Zastanawialiście się kiedyś, jak najlepiej zabezpieczyć konto na Instagramie, Facebooku czy LinkedIn? Kluczem bezpieczeństwa! Ten artykuł nie jest reklamą, choć w sumie może sprawiać takie wrażenie. Jest rozbudowaną wersją naszej odpowiedzi na pytania klientów dotyczące najlepszej metody zabezpieczenia kont social media. W swojej karierze testowaliśmy, na sobie i klientach, co najmniej 5 różnych dostępnych na rynku metod zabezpieczenia kont w internecie. Prowadziliśmy też sprawy dla osób, które miały założone uwierzytelnianie dwuskładnikowe, a mimo to straciły swoje konta w social media. Zebraliśmy w tym artykule nasze doświadczenia związane z metodami zabezpieczenia dwuskładnikowego oraz ich wadami i zaletami. Opisaliśmy też kilka ciekawych przypadków, w których klucz bezpieczeństwa okazał się… kluczowy!
Czym jest uwierzytelnianie dwuskładnikowe?
Zacznijmy od podstaw. Uwierzytelnianie dwuskładnikowe to dodanie do naszego logowania kolejnego, po haśle i mailu, składnika potwierdzającego naszą tożsamość. Powoduje to, że w procesie logowania, po podaniu loginu i hasła, trzeba wykonać jeszcze jedną, skonfigurowaną wcześniej czynność. Metod uwierzytelniania może być kilka. Te najczęściej spotykane to:
– kod przysłany SMS-em,
– aplikacja uwierzytelniająca generująca kody jednorazowe.
Mniej spotykane metody uwierzytelniania dwuskładnikowego to:
– zatwierdzenie za pomocą innego urządzenia,
– zatwierdzenie za pomocą innej aplikacji np. bankowej,
– zatwierdzenie biometryczne: skan twarzy lub odcisków palca,
– fizyczny klucz bezpieczeństwa.
To jaka metoda jest dostępna zależy zazwyczaj od portalu, na który się logujemy, więc nie da się jednoznacznie określić, czy istnieje jedna uniwersalna metoda uwierzytelniania dwuskładnikowego. Pewne jest jedno, chwilę przed przejściem przez drugą metodę logowania zawsze musicie podać login i hasło lub pin do portalu lub aplikacji, do której się logujecie.
Czemu SMS nie jest dobrą metodą uwierzytelniania dwuskładnikowego?
Najczęściej wykorzystywaną metodą uwierzytelniania dwuskładnikowego jest kod SMS. Kod taki jest generowany przez system portalu i wysyłany na numer, który podawany był przy zakładaniu konta. O ile w przypadku banków kody zazwyczaj docierają (choć coraz częściej zastępuje je aplikacja bankowa), o tyle w przypadku portali społecznościowych głównym problemem z kodami bezpieczeństwa SMS jest to, że nie docierają one wtedy, kiedy najbardziej ich potrzebujemy. Szczególnie często ma to miejsce w przypadku Facebooka i Instagrama. Pomagaliśmy z kilkoma blokadami konta , które spowodowane były tym, że SMS z kodem nie docierał do klienta. Problemem, o który nie mówi się głośniej, jest też to, że hakerzy potrafią złamać kod wysyłany przez META w SMS-ie. W swojej pracy analizowaliśmy kilkadziesiąt skutecznych włamań, gdzie ofiara włamania miała ustawione uwierzytelnianie dwuskładnikowe SMS na Facebooku czy Instagramie.
Czy aplikacja uwierzytelniająca chroni skutecznie przed włamaniami?
Jeśli nie SMS, to drugą opcją najczęściej dostępną w portalach jest zewnętrzna aplikacja uwierzytelniająca. Dwie najpopularniejsze na rynku to Google Authenticator oraz Duo Mobile. Problem w tym, że kody 2FA wygenerowane przez te aplikacje nie chronią w 100% przed phishingiem. Po pierwsze kody mogą być podane przez niczego nieświadomego użytkownika na stronie „podłożonej” przez przestępców. Po drugie istnieje możliwość zainfekowania telefonu, na którym zainstalowana jest taka aplikacja. To realnie jednak rzadsze przypadki. Wiecie, co może być o wiele poważniejszym problemem? Na przykład przypadek naszego klienta, który… telefon z aplikacją utopił w jeziorze. Aplikacja nie była zainstalowana na żadnym innym telefonie, klient nie miał też żadnych kodów zapasowych. Z tego powodu nie był się w stanie zalogować do swojego konta prywatnego, które było jedyny administratorem strony firmowej na Facebooku. Czy da się coś zrobić z tym fantem? Nic! Podobnie w przypadku zniszczenia telefonu.
Czym jest klucz bezpieczeństwa i jak działa?
Alternatywą, którą polecamy klientom chcącym raz na zawsze wykluczyć możliwość jakiegokolwiek problemu z logowaniem i bezsensownymi blokadami, radzimy zakup kluczy bezpieczeństwa U2F zgodnych ze standardem FIDO. W tym miejscu warto rozszyfrować skrót FIDO, z którym możecie spotkać się kupując klucz. FIDO znaczy dosłownie Fast IDentity Online. Jest to sposób logowania się do kont w internecie bez używania tradycyjnych haseł. Nad spełnianiem wysokich standardów FIDO czuwa FIDO Alliance, o którym opowiemy na końcu wpisu. Klucze takie są jak na razie jedyną znaną nam metodą, która nie jest podatna na ataki hakerskie. Dlaczego? Pierwszym powodem jest to, że informacje potrzebne do zalogowania się są generowane bezpośrednio na kluczu. Nie ma żadnej aplikacji generującej kody (choć mając klucz możecie z niej korzystać, o tym zaraz) a całość odbywa się za pośrednictwem urządzenia wielkości pendrive. Drugim powodem jest fakt, że do zalogowania potrzebne jest dotknięcie specjalnego pola na kluczu. Zakładając, że hakerowi uda się złamać kod klucza (co jest niemożliwe) to i tak nie jest on w stanie dotknąć go w odpowiednim momencie. To wyjście w świat „offline”, sprawia że klucze U2F są najlepszym dostępnym rozwiązaniem, jeśli chodzi o uwierzytelnianie dwuskładnikowe.
Co jeśli ktoś ukradnie klucz bezpieczeństwa U2F?
Oczywiście istnieje możliwość, że ktoś wykradnie Wasz klucz. Co wtedy? Żeby się zalogować złodziej ciągle potrzebuje loginu i hasła. Przyznacie, że serio musiałaby to być osoba, która będzie bardzo zawzięta. A zawsze możecie przygotować jej dodatkową niespodziankę – pin do klucza, który trzeba znać, żeby zalogować się np. do konta Google czy Facebook.
Jaki klucz bezpieczeństwa wybrać?
Na rynku dostępnych jest kilka różnych marek kluczy. Zerknijmy na zestawienie najpopularniejszych marek oraz średnich cen za taki sprzęt:
Thetis Fido U2F – cena około 280 zł (klucze jest w tej chwili ciężko kupić w Polsce)
Kensington VeriMark IT – cena około 280 zł (klucz ten posiada czytnik linii papilarnych)
OnlyKey – dostępny tylko w zagranicznych sklepach w cenie około 55$ – (klucz nie ma funkcji NFC)
Feitian MultiPass FIDO – około 280 zł (klucz rekomendowany jest przez Google w procesie włączania ochrony zaawansowanej, jednak ciężko go kupić)
Google Titan Security Key – dostępny tylko w zagranicznych sklepach w cenie około 30$
YubiKey 5 Series – cena około 260 zł
W naszej firmie, od mniej więcej 4 lat, testujemy możliwości, jakie oferuje YubiKey. Do pewnego momentu rozważaliśmy testowy zakup Google Titan Security Key. Jednak doniesienia o tym, że niektóre klucze Google Titan kupowane z oryginalnego źródła zawierają malware, czyli złośliwe oprogramowanie, skutecznie nas zniechęciły. Skoro jednak mowa o zagrożeniach, warto dowiedzieć się, jak ich unikać już na samym początku!
Jak sprawdzić, czy klucz bezpieczeństwa jest oryginalny?
Przy każdym zakupie sprawdzamy oczywiście, czy klucz jest oryginalny. W tym celu używamy specjalnej strony – w naszym przypadku będzie to YubiKey Verification. Jeśli boicie się, że klucz jakimś cudem zawiera złośliwe oprogramowanie czy wirusa, który może zainfekować Wasz komputer, to mamy dla Was podpowiedź. Wspomnianą stronę odwiedźcie z urządzenia mobilnego, a klucz zweryfikujcie przez NFC. Pamiętajcie także, że klucz zawsze powinien przyjść do Was w oryginalnym opakowaniu. Jeśli jest ono naruszone lub nie wygląda jak oryginalne, zwróćcie klucz dostawcy. Tu sprawdzicie, jak wyglądać powinno oryginalne opakowanie YubiKey. Dodatkowo rekomendujemy zakup kluczy tylko z zaufanych źródeł! Odpadają wszelkie aukcje i zakup z drugiej ręki. Specjaliści od bezpieczeństwa rekomendują także konfigurowanie dwóch kluczy bezpieczeństwa (to trochę jak z zapasowymi kluczami od mieszkania). Producenci i sklepy online wyczuły potrzeby klientów – klucze często możecie kupić w promocyjnych ofertach po dwa w zestawie.
Klucz bezpieczeństwa w Facebooku i Gmailu
Klucz bezpieczeństwa, w klasycznej formie, czyli za pośrednictwem portu USB, wykorzystacie najczęściej do logowania się na Facebooku lub Gmailu. Zabezpieczenie założycie w Centrum kont na Facebooku oraz w zakładce „Bezpieczeństwo” na koncie Google. Warto przy tym zwrócić uwagę, że w przypadku Google klucze skonfigurujecie w tej samej zakładce, w której tworzy się klucze dostępu. Po konfiguracji, logując się na nowym urządzeniu, po wpisaniu loginu i hasła, wkładacie klucz do portu USB komputera, podajecie pin i w momencie pojawienia się prośby na ekranie dotykacie „przycisku” na kluczu. Co ważne, w przypadku Facebooka jest to czasem jedyna działająca metoda logowania dwuskładnikowego. Było tak na przykład podczas globalnej awarii Facebooka w marcu 2024 roku. Kiedy pół Polski wchodziło na Downdetector, do logujących nie docierały SMS-y, a META „nie widziała” ani kodów z aplikacji, ani zapasowych, nasi klienci po prostu logowali się ponownie używając kluczy. Pewność logowania, którą dają klucze, pozwoli uniknąć sporych stresów. Dlaczego? Opowiemy Wam o tym na przykładzie ciekawego problemu, który rozwiązaliśmy dla klienta.
Jak użyć klucza bezpieczeństwa na smartfonie?
Na FB możecie mieć ustawione aż 3 różne metody uwierzytelniania dwuskładnikowego na raz. Są to: SMS, aplikacja i klucz bezpieczeństwa. Warto wiedzieć, że równoczesne zainstalowanie aplikacji uwierzytelniającej w niektórych przypadkach „blokuje” klucz w wersji desktop (logowanie na komputerze) i jako główną metodę traktuje aplikację. Podajemy kod z aplikacji i… błąd logowania! To oczywiście standardowe niedopatrzenie w wykonaniu developerów Facebooka. Co zrobić w takim wypadku? Jeśli jesteście zalogowani w aplikacji mobilnej Facebook, to rozwiązaniem będzie przejście do „Centrum Kont” w wersji mobilnej i usunięcie aplikacji z metod uwierzytelniania. Pamiętajmy, że po założeniu uwierzytelniania, przy każdym wejściu do newralgicznych miejsc w „Centrum Kont” oraz do „Portfolio Firmowego” (nazywanego do kwietnia 2024 Business Managerem) musicie odklikać wybraną metodę uwierzytelniania dwuskładnikowego (nie podajecie loginu i hasła, bo jesteście już zalogowani). Jak zatem dostać się do „Centrum Kont”, skoro aplikacja odmawia współpracy? Z pomocą przychodzi NFC, które zainstalowane jest w niektórych modelach kluczy (np. YubiKey 5 Series). To protokół zbliżeniowy, którego używać możecie np. podczas korzystania z płatności telefonem, np. Portfelem Google. Dzięki temu zalogujecie się do „Centrum Kont” i rozwiążecie problem z logowaniem na komputerze. Po prostu wyłączycie aplikację jako metodę uwierzytelniania i równocześnie pozostawicie aktywny klucz bezpieczeństwa.
NFC nie działa lub nie widzi klucza bezpieczeństwa
Warto zauważyć, że NFC na starszych modelach smartfonów czasem nie reaguje na przyłożenie klucza. Jak rozwiązać ten problem? Wystarczy, że macie klucz z końcówką USB-C, który wetkniecie przez slot do ładowarki. System potraktuje Wasz klucz tak jak na komputerze. Jeśli nie macie takiej końcówki, to… możecie użyć przejściówki z UCB-C na klasyczne USB. Obie metody działają, sprawdziliśmy! Podobnie zrobić możecie w przypadku aplikacji autoryzacyjnej, która jest zamknięta kluczem.
Klucz dostępu a klucz bezpieczeństwa NFC
Przy okazji warto wyjaśnić jeszcze jeden szczegół. Logując się na smartfonie do „Centrum Kont” lub innego miejsca związanego z bezpieczeństwem kont, możecie napotkać na komunikat o użyciu klucza dostępu. Klucz taki możecie ustawić dla urządzeń korzystających z konta Google. Ten moment wprowadza wśród naszych klientów wiele konfuzji. Spokojnie! Chodzi o klucz dostępu Google, o którym pisaliśmy wcześniej. Żeby skorzystać z fizycznego klucza bezpieczeństwa musicie w tym miejscu wybrać opcję „Użyj innego urządzenia”. Wtedy odpalicie menu, w którym do wyboru będziecie mieli klucz bezpieczeństwa NFC lub klucz bezpieczeństwa USB. Jak zachować się w takiej sytuacji wyjaśniliśmy w poprzednim akapicie.
Jak użyć YubiKey na Instagramie i LinkedIn?
Co jednak, jeśli portal/aplikacja, której używacie, nie ma możliwości podłączenia klucza bezpieczeństwa? Z tych najpopularniejszych portali/aplikacji opcji takiej nie znajdziecie np. na LinkedIn czy Instagramie. Co zrobić w takim przypadku? Z pomocą przychodzi… aplikacja uwierzytelniająca! Wiemy, że jeszcze przed momentem Wam ją odradzaliśmy. Co jednak jeśli aplikacja współpracuje z kluczem bezpieczeństwa? Możliwość taką oferuje np. wspomniany w tym artykule model YubiKey 5 Series lub OnlyKey. My opiszemy przypadek Yubi, który współpracuje z darmową aplikacją Yubico Authenticator. Możecie ją pobrać zarówno na smartfony z Androidem, jak i iOS. Niech nie zrażają Was niskie oceny. Większość z nich pochodzi z czasów, kiedy aplikacja serio do niczego się nie nadawała. Jej ostatnia wersja zaskakuje stabilnością i jest świetnym sejfem na kody bezpieczeństwa. W tym wypadku logując się do Instagrama podajecie login i hasło, a następnie kod bezpieczeństwa. Co 60 sekund zobaczycie w aplikacji nowy jednorazowy kod. Aby zobaczyć listę kodów, trzeba przyłożyć do NFC smartfona klucz lub wpiąć go we wtyczkę USB. Tak skonfigurowana aplikacja rozwiązuje jeden bardzo poważny problem, o którym wiele osób nie myśli. Jaki?
Yubico Authenticator
Yubico Authenticator parujecie z kluczem nie ze smartfonem. To podstawowa różnica. Dzięki temu, w przypadku zgubienia lub uszkodzenia smartfona, możecie dotrzeć do swoich kodów nawet na innym telefonie. Wystarczy mieć klucz powiązany z aplikacją. Co jeśli go nie macie? W tym wypadku przypomnijcie sobie naszą wcześniejszą poradę, czyli zakup dwóch kluczy. Dowolnym z kluczy jesteście w stanie odblokować aplikację Yubico Authenticator nawet na najstarszych smartfonach. W ramach testów wygrzebaliśmy z szuflady Samsung Galaxy S8. Wystarczyło zainstalować na nim aplikację, włączyć NFC i przyłożyć klucz do telefonu. Kody w aplikacji na tym i na aktualnie używanym smartfonie pokrywały się 1:1.
Ochrona zaawansowana Google
Omawiając szczegóły ustawień, warto wspomnieć o programie zaawanasowanej ochrony Google. Jest to opcja dla osób, które szczególnie chcą chronić swoje konto Google. Przeznaczona jest ona tylko dla posiadaczy fizycznych kluczy bezpieczeństwa. Co ciekawe sam Google zaleca, by jeden z kluczy był wyposażony w funkcję NFC. Co to daje, poza dodatkowym zabezpieczeniem kluczami (które możecie także włączyć jako „zwykłą” metodę uwierzytelniania dwuskładnikowego)? Program ochrony zaawansowanej Google ogranicza możliwość pobierania podejrzanych plików przez Chrome oraz instalacji niezatwierdzonych przez Google aplikacji. W praktyce może to być dość kłopotliwe, szczególnie jeśli pobieracie pliki z zewnętrznych hostingów, jak fikper.com czy twojplik.to.
YubiKey i inne klucze bezpieczeństwa a logowanie do konta w banku
Klienci, którzy rozważają zakup klucza, często pytają nas, czy może służyć on do czegoś więcej niż zabezpieczenie kont w social media i poczty. Oczywiście pierwszym, co przychodzi im do głowy, jest konto w banku. W Polsce na razie na wprowadzanie takiego zabezpieczenia do kont zdecydowały się Banki Spółdzielcze pracujące na systemie Novum Bank Enterprise oraz ING. Z naszych informacji wynika, że kilka zagranicznych banków (np. Boursorama we Francji czy Marchfelder Bank w Niemczech) oferuje taką możliwość.
Dodanie klucza bezpieczeństwa w banku ING
Tak jak wspomnieliśmy, w Polsce opcję logowania kluczami bezpieczeństwa oferuje m.in. bank ING. Jeśli macie swój klucz bezpieczeństwa, to do konta ING możecie dodać go w zakładce Ustawienia / Bezpieczeństwo / Dostęp do bankowości / Klucze zabezpieczeń U2F. To jednak nie wszystko! Żeby klucz był sparowany z kontem, musicie go potwierdzić w placówce banku. W tym celu musicie umówić spotkanie z pracownikiem banku i zabrać na nie ze sobą klucze (ING, podobnie jak my, rekomenduje posiadanie 2 kluczy bezpieczeństwa) oraz dowód osobisty. Jeśli macie dwa identyczne klucze, to oznaczcie je naklejką lub napisem – to bardzo istotne, żeby ich nie pomylić. Resztę wykona za Was pracownik banku, Wy będziecie musieli tylko podpisać się na ekranie dotykowym. Pamiętajcie, że od tej pory do swojego konta w banku zawsze będziecie musieli logować się przy pomocy klucza! Dodatkowo oddzielną weryfikację klucza bezpieczeństwa przejdziecie, jeśli chcecie zabezpieczyć nim aplikację mobilną ING.
Jaki klucz bezpieczeństwa wybrać?
Jak już wiecie, na rynku dostępnych jest sporo kluczy bezpieczeństwa. Wiele z nich nie jest dostępnych w polskich sklepach. Część nie posiada modułu NFC, który jest kluczowy z punktu widzenia zabezpieczenia social media. My używamy i rekomendujemy klientom klucze marki Yubico. Są one dość łatwo dostępne w Polsce, możecie kupić je nawet w marketach z elektroniką. Najbardziej uniwersalnym oraz przyjaznym cenowo urządzeniem wydaje nam się YubiKey 5 Series. Jednak jeśli chcecie sami się przekonać, jaki klucz bezpieczeństwa będzie dla Was najlepszy, możecie wypełnić quiz Yubico. Jeśli interesuje Was znalezienie alternatywnego sprzętu zgodnego z FIDO, to tutaj znajdziecie listę takich urządzeń certyfikowaną przez FIDO Alliance.
Czy trzeba mieć uwierzytelnianie dwuskładnikowe?
Przewrotny tytuł finałowego nagłówka nadaliśmy specjalnie. Jeśli Wasze zasoby online są dla Was ważne, to wiecie już, że uwierzytelnianie dwuskładnikowe to w XXI wieku obowiązkowa metoda zabezpieczenia kont online. Jednak jeśli dopiero zaczynacie swoją przygodę z bezpieczeństwem online i social media, pamiętajcie o starym przysłowiu „mądry Polak po szkodzie”. Niestety musimy je tu zacytować, bo ponad 90% osób, które zgłaszały się do nas w sprawie utraconego fanpage’a lub konta prywatnego, nie miało pojęcia o zabezpieczeniu kont w social media. Osoby te nie miały oczywiście włączonego uwierzytelniania dwuskładnikowego. Stres, nerwy, brak kontaktu z klientami, straty finansowe i wizerunkowe – tego wszystkiego można uniknąć odpowiednio zabezpieczając swoje konta w social media! Bądźcie mądrzejsi od hakerów i przestępców!
0 komentarzy