Uwierzytelnianie dwuskładnikowe (2FA) – dlaczego warto korzystać z weryfikacji dwuetapowej

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe jest coraz częściej nie tylko zalecanym, ale wręcz wymaganym sposobem logowania się do wielu serwisów internetowych. 2FA sprawia, że proces logowania jest minimalnie dłuższy, ale ogranicza ryzyko przejęcia konta przez osoby nieuprawnione. Czym jest i jak działa uwierzytelnianie dwuskładnikowe? Czemu warto z niego skorzystać i które serwisy to umożliwiają? Jak włączyć uwierzytelnianie dwuskładnikowe?

Co to jest uwierzytelnianie dwuskładnikowe?

Uwierzytelnianie dwuskładnikowe to logowanie się na swoje konto, podczas którego przebiega weryfikacja dwuetapowa tożsamości użytkownika. Pierwszy etap jest standardowy – najczęściej należy podać login i hasło. Następnie jednak zostaniemy poproszeni o przejście drugiego etapu weryfikacji – podanie specjalnego kodu, który może zostać wysłany na adres e-mail, SMSem lub pojawić się w specjalnej aplikacji. Dopiero po spełnieniu tych dwóch kroków możliwe będzie zalogowanie się do serwisu, który wymaga uwierzytelniania dwuskładnikowego.

Określenie uwierzytelnianie dwuskładnikowe bywa również zamiennie określane jako weryfikacja wieloetapowa lub weryfikacja dwuetapowa (two-factor authentication) – od czego pochodzi często używany skrót 2FA.

Metoda ta jest coraz bardziej zalecana ze względu na wyższe bezpieczeństwo i ochronę konta przed potencjalnym przejęciem. Uwierzytelnianie dwuskładnikowe (2FA) wymaga skonfigurowania dodatkowego kroku pozwalającego na dodatkową weryfikację tożsamości, który będzie wymagany w trakcie procesu logowania. Pozwala skutecznie chronić dane wrażliwe poprzez dodatkowe “upewnienie się”, że osoba próbująca się zalogować jest do tego uprawniona. 

Dlaczego warto zastosować 2FA?

Uwierzytelnianie dwuskładnikowe powoduje, że do zalogowania się konieczne jest dodatkowe potwierdzenie swojej tożsamości i uprawnień dostępu. Może to być potwierdzenie operacji logowania poprzez aplikację mobilną, zeskanowanie kodu QR, wpisanie dodatkowego hasła (wygenerowanego lub przesłanego przez SMS / mail). Każdy z tych wariantów to nic innego, jak dodatkowa warstwa zabezpieczeń. W praktyce więc, jeśli hakerzy zdobędą dane logowania pierwszego rzędu, wciąż nie będą mogli uzyskać dostępu. 

2FA jest niezwykle polecanym systemem dodatkowego zabezpieczenia kont, serwisów i urządzeń. Uwierzytelnianie dwuskładnikowe chroni newralgiczne dane i systemy, uniemożliwiając dostęp do treści podmiotom nieautoryzowanym. To szczególnie istotne w przypadku współczesnych kont mailowych takich, jak np. konto Google, które jest powiązane z szeregiem innych usług i produktów: przestrzenią dyskową w chmurze, dokumentami i bazami danych, kalendarzem i wieloma innymi. Dostęp do konta, poza kradzieżą poufnych danych korespondencyjnych, wiąże się więc z narażeniem się na utratę wielu innych cennych danych, a także może otwierać potencjalnie furtkę do przeprowadzania kolejnych ataków.

Stosowanie uwierzytelniania dwuskładnikowego jest powszechnie rekomendowaną praktyką, która pozwala ograniczyć ryzyko przejęcia kontroli nad kontem, ataków phishingowych, wykorzystania haseł i poufnych informacji. 

Weryfikacja dwuetapowa
Weryfikacja dwuetapowa wymaga podania specjalnego kodu

Jak włączyć uwierzytelnianie dwuskładnikowe i jak z niego korzystać?

Z dwupoziomowego logowania można korzystać w różnych serwisach. Istnieje możliwość używania dedykowanych metod bezpieczeństwa, które są zaimplementowane w obrębie danej usługi, jak i z dodatkowych zabezpieczeń zewnętrznych, o których piszemy w dalszej części artykułu. Tymi rodzajami serwisów, w których naprawdę opłaca się wprowadzenie procedury 2FA, są konta mailowe (np. Google) oraz portale społecznościowe (np. Facebook). Poniżej zobaczysz, jak zaimplementować te ustawienia w wybranym serwisie. 

Weryfikacja dwuetapowa na Facebooku

Włączenie uwierzytelniania dwuskładnikowego na Facebooku jest banalnie proste, ale skuteczne. Konto będzie znacznie bezpieczniejsze, ponieważ za każdym razem, gdy będziemy pragnęli się zalogować, wymagane będzie podanie specjalnego kodu. W celu włączenia opcji 2FA na Facebooku trzeba przejść przez poniższe kroki:

  1. Wejście do menu “Ustawienia bezpieczeństwa i logowania”
  2. Wybranie “Używaj uwierzytelniania dwuskładnikowego” i zaznaczenie opcji “Edytuj”
  3. Wybranie jednej z trzech metod zabezpieczeń: 
    1. wiadomość SMS z kodem
    2. kod logowania z zewnętrznej aplikacji mobilnej
    3. klucz zabezpieczeń

Po dokonaniu ostatniego wyboru należy dokończyć konfigurację zgodnie z pojawiającymi się instrukcjami. Po wprowadzeniu zmian zostaniemy wylogowani w celu zalogowania się przy pomocy uwierzytelniania dwupoziomowego. 

2FA w Google

Uwierzytelnianie dwuetapowe może być włączone przez każdego użytkownika konta Google (zarówno wersji darmowych, jak i płatnych Google Workspace). W celu włączenia weryfikacji dwuskładnikowego, należy przejść przez kilka podstawowych kroków:

  1. Otwarcie konta Google
  2. Przejście do panelu ustawień
  3. Wybranie opcji “Bezpieczeństwo”
  4. Przejście do sekcji “Logowanie się w Google”, następnie wybór “Weryfikacja dwuetapowa” i “Rozpocznij”

Po wybraniu ostatniej z opcji należy postępować zgodnie z przedstawionymi instrukcjami. Konieczne będzie zweryfikowanie wybranych ustawień oraz przejście przez dodatkowy proces autoryzacyjny. 

Uwierzytelnianie dwuskładnikowe – różne sposoby weryfikacji dwuetapowej

Uwierzytelnianie dwuskładnikowe wykorzystuje dodatkowy element weryfikacji użytkownika. Pierwszym składnikiem najczęściej jest wybrany login i ustanowione hasło. Drugi element może być różny w zależności od opcji udostępnianych przez platformy i wyboru użytkownika. Wyróżniamy kilka różnych rodzajów drugich elementów wymaganych do poprawnego zalogowania 2FA: 

  • wiadomość weryfikacyjna z kodem do logowania – podanie kodu po przejściu pierwszego etapu logowania się umożliwia pełny dostęp do danej platformy. Informacje mogą być przekazywane na trzy sposoby: 
    • kod SMS
    • wiadomość e-mail
    • dedykowana aplikacja mobilna
  • informacja poufna przekazywana użytkownikowi – każdorazowa lub raz, np. osobisty numer identyfikacyjny (PIN),
  • sprzętowy klucz zabezpieczeń (U2F),
  • zaawansowane dane biometryczne, np. tęczówka oka, próbka głosu, identyfikacja twarzy. 

U2F za pomocą SMS i maila – kody dostępu

Dwuskładnikowa weryfikacja dostępu najczęściej występuje w formie kodów i linków przesyłanych poprzez wiadomość SMS lub e-mail. Kody SMS mają bardzo szerokie zastosowanie, o czym świadczyć mogą chociażby bankowe systemy zabezpieczeń. Wysłanie kodu SMS na telefon powiązany z kontem to wciąż najpopularniejsza metoda uwierzytelnienia 2FA stosowana przez największe banki w Polsce.

Maile z kodami szeroko wykorzystywane są z kolei przez serwisy zewnętrzne. Przykładowo, entuzjaści gamingu od lat znają ten system między innymi z platformy Steam, a konkretniej: zabezpieczeń logowania Steam Guard. Skuteczność obydwu systemów, jeśli nie są one zintegrowane za pomocą specjalnej, dodatkowo zabezpieczonej aplikacji, zależy od bezpieczeństwa karty SIM i konta mailowego. Tracąc dostęp do któregoś z tych zasobów użytkownik naraża się na brak możliwości zalogowania się. Trzecia strona, jeśli zyskała dostęp do bazowych danych logowania (login + hasło) jest wówczas w stanie przejść przez uwierzytelnianie dwuetapowe. 

Aplikacje generujące kody uwierzytelniające

Obecnie uwierzytelnianie dwuetapowe 2FA może być obsługiwane przez różne programy i aplikacje. Zapewnią one bezpieczny dostęp do wybranych serwisów. Dwie najbardziej popularne opcje zostały stworzone przez Google (Alphabet) i Microsoft:

  • Google Authenticator – prawdopodobnie najbardziej popularna aplikacja stworzona z myślą o weryfikacji dwuetapowej. Proces uwierzytelniania polega na generowaniu kodów na smartfonie, które następnie podaje się w trakcie logowania do kont. Google Authenticator to sprawdzona i bezpieczna aplikacja, która działa również bez bieżącego połączenia z internetem. Obsługuje kody QR, pozwala na przenoszenie kont i łatwe zarządzanie procesem logowania na różnych urządzeniach. 
  • Microsoft Authenticator – konkurencyjne rozwiązanie drugiego giganta IT charakteryzuje się przede wszystkim możliwością kompleksowego zabezpieczenia wszystkich usług pochodzących ze stajni Microsoft. Authenticator od twórców Windowsa umożliwia więc jeszcze bezpieczniejsze zarządzanie kontami Microsoft, ale również implementację weryfikacji dwuskładnikowej do produktów biurowych, m.in. Outlook, Office i OneDrive. Trzeba jednak pamiętać o konieczności przeprowadzenia konfiguracji programu ze środowiskiem Microsoft 360. 

Oprócz rozwiązań Google i Microsoft na rynku znajdziemy również szereg aplikacji mniej znanych twórców. Programem wartym sprawdzenia może być Aegis Authenticator przeznaczona na smartfony. Aplikacja posiada wszystkie bazowe funkcje zabezpieczeń logowania dwuetapowego. Dodatkowo pozwala na wygodne grupowanie kont użytkownika oraz zapewnia rozwiązania z zakresu osłony biometrycznej. 

Ciekawą propozycją może się okazać Authy – aplikacja logowania dwuetapowego, która ma zdolność weryfikacji różnych kont bez konieczności tworzenia nowych profili. Authy dostępna jest na praktycznie wszystkie urządzenia: komputery Windows, Linux, macOS, a także telefony z iOS lub Androidem. Szukając prostej i maksymalnie wygodnej w użytkowaniu aplikacji na urządzenia mobilne, warto sprawdzić andOTP. Uwierzytelnianie dwuskładnikowe (2FA) przeprowadzane jest w tym przypadku poprzez kody QR. 

Klucze U2F to zaawansowany sposób weryfikacji dwuetapowej
Klucze U2F to zaawansowany sposób weryfikacji dwuetapowej

Klucze U2F

Klucze U2F to zabezpieczenia sprzętowe, które należy podłączyć do urządzenia w celu przeprowadzenia procesu uwierzytelnienia. Najczęściej występują w formie nośników USB. Zaawansowany klucz sprzętowy może być dodatkowo wyposażony w zabezpieczenia biometryczne, np. identyfikację linii papilarnych.

Ochrona danych gwarantowana jest przez wybrane protokoły weryfikacyjne, między innymi FIDO/FIDO2. Klucze U2F są jednymi z najbardziej polecanych metod przeprowadzania weryfikacji dwuskładnikowej, a także zabezpieczania dostępu do procesu logowania się do różnych aplikacji.