Autoryzacja dwustopniowa
Jak sama nazwa wskazuje, proces składa się z dwóch kroków. Zazwyczaj jednym z nich jest konieczność podania hasła („coś, co wiesz”), a drugim – wylegitymowania się czymś („coś, co masz”). Hasło może mieć różny stopień złożoności, od czteroznakowego PIN-u po losowy ciąg dwudziestu znaków. O tym, jak je tworzyć i bezpiecznie przechowywać, pisaliśmy na poprzednich stronach. Tutaj będzie natomiast pokrótce o tym, jaki ma się wybór, jeśli chodzi o drugi składnik.
W najprostszej wersji są to kody jednorazowe. Kiedyś były bardzo popularne na przykład w bankach, obecnie są jednak zastępowane niezbyt bezpiecznymi kodami SMS lub funkcją zatwierdzania transakcji w dedykowanej aplikacji. To już bezpieczniejszy wybór, choć i jemu daleko do ideału, bo często potwierdzenia dokonuje się w tej samej aplikacji, w której można zlecać operacje. Te same sposoby wykorzystywane są także np. przez Google’a, Facebooka czy Microsoft. Ponownie: SMS-y to najmniej bezpieczna metoda autoryzacji. Lepiej już wykorzystać e-maile, bo przejęcie kontroli nad dobrze zabezpieczoną skrzynką pocztową jest trudniejsze niż przechwycenie numeru telefonu komórkowego.
Lepszą metodą jest wykorzystanie kodów jednorazowych generowanych w specjalnej aplikacji. Co ważne, większość jest oparta na tym samym standardzie. Wystarczy więc wybrać jedną, na przykład Microsoft Authenticator (inne godne polecenia to Google Authenticator oraz niezależny Authy), a następnie powierzyć jej bezpieczeństwo usług innych firm. Przed dodaniem autoryzacji dwustopniowej przeczytaj jednak dokładnie wszystkie komunikaty, bo jej usunięcie zazwyczaj wymaga podania aktualnego kodu. Jeśli z jakichś powodów będzie to niemożliwe (np. utrata telefonu czy krytyczny błąd aplikacji), ratunkiem mogą być specjalne kody jednorazowe, które trzeba zapisać w bezpiecznym miejscu. Jeśli i je stracisz, odzyskanie dostępu będzie albo niemożliwe, albo będzie wiązało się z koniecznością kontaktu z centrum obsługi klienta danej usługi. I – zazwyczaj – odczekaniem przynajmniej kilku godzin, jeśli nie dni.
Najbezpieczniejszym dostępnym dla cywili sposobem weryfikacji dwustopniowej jest jednak stosowanie specjalnych kluczy sprzętowych, podłączanych przez USB (są także wersje z NFC i Bluetooth). Powstały jako efekt współpracy Google i Yubico, a modele tej drugiej firmy cieszą się (zasłużenie) największą popularnością. Jak wygląda przypisanie klucza do konta, pokażemy na przykładzie YubiKey 5 NFC i Konta Google.
Zaloguj się w przeglądarce WWW na swoje konto w standardowy wykorzystywany przez ciebie sposób.
Kliknij ikonkę ze swoim awatarem w prawym górnym rogu, by rozwinąć menu, i kliknij przycisk Konto Google.
Z menu po lewej stronie ekranu wybierz zakładkę Bezpieczeństwo (1), a następnie w Logowanie się w Google kliknij Weryfikacja dwuetapowa (2) i ponownie zaloguj się na konto.
Kliknij kody zapasowe i upewnij się, że zapisałeś je w bezpiecznym miejscu.
Kliknij dodaj klucz bezpieczeństwa (3) i potwierdź, że masz Klucz bezpieczeństwa Google.
Kliknij dalej (4), włóż klucz do gniazda USB, poczekaj aż komputer go rozpozna. Następnie naciśnij przycisk lub przytknij palec do złotego krążka (5). Jeśli pojawi się dodatkowe okienko, potwierdź dostęp do klucza, po czym kliknij .
Nazwij swój klucz (to ważne, jeśli masz ich więcej) (7).