Możesz zaufać uwierzytelnianiu dwuskładnikowemu, ale niektóre osoby wciąż są nim zirytowane. Oto kilka mitów, w które nie należy wierzyć.
Złożone hasła mogą zabezpieczyć Twoje konta internetowe, ale hakerzy nadal mogą uzyskać dostęp do Twojego konta za pomocą ataków siłowych i technik socjotechnicznych.
Uwierzytelnianie dwuskładnikowe (2FA) wchodzi w grę jako dodatkowy środek bezpieczeństwa. Ponieważ banki przechowują najbardziej wrażliwe dane, jako pierwsze wdrożyły uwierzytelnianie dwuskładnikowe. Od tego czasu usługa została wdrożona na coraz większej liczbie platform, dlatego ważne jest, aby korzystać z tego dodatkowego poziomu ochrony, aby zapewnić bezpieczeństwo kont.
Istnieje jednak kilka argumentów przemawiających za tym, że uwierzytelnianie dwuskładnikowe może tak naprawdę nie zapewniać wyższego poziomu bezpieczeństwa.
Mit: 2FA to gwarancja przed oszustwem
Uwierzytelnianie dwuskładnikowe znacznie utrudnia hakerowi lub złodziejowi włamanie się na Twoje konta internetowe. Nawet jeśli twoje dane logowania zostały naruszone, osoba atakująca nie będzie mogła uzyskać dostępu do twojego konta.
Nie możesz uzyskać dostępu do swojego konta za pomocą samej nazwy użytkownika i hasła. A jednorazowe hasło czasowe (TOTP) zostanie wysłany na adres e-mail lub numer telefonu zarejestrowany na koncie. Podany przez Ciebie kod jest weryfikowany zaraz po wprowadzeniu go do interfejsu. Jeśli jest poprawny, rozpozna Cię jako autoryzowanego użytkownika konta.
Jednak określone narzędzia, w tym oprogramowanie służące do kradzieży sesyjnych plików cookie, mogą służyć do kradzieży kodów OTP. Podobnie, jeśli haker przejął również kontrolę nad Twoją pocztą e-mail i używasz jej do otrzymywania kodów 2FA, może łatwo uzyskać dostęp do innych usług.
Należy zauważyć, że udane obejścia uwierzytelniania dwuskładnikowego (2FA) są stosunkowo rzadkie. Te, które odnoszą sukces, zazwyczaj wiążą się z błędem ludzkim; na przykład możesz dać oszustowi tymczasowe hasło, gdy twierdzi, że go potrzebuje. Jeśli inżynieria społeczna nie działa, hakerzy wykorzystują luki w zabezpieczeniach systemu jako punkt wejścia.
Ogólnie rzecz biorąc, uwierzytelnianie dwuskładnikowe ma solidną historię zabezpieczania kont. Uniemożliwia hakerom niszczenie danych, manipulowanie programami, wysyłanie spamu lub rozpowszechnianie złośliwego kodu. Nie jest to jednak niezawodne.
Mit: Wszystkie metody 2FA są takie same
Chociaż najpopularniejsze są kody tymczasowe oparte na SMS-ach lub wiadomościach e-mail, uwierzytelnianie dwuskładnikowe można również stosować na inne sposoby. Niektóre z tych technik są bezpieczniejsze niż inne.
Na przykład SMS nie jest szyfrowaną formą komunikacji. Zainstaluj aplikację uwierzytelniającą innej firmy i połącz je ze swoim kontem, aby uzyskać tymczasowy kod przez szyfrowane połączenie. Innymi słowy, otrzymasz kod w aplikacji uwierzytelniającej, a nie na zarejestrowany adres e-mail lub numer telefonu — niezależnie od tego, czy masz komórkową transmisję danych, czy połączenie internetowe.
Inną opcją jest użycie fizycznego urządzenia z kodami kryptograficznymi przez USB, Bluetooth lub Near Field Communication (NFC). Korzystanie z renomowanej aplikacji uwierzytelniającej lub tokena sprzętowego, w przeciwieństwie do polegania wyłącznie na kodach opartych na SMS-ach, zapewnia dodatkową warstwę bezpieczeństwa. Tworzy unikalny, oparty na czasie kod dla każdej próby uwierzytelnienia. Następnie system weryfikuje, czy masz fizyczny klucz bezpieczeństwa, kiedy go wprowadzasz.
Kilka aplikacji umożliwia również uwierzytelnienie tożsamości za pomocą twarzy, oczu lub odcisku palca. Na przykład Dashlane—bezpieczny menedżer haseł— pozwala użytkownikom iOS logować się za każdym razem za pomocą FaceID zamiast hasła głównego.
Mit: Uwierzytelnianie dwuskładnikowe jest skomplikowane i czasochłonne
Niektórzy uważają, że 2FA to długotrwały problem, ale zwykle przeprowadzenie uwierzytelniania dwuskładnikowego zajmuje mniej niż minutę. Kod jest wysyłany w ciągu kilku sekund, a ponieważ zależy od czasu, musisz go wprowadzić od razu.
W porównaniu z innymi technikami 2FA oparte na SMS-ach może czasami być wolniejsze, ale mimo to zajmuje to tylko kilka sekund. W najgorszej sytuacji, jeśli nie wpiszesz kodu na czas, być może będziesz musiał poprosić o to ponownie. Ponowne wysłanie może zająć trochę czasu, ale zdarza się to rzadko.
Inne techniki — takie jak zabezpieczenia fizyczne i aplikacje uwierzytelniające — są znacznie szybsze. Korzystanie z uwierzytelniania dwuskładnikowego może być nawet wygodniejsze niż stosowanie haseł.
Czy uwierzytelnianie dwuskładnikowe jest dostępne we wszystkich usługach?
Prawie wszystkie główne platformy obsługują uwierzytelnianie dwuskładnikowe. Nawet firmy mają to skonfigurowane na swoich portalach internetowych dla maksymalnego bezpieczeństwa.
Niektóre starsze lub mniej bezpieczne platformy mogą nie mieć uwierzytelniania dwuskładnikowego, podczas gdy inne mogą mieć alternatywne zabezpieczenia. Google, Apple i Microsoft rozszerzają możliwości logowania bez hasła, ponieważ jest ono zwykle uważane za bezpieczniejsze niż hasła.
