Uważaj na dwuetapową weryfikację SMS

Przemysław Kocięcki
Uważaj na dwuetapową weryfikację SMS

Wielu z nas każdego dnia korzysta z serwisów internetowych i usług wymagających rejestracji konta i zalogowania się. Z racji mnogości dostępnych serwisów, często przy zakładaniu kont korzystamy w różnych miejscach z tych samych lub bardzo podobnych loginów i haseł - to bardzo wygodne rozwiązanie, bo nie wymaga zapamiętywania zbyt wielu informacji. Niestety, wykorzystując wszędzie to samo hasło umożliwiamy złośliwym użytkownikom przejęcie za jednym ruchem wszystkich naszych kont.

Rozwiązania są dwa. Po pierwsze, można zacząć używać menadżerów haseł, które będą generowały długie i skomplikowane hasła podczas rejestracji nowych kont oraz zajmą się ich przechowywaniem. Dostęp do poszczególnych haseł jest zwykle strzeżony jednym, głównym hasłem i w praktyce wystarczy znać tylko to jedno hasło - można więc bez przeszkód zacząć używać bardziej złożonych haseł w poszczególnych serwisach i nie trzeba ich wszystkich zapamiętywać. Niestety, efektywne wykorzystanie menadżerów wymaga nieco wiedzy technicznej, której wielu ludzi nie posiada - konieczne jest między innymi regularne wykonywanie kopii bazy haseł i przechowywanie ich w kilku różnych miejscach (w tym w chmurze) na wypadek utraty dostępu do jednego z urządzeń przechowujących hasła. Zaniechanie tych czynności może grozić utratą dostępu do haseł do własnych kont.

Alternatywą (a jednocześnie uzupełnieniem) dla menadżerów jest weryfikacja dwuetapowa, której jednak nie każdy serwis posiada. Uwierzytelnienie dwuetapowe polega na skojarzeniu konta w serwisie z aplikacją mobilną - logowanie na nowych urządzeniach będzie wymagało podania kodu, który zostanie przysłany w formie powiadomienia na telefon. Od tej pory haker nawet znając hasło nie będzie mógł zalogować się na konto, jeśli nie poda kodu uwierzytelniającego. Otrzymując taką dodatkową barierę ochronną możemy w miarę bezpiecznie korzystać z tego samego hasła w wielu serwisach i usługach - choć nie jest to w żadnym wypadku zalecane.

Jednocześnie należy uważać na serwisy, które do włączenia weryfikacji dwuetapowej wymagają podania numeru telefonu. Takie podejście sugeruje, że serwis zamierza wysyłać powiadomienia w formie wiadomości SMS, co nie tylko jest niebezpieczne, ale może wręcz ułatwić przejęcie naszego konta przez nieupoważnione osoby - hakerzy mogą próbować przechwycić wiadomości lub, podając się za Ciebie, wyrobić sobie u Twojego operatora duplikat Twojej karty SIM (ang. SIM-swap).

Blog Comments powered by Disqus.