dodatkową warstwę bezpieczeństwa dla Twoich kont. Jednak posiada poważną wadę – SMS-y mogą zostać przechwycone przez hakerów lub inne złośliwe podmioty.
Wielu użytkowników korzysta z opcji wyświetlania powiadomień na zablokowanym ekranie.
Rozwiązanie to, chociaż wygodne, umożliwia bardzo łatwe podejrzenie i wykorzystanie przesłanego hasła.
Ponadto przy tym typie zabezpieczenia wystarczy wyjąć kartę SIM i przełożyć ją do innego
smartfona, żeby otrzymać dostęp do kodów. W ekstremalnych przypadkach przestępcy mogą
wyłudzić od operatora mobilnego nową kartę SIM i tym samym zyskać dostęp do powiadomień,
które będą przychodziły na nową kartę, a pierwotny właściciel zostanie pozbawiony dostępów do
wszystkich aplikacji.
Kolejną wadą takiego zabezpieczenia jest fakt, że SMS-y z hasłami mogą zostać przechwycone przez ukrytego w smartfonie trojana lub przechwycone przez podstawową lukę w protokole SS7
używanym do przesyłania wiadomości.
W świecie cyberprzestępczości obowiązuje zasada, że każde raz przeprowadzone przestępstwo,
nawet jeśli wymaga bardzo dużo czasu oraz zaawansowanych umiejętności technicznych, jest
łatwe do powtórzenia. Biorąc pod uwagę tę prawidłowość możemy założyć, że przechwycenie
naszych powiadomień SMS nie stanowi dla przestępców wyzwania.
Co zamiast SMSów?
Na szczęście istnieje bardziej zaawansowane rozwiązanie, które stanowi znacznie bezpieczniejszą alternatywę. Jeśli planujesz zwiększyć swoje cyberbezpieczeństwo w 2023 roku, powinieneś korzystać z uwierzytelniania opartego na aplikacji mobilnej, takiej jak Microsoft Authenticator.
Co to jest Microsoft Authenticator?
Mówiąc najprościej, jest to aplikacja mobilna, która pozwala na wprowadzenie dodatkowej
warstwy ochronnej za pomocą jednorazowych kodów autoryzacji. Microsoft zdecydowanie rekomenduje tę opcję uwierzytelniania dwuskładnikowego, w której używa się danych logowania oraz dopasowuje liczby za pomocą aplikacji uwierzytelniającej, a nie kodów SMS.
Dzięki generowanemu sześciocyfrowemu kodowi w bezpieczny sposób uwierzytelnisz swoją
tożsamość podczas logowania się do takich usług jak bankowość, email, media społecznościowe itp. Aplikacja umożliwia również logowanie bez hasła na Twoim urządzeniu, a także bez połączenia z internetem oraz dostępu do sieci komórkowej.
Jak korzystać z uwierzytelniania z pomocą Microsoft Authenticator?
Korzystanie z Microsoft Authenticatora jest stosunkowo proste. Po pobraniu aplikacji, użytkownik
synchronizuje ją z usługami, w których chce korzystać z dwuskładnikowej weryfikacji. Następnie, po wprowadzeniu danych uwierzytelniających, aplikacja generuje sześciocyfrowe kody, które
użytkownik wprowadza podczas logowania.
Pobierz aplikację uwierzytelniającą
Aplikację Microsoft Authenticator możesz łatwo pobrać z dowolnego sklepu z aplikacjami na
urządzenie mobilne. Po pobraniu zainstaluj ją.
Wprowadź swoje dane uwierzytelniające
Zsynchronizuj aplikację z serwisami, w których chcesz korzystać z dwuetapowej weryfikacji.
Wprowadź swoje poświadczenia w wybranej aplikacji, aby uruchomić MFA.
Pojawi się numer.
Otwórz aplikację uwierzytelniającą
Po otwarciu aplikacji zostanie wygenerowany automatycznie kod, ważny przez 30 sekund.
Dopasuj numer
Dopasuj numer z ekranu do numeru w aplikacji, by potwierdzić swoją tożsamość.
Uwaga! Jeśli wdrażasz uwierzytelnianie wieloskładnikowe, upewnij się, że opiera się ono na
dopasowywaniu numerów, a nie tylko na naciśnięciu przycisku po otrzymaniu powiadomienia.
Uwierzytelnianie jest skuteczniejsze, gdy wymaganych jest więcej czynności.
Dlaczego warto wybrać uwierzytelnianie oparte na aplikacji?
Zwiększone bezpieczeństwo: Aplikacja generuje jednorazowe, sześciocyfrowe kody autoryzacyjne, które są ważne przez ograniczony
Możliwość logowania bez hasła: Aplikacja umożliwia logowanie się na konto bez konieczności
podawania hasła. To dodatkowa warstwa ochrony przed przechwyceniem haseł.
Łatwa konfiguracja z kodem QR
Obsługa wielu dostawców i różnych kont
Możliwość przenoszenia kont między urządzeniami
Aplikacja umożliwia też utworzenie kopii zapasowej poświadczeń konta w chmurze, a następnie, w razie potrzeby, np. utraty telefonu, łatwy i bezpieczny transfer na nowe urządzenie (przy czym należy pamiętać o właściwym zabezpieczeniu smartfona).
Jeśli nadal korzystasz z SMS-ów, powinieneś poważnie rozważyć migrację MFA do
aplikacji. Potrzebujesz wsparcia? Umów się z nami na konsultację.