Proste pytania: Co to jest uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa?

W ostatnich latach na pierwszych stronach gazet pojawiła się nowa koncepcja bezpieczeństwa – weryfikacja dwuetapowa lub uwierzytelnianie dwuskładnikowe (2FA). Wszystko zaczęło się od tego, że Google umożliwił to swoim użytkownikom i od tego czasu wiele firm poszło za ich przykładem, w tym Microsoft , Apple i Facebook . Do tego trendu dołączyły nawet firmy zajmujące się grami. Jeśli chcesz zrozumieć, czym jest uwierzytelnianie dwuskładnikowe, jak działa, dlaczego warto je włączyć i gdzie przeczytać ten artykuł:

Co to jest uwierzytelnianie lub weryfikacja dwuetapowa?

Uwierzytelnianie dwuskładnikowe to proces bezpieczeństwa, który obejmuje dwa etapy weryfikacji tożsamości osoby lub podmiotu, który próbuje uzyskać dostęp do dowolnego rodzaju usługi (poczta e-mail, sieci społecznościowe, bankowość itp.). Ta koncepcja jest również nazywana weryfikacją dwuetapową i wymaga co najmniej dwóch z tych trzech czynników uwierzytelniania: czynnika wiedzy, czynnika posiadania i czynnika dziedziczenia.

Tradycyjne uwierzytelnianie obejmuje tylko jeden lub dwa z trzech wymienionych wcześniej czynników. Na przykład, jeśli chcesz korzystać z usługi takiej jak poczta e-mail, tradycyjne uwierzytelnianie wymaga znajomości nazwy użytkownika i hasła. Wiedza(Knowledge) może zostać skradziona na różne sposoby, a ludzie mogą znaleźć zarówno Twoją nazwę użytkownika, jak i hasło, a następnie wykorzystać te informacje do podszycia się pod Ciebie lub ukraść cenne informacje, które mogą zostać użyte do wyrządzenia Ci krzywdy.

Login Spotify: wymagana jest nazwa użytkownika i hasło

W realnym świecie tradycyjna weryfikacja może obejmować czynnik wiedzy i czynnik posiadania. Na przykład, kiedy idziesz do bankomatu(ATM) po gotówkę, używasz karty debetowej lub kredytowej (czynnik posiadania) i PIN (czynnik wiedzy). Jednak zarówno kod PIN(PIN) , jak i dane karty kredytowej mogą zostać skradzione na różne sposoby, a osoby nieupoważnione mogą dokonywać transakcji online za pomocą Twoich pieniędzy. Dlatego właśnie opracowano koncepcję 3D Secure , aby zapewnić dodatkową warstwę bezpieczeństwa dla transakcji dokonywanych online kartami kredytowymi i debetowymi.

Przy korzystaniu z weryfikacji dwuetapowej w cyfrowym świecie dodawany jest trzeci czynnik: czynnik posiadania – zwykle smartfona lub telefonu komórkowego. To urządzenie służy do drugiego etapu weryfikacji Twojej tożsamości. Na przykład, gdy logujesz się na swoje konto e-mail, najpierw podajesz swoją nazwę użytkownika i hasło. Następnie zostaniesz poproszony o podanie hasła czasowego, które wygasa za kilka sekund. To hasło można wysłać na konto e-mail, smartfon lub wygenerować za pomocą aplikacji uwierzytelniającej, takiej jak Google Authenticator lub Microsoft Authenticator .

Jak działa uwierzytelnianie dwuskładnikowe

Niektóre firmy i usługi zapewniają również fizyczne urządzenia uwierzytelniające, które w sposób ciągły generują kody potrzebne do sfinalizowania procesu weryfikacji. Na przykład wiele banków udostępnia urządzenia fizyczne do weryfikacji dwuetapowej, dzięki czemu można uzyskać dostęp do konta bankowego online. PayPal robi to również w wielu krajach, w tym w USA .

Jak działa uwierzytelnianie dwuskładnikowe?

Istnieje wiele implementacji uwierzytelniania dwuetapowego i nie będziemy omawiać ich wszystkich szczegółowo, ponieważ ten artykuł stałby się bardzo długi.

Najpopularniejszą implementacją jest podejście Google oparte na (Google)algorytmie TOTP - Time-based One-time Password Algorithm(TOTP - Time-based One-time Password Algorithm) . Gdy weryfikacja dwuetapowa jest włączona dla Twojego konta, specjalny serwer generuje nowe hasło/kod raz na kilka sekund. Urządzenie udostępniające Ci hasło musi być zsynchronizowane z serwerem, aby kod wprowadzony podczas drugiego etapu uwierzytelniania był zgodny z kodem na serwerze. Jeśli urządzenie udostępniające hasło nie jest zsynchronizowane, nie możesz ukończyć weryfikacji swojej tożsamości.

Ten algorytm jest najpopularniejszym algorytmem znalezionym w Internecie. Korzysta z niego wiele firm, w tym Google , Microsoft , Apple , Facebook , Evernote , Dropbox , WordPress , MailChimp i LastPass .

Aby ułatwić Ci zrozumienie, jak działa uwierzytelnianie dwuskładnikowe, weźmy na przykład Fortnite , popularną grę online, w którą gra wiele osób. Po skonfigurowaniu uwierzytelniania dwuskładnikowego (2FA) dla swojego konta Epic Games((2FA) for your Epic Games) (twórców Fortnite ), nie wystarczy już tylko podać swoją nazwę użytkownika i hasło, aby się zalogować. Aby móc aby to zrobić.

Podanie kodu 2FA w celu zalogowania się na konto Fortnite (Epic Games)

Dodatkowe hasło jest tymczasowe i tylko Ty je znasz. Nikt inny nie powinien być w stanie go znaleźć, ponieważ ten kod można uzyskać tylko z aplikacji uwierzytelniającej (takiej jak Google Authenticator ) lub z wiadomości e-mail otrzymanej od Epic Games . Kody uwierzytelniania dwuskładnikowego zmieniają się co kilka sekund, więc powinny być prawie niemożliwe do odgadnięcia.

Aplikacja Google Authenticator na smartfonie

Jeśli podasz poprawny dwuskładnikowy kod uwierzytelniający, zalogujesz się na swoje konto Fortnite . Przez kolejne 30 dni nie musisz podawać kodów 2FA na urządzeniu, na którym się już logowałeś. Jednak pod koniec 30 dni lub w przypadku próby zalogowania się z nowego urządzenia, musisz podać ponownie ważne hasło 2FA.

Uwierzytelnianie dwuskładnikowe w sektorze bankowym

Innym popularnym podejściem jest podejście stosowane przez banki i dostawców kart kredytowych. Nazywa się 3-D Secure i służy do zatwierdzania transakcji finansowych dokonywanych online. Ta metoda dwuetapowej weryfikacji obejmuje trzy podmioty: domenę sprzedawcy lub banku, do którego wpłacane są pieniądze, domenę banku wydającego używaną kartę oraz infrastrukturę obsługującą protokół 3D.

Hasło jednorazowe wymagane przez bank w celu uzyskania dostępu do jego usług online

Protokół ten wykorzystuje wyłącznie bezpieczne połączenia SSL do dokonywania transakcji online, a do zatwierdzenia transakcji potrzebne jest specjalne hasło wraz z imieniem i nazwiskiem oraz danymi karty kredytowej. To hasło może być tymczasowe i oparte na czasie lub może być stałe i ustawione przez Ciebie, użytkownika. Innym ważnym aspektem jest to, że to hasło nie jest przechowywane przez akceptanta ani bank, do którego wpłacane są pieniądze. Hasło jest znane tylko serwerom udostępniającym infrastrukturę dla protokołu 3D. Dlatego też, jeśli sprzedawca zostanie zhakowany, hakerzy nie będą mogli uzyskać Twojego hasła 3-D Secure.

Dlaczego potrzebujesz uwierzytelniania dwuskładnikowego?

Głównym powodem, dla którego powinieneś używać weryfikacji dwuetapowej, jest ochrona siebie. Korzystając z tej dodatkowej warstwy ochrony, utrudniasz niepożądanym stronom dostęp do Twojej tożsamości online i kradzież danych osobowych lub finansowych.

Używając 3-D Secure do transakcji finansowych, utrudniasz hakerom kradzież pieniędzy. Kopiowanie danych karty jest dla nich łatwe, ale będą mieli trudności z uzyskaniem hasła 3-D Secure.

Kiedy należy używać uwierzytelniania dwuskładnikowego?

Dodanie dodatkowego kroku uwierzytelniania jest denerwujące dla wszystkich, ale konieczne, aby zachować prywatność naszych kont i danych. Zdecydowanie zalecamy włączenie i używanie weryfikacji dwuetapowej przynajmniej dla następujących typów usług:

  • E-mail — Twoja Skrzynka Odbiorcza(Inbox) przechowuje największą ilość danych osobowych ze wszystkich Twoich kont internetowych. Ludzie mogą szpiegować Twoją historię poczty e-mail, poznać nazwę użytkownika kont bankowych i PayPal , dowiedzieć się więcej o Twojej pracy, związkach i wielu innych ważnych szczegółach. Zabezpieczenie skrzynki odbiorczej to pierwsza rzecz, którą powinieneś zrobić.
  • Bankowość online i transakcje finansowe(Online banking & financial transactions) - jeśli korzystasz z bankowości internetowej, jeśli kupujesz rzeczy w Amazon , eBay lub innych sklepach internetowych, musisz zabezpieczyć swoją kartę kredytową lub debetową. Zapytaj swój bank o zabezpieczenie 3-D i oferowane przez niego opcje weryfikacji dwuetapowej, włącz je i korzystaj z nich.
  • Przechowywanie haseł(Storing your passwords) — wiele osób dbających o bezpieczeństwo korzysta z usług takich jak LastPass , Roboform czy KeePass . Ich zabezpieczenie jest kluczowe. Jeśli twoje hasło do konta zostanie skradzione, nieupoważnione osoby mają dostęp do wszystkich twoich haseł i mogą wyrządzić ci wiele szkód.
  • Serwisy społecznościowe(Social Networking) — wszyscy przechowujemy wiele danych osobowych w serwisach społecznościowych, takich jak Facebook , Twitter czy Instagram . Jeśli inni uzyskają dostęp do Twoich danych, mogą znaleźć wiele rzeczy, które wolałbyś zachować w tajemnicy. Na przykład, jeśli masz zazdrosnego partnera, może on już znać Twoje hasło do Facebooka(Facebook) i pilnować, co robisz. Chroń się i włącz uwierzytelnianie dwuskładnikowe.

Dwuetapowa weryfikacja konta Gmail

Jak włączyć uwierzytelnianie dwuskładnikowe dla najważniejszych kont

Ogólnie rzecz biorąc, włączenie uwierzytelniania dwuskładnikowego oznacza, że ​​musisz zalogować się na swoje konto online i przejść do ustawień hasła i zabezpieczeń. Następnie, jeśli możesz użyć uwierzytelniania dwuskładnikowego dla swojego konta, powinieneś znaleźć odpowiednią opcję. Jeśli 2FA jest dostępne, włączenie go oznacza wykonanie kilku kroków, w których wybierasz preferowaną metodę (zazwyczaj jest to uwierzytelnianie za pośrednictwem poczty e-mail lub aplikacji uwierzytelniającej na smartfonie). Aby pomóc Ci we włączaniu i korzystaniu z uwierzytelniania dwuskładnikowego, opublikowaliśmy kilka przewodników, które obejmują niektóre z najpopularniejszych usług online:

Ponadto, jeśli szukasz łatwego sposobu na wdrożenie uwierzytelniania dwuskładnikowego we własnej firmie, oto krótki artykuł na temat korzyści płynących z doskonałego rozwiązania tego rodzaju: 7 rzeczy, które możesz zrobić dzięki ESET Secure Authentication(7 things you can do with ESET Secure Authentication) .

Czy włączyłeś uwierzytelnianie dwuskładnikowe na wszystkich swoich kontach?

Mamy nadzieję, że ten przewodnik okazał się przydatny. Jeśli masz jakiekolwiek pytania lub problemy ze zrozumieniem, jak działa weryfikacja dwuetapowa, nie wahaj się zostawić komentarza poniżej.



About the author

Jestem inżynierem oprogramowania z ponad 10-letnim doświadczeniem w branży Xbox. Specjalizuję się w tworzeniu gier i testowaniu bezpieczeństwa. Jestem także doświadczonym recenzentem i pracowałem nad projektami dla największych nazwisk w branży gier, w tym Ubisoft, Microsoft i Sony. W wolnym czasie lubię grać w gry wideo i oglądać programy telewizyjne.



Related posts