Zapomnij o hasłach

By świadomie zabezpieczyć swoje konta i urządzenia, najpierw wypada przyjrzeć się temu, na czym polega proces logowania. Nie zaszkodzi się również dowiedzieć, jak działają hakerzy, bo to przecież przed nimi chcemy się bronić. Gotowi? Zaczynamy!

Na początek logowanie. Polega ono na podaniu albo samego hasła, albo jeszcze dodatkowo loginu. Nie jest on jednak dodatkowym zabezpieczeniem. Jego odgadnięcie to przecież nie problem: najczęściej w tej roli wykorzystywane jest albo konto mailowe, albo nazwa użytkownika. To oznacza, że w większości przypadków jedyną trudnością będzie odgadnięcie hasła. Jak się do tego zabierają włamywacze?

Zakładając, że nie uda się im zdobyć dostępu do usługi w inny sposób (na co w większości przypadków nie mamy niestety wpływu, w każdym razie poza minimalizowaniem ryzyka przez korzystanie wyłącznie ze sprawdzonych metod), w pierwszej kolejności przeprowadzony zostanie atak słownikowy. Zamiast podawać jako hasło wszystkie kombinacje znaków, haker wykorzysta tylko takie ciągi znaków, które dodał do używanej przez swoje narzędzia listy potencjalnych haseł. Znajdują się na niej nie tylko faktycznie istniejące słowa, żywcem wzięte ze słowników języka polskiego czy angielskiego, ale także masa ich wariantów. Dlatego też podmiana liter na cyfry i znaki specjalne w praktyce zmienia bardzo niewiele.

Co ważne, na takiej liście znajdują się również hasła, które wyciekły podczas wcześniejszych włamań – bo przecież wiele osób korzysta z nich w więcej niż jednym miejscu. A te najpopularniejsze są niemal pewniakami, od których rozpoczyna się próbę włamania. Jeśli nie uda się uzyskać dostępu w pierwszym przebiegu, mogą zostać zapoczątkowane kolejne, wykorzystujące na przykład dwa, trzy lub cztery „wyrazy” połączone w jeden, a także wersje z dodanymi na końcu losowymi cyframi czy znakami specjalnymi. To oczywiście wydłuża czas potrzebny na odgadnięcie hasła, ale będzie on i tak znacznie krótszy, niż gdyby działać losowo.

Warto przy tym wiedzieć, że złamanie losowego dwunastoznakowego hasła składającego się z liter małych i wielkich, cyfr oraz znaków specjalnych to – przy mocy obliczeniowej komputerów będącej w zasięgu zwykłego śmiertelnika – nawet w najlepszym wypadku zadanie na setki lat. Oczywiście tak szybko uda się odgadnąć hasło jedynie wtedy, gdy zabezpiecza ono plik, dysk czy sieć Wi-Fi – czyli mając fizyczny dostęp do danych (w przypadku Wi-Fi: przechwyconą transmisję). W takich przypadkach dochodzą bowiem opóźnienia związane z przesyłaniem danych poprzez sieć, nie do uniknięcia wtedy, gdy próbuje się zdobyć dostęp na przykład do serwisu społecznościowego. Dlatego też w praktyce dwunastoznakowe hasło do zdalnego systemu jest już bardzo bezpieczne, choć jeśli chcesz czuć się komfortowo aż do czasu upowszechnienia się komputerów kwantowych, można dla pewności wydłużyć je do szesnastu znaków, co powstrzyma nawet CBA do spółki z NSA.

Wymyślenie jednego „dobrego” hasła to jednak za mało. Jeśli będziemy z niego korzystali we wszystkich usługach, wcale takie bezpieczne nie będzie. Bo niestety nawet największe firmy padają ofiarą hakerów lub niefrasobliwości pracowników. Dość powiedzieć, że w ostatnich latach wyciekły dane z takich znanych usług i serwisów jak Adobe, Yahoo, Marriott, eBay, PlayStation Network czy MyFitness Pal. Do tego dosłownie parę tygodni temu okazało się, że Facebook przechowywał hasła użytkowników w zwykłych plikach tekstowych, do których mieli dostęp pracownicy tej firmy. I choć włodarze serwisu zapewniali, że nic złego się nie stało, należałoby się zastanowić, czy po tak wielu skandalach ktokolwiek jeszcze Zuckerbergowi wierzy.

Dlatego też bezpiecznych haseł powinno być tyle, z ilu serwisów i usług się korzysta. Tak, by jedno włamanie wiązało się z problemami tylko w jednym miejscu. Na szczęście nie oznacza to, że trzeba się zapisać na przyspieszony kurs mnemotechniki dla zaawansowanych ani tym bardziej nosić przy sobie notatnik. Choć i tak byłoby to bezpieczniejsze niż korzystanie ze zwykłego pliku tekstowego zapisanego na przykład na Pulpicie czy w smartfonie. Na szczęście są jeszcze menedżery haseł.

W wersji minimum taki program powinien umożliwić zapisywanie loginów i haseł w zaszyfrowanym pliku, do którego dostęp wymagać będzie podania hasła. Tylko nieco mniej obowiązkowy powinien być generator nowych haseł. I to taki, który pozwala nie tylko na wybranie ich długości, ale także kategorii znaków, które będą w nim wykorzystywane. Im jest ich więcej, tym lepiej, bo np. niektóre serwisy dopuszczają małe litery i cyfry, inne dodatkowo wielkie litery i niektóre znaki specjalne, np. „-”, ale już nie „_”. Im prościej to skonfigurować, tym lepiej.

Do dodatków przydatnych, ale takich, bez których można się obejść, należą historia zmian oraz rozszerzenia do przeglądarek, dzięki którym zniknie potrzeba ręcznego kopiowania loginów i haseł do serwisów WWW. Do ułatwiających życie, ale mających również minusy należą dodatkowa aplikacja mobilna oraz synchronizowanie danych pomiędzy różnymi komputerami (w tym smartfonami i tabletami). Taka możliwość jest przydatna dlatego, że obecnie łatwiej nieświadomie zainstalować wirusa na telefonie z Androidem niż na komputerze z Windowsem 10. A złośliwy program na Androidzie może choćby odczytywać wszystko, co widać na ekranie, monitorując przy okazji zawartość schowka. Nieco bezpieczniej jest w przypadku iPhone’ów i iPadów, ale nawet ich posiadacze powinni pamiętać, że synchronizacja danych w pewnym sensie oznacza ich obecność w internecie. Oczywiście każdy dobry menedżer szyfruje plik z danymi, więc teoretycznie nie ma czego się obawiać zwłaszcza że synchronizacja zmniejsza ryzyko utraty danych, bo przecież będą się one znajdować w więcej niż jednym miejscu. Trzeba jednak zdawać sobie sprawę z plusów i minusów, by decyzję o miejscu przechowywania podjąć w pełni świadomie.

Najpopularniejszym serwisem pozwalającym na sprawdzenie, czy dany login (wraz z hasłem) znalazł się w ujawnionych wyciekach, jest haveibeenpwned.com. W chwili oddawania tego numeru do druku w bazie serwisu znajdowały się dane prawie 8 miliardów kont (sic!), a także informacje o większości dużych włamań. W usłudze można również podać swój adres e-mailowy, by automatycznie otrzymać wiadomość, gdy pojawi się on w nowym wycieku danych.

Oczywiście samo hasło, nawet najlepsze, nie wystarczy. Na szczęście coraz więcej serwisów pozwala skorzystać z weryfikacji dwustopniowej. Jeśli prócz niezmiennego hasła, które można poznać choćby zaglądając komuś przez ramię, trzeba podać jeszcze drugie, zmienne, stopień trudności znacząco się zwiększa, zwłaszcza jeśli drugi kod generowany jest na innym urządzeniu niż to, na którym przechowywane jest hasło. Ewentualnie może być ono wysyłane na e-mail – bo o tym, dlaczego SMS-y to zły pomysł, piszemy w ramce. Jeszcze większy poziom bezpieczeństwa zapewnią klucze fizyczne, ale to temat na osobny artykuł, który wkrótce opublikujemy.

Na kolejnych stronach znajdziesz przewodnik po aplikacjach do generowania kodów jednorazowych, przegląd wybranych menedżerów haseł oraz poradnik dotyczący konfiguracji najlepszego z nich.

I nie chodzi wcale o to, że odczytać może je złośliwe oprogramowanie, które niepostrzeżenie zostanie zainstalowane na smartfonie, zwłaszcza takim z Androidem. Gorsze jest to, że obce osoby mogą bardzo łatwo przechwycić twój numer telefonu, a tym samym – wszystkie przychodzące na niego wiadomości tekstowe. Takie sytuacje miały już w Polsce miejsce i kończyły się na przykład wyczyszczeniem konta w banku. Jeśli tylko możesz, korzystaj więc albo z programu do generowania kodów, albo z kodów przychodzących na dedykowaną aplikację, albo z osobnego tokena. Ba, bezpieczniejsza niż SMS-y jest nawet lista haseł jednorazowych – oczywiście pod warunkiem, że trzymasz ją w bezpiecznym miejscu, czyli np. w menedżerze haseł.

Jeśli korzystasz z któregokolwiek z poniższych haseł, wiedz, że włamanie się do chronionego przezeń konta wymaga maksymalnie 25 prób:
123456
Password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
!@#$%^&*
charlie
aa123456
donald
password1
qwerty123

Jeden z najstarszych menedżerów haseł. Pierwsza wersja pojawiła się piętnaście lat temu i to niestety widać po uruchomieniu aplikacji. Tyle dobrego, że na myśl przywodzi Windowsa 2000, a nie XP, dzięki czemu ikony i kolory są wprawdzie staroświeckie, ale przynajmniej nic nie kłuje w oczy. Jeśli nie podoba ci się wygląd, możesz zainstalować inną niż oficjalna wersję, na przykład ze strony https://keepassxc.org. Prawdą jest, że to nie zewnętrze jest w tym wypadku najważniejsze, a wnętrze. Keepass 2 wypada pod tym względem bardzo dobrze, bo standardowo zapisuje plik z danymi jedynie lokalnie, co jest teoretycznie najbezpieczniejsze. Dane w nim są rzecz jasna zaszyfrowane, a utrata hasła sprawia, że nie uda się ich odzyskać. Jeśli jednak korzystasz z kilku urządzeń, nic nie stoi na przeszkodzie, by przechowywać bazę danych Keepassa w katalogu Dropboksa czy OneDrive’a. Dzięki temu plik bez problemu będzie się synchronizował pomiędzy kilkoma urządzeniami. I to nie tylko pomiędzy komputerami, ale też urządzeniami przenośnymi, np. smartfonami. Keepass 2 ma rzecz jasna wbudowany generator nowych haseł. I to bardzo rozbudowany, z możliwością dodania własnego zestawu znaków specjalnych. Ba, jest nawet możliwość unikania znaków wyglądających podobnie, jak O (litera) i 0 (cyfra) czy l (litera) i 1 (cyfra), choć twórcy zalecają, by z tej możliwości nie korzystać, bo zmniejsza to złożoność haseł. I jeszcze jedno: sam w sobie Keepass 2 nie integruje się z przeglądarkami, ale są do tego osobne rozszerzenia.

To najmłodszy menedżer na liście, bo jego pierwsza wersja miała premierę pod koniec 2016 roku. Nie świadczy to jednak wcale na jego niekorzyść. Wręcz przeciwnie: nie tylko nowocześnie wygląda, ale przede wszystkim obsługuje nowoczesne technologie, jak choćby synchronizację danych poprzez chmurę czy autoryzację dwustopniową. Co nie mniej istotne, istnieją wersje Bitwardena na najpopularniejsze systemy operacyjne. Do tego rozwijany jest on w modelu otwartoźródłowym. I choć zwykły użytkownik nie będzie w stanie sam sprawdzić jakości zabezpieczeń, to warto pamiętać, że Bitwarden istnieje też w wersji dla dużych przedsiębiorstw, które już takie audyty są w stanie przeprowadzić. Na tle konkurencji Bitwarden wyróżnia się także ceną – do użytku prywatnego, a także rodzinnego (choć ograniczonego do dwóch osób) wystarczy bowiem w pełni funkcjonalna wersja darmowa. Nie trzeba więc dopłacać ani do synchronizacji, ani do wersji mobilnych, ani do rozszerzeń do przeglądarek. Okej, podobnie jest w przypadku Keepassa 2, ale Bitwarden jest wygodniejszy. Do tego wersja premium kosztuje zaledwie 10 dolarów rocznie, a dodaje przy tym szyfrowany schowek o pojemności 1 GB czy dwustopniową autoryzację przy wykorzystaniu kluczy sprzętowych (YubiKey, U2F, Duo). Oczywiście Bitwarden nie tylko przechowuje hasła i – po instalacji rozszerzenia – wypełnia odpowiednie pola w przeglądarce. Potrafi je także generować: funkcja ta nie jest wprawdzie aż tak rozbudowana jak w Keepass 2, za to dokładnie widać, które znaki mogą sprawiać problemy, bo cyfry są zaznaczone kolorem. Można też sprawdzić, czy hasła nie wyciekły.

Kolejny z weteranów, którego początki sięgają 2008 roku. Podobnie jak w przypadku konkurencji, także i tu mamy do czynienia z usługą rozwijaną cały czas. Aplikacje dla wszystkich popularnych platform wyglądają więc nowocześnie, hasła są zaś automatycznie synchronizowane pomiędzy poszczególnymi urządzeniami. Co ważne, w przeciwieństwie do równie dobrze znanych konkurentów (poza Keepassem) LastPass nadal jest w wersji darmowej. I to z nielimitowaną liczbą haseł, pełną synchronizacją danych i funkcją uwierzytelniania dwustopniowego. Inną przydatną możliwością jest udostępnianie informacji innym osobom. W wersji darmowej wyłącznie jednej osobie, w płatnej – także wielu osobom jednocześnie. LastPass ma również wbudowany generator kodów czasowych (authenticator), co jest o tyle pożyteczne, że dzięki temu mamy do nich dostęp z więcej niż jednego urządzenia. Niemniej jednak warto sobie zdawać sprawę z tego, że przechowywanie wszystkich zabezpieczeń w jednym miejscu może być potencjalnie niebezpieczne. Co ciekawe, ze względu na popularność LastPass padał już ofiarą ataków. Przestępcom udało się nawet – w 2015 roku – wykraść bazy użytkowników! Tyle że kradzież na nic się nie zdała. Nie dość bowiem, że bazy są szyfrowane lokalnie hasłami wybieranymi przez użytkowników aplikacji, to jeszcze firma dodatkowo szyfrowała wszelkie dane przechowywane na swoich serwerach. Problemy wykrywano także w dodatkach do przeglądarek, ale były one błyskawicznie łatane.

Jedyny w zestawieniu płatny menedżer (pierwsze 30 dni za darmo). Istnieje niemal równie długo, co Keepass, bo od 2006 roku. Obecnie jednak – przy płaceniu z góry za rok – kosztuje 3 USD miesięcznie. W zamian otrzymujemy nie tylko synchronizację danych, ale również szyfrowaną skrytkę o pojemności 1 GB oraz możliwość korzystania z aplikacji na dowolnej liczbie urządzeń. Do tego dochodzi możliwość logowania dwustopniowego, zarówno przy wykorzystaniu kodów, jak i kluczy sprzętowych (YubiKey). Obecność ostatniej funkcji jest jednak w porównaniu z Bitwardenem nieco naciągana, bo nadal wykorzystywane są kody czasowe, tyle że generowane przez aplikację Yubi – ale lepsze to niż nic. Najciekawszą funkcją na tle konkurencji jest jednak w 1Password tryb podróżny. Dzięki niemu można wskazać, które hasła nie pojawią się nawet po odblokowaniu aplikacji. To o tyle istotne, że w niektórych krajach można być po prostu zmuszonym do odblokowania telefonu i aplikacji – na przykład w Wielkiej Brytanii samo niepodanie hasła podlega karze więzienia. Inne przydatne dodatki to współpraca z serwisem https://haveibeenpwned.com, automatycznie powiadamiającym użytkowników o pojawieniu się loginów i haseł w wyciekach danych. Początkującym przyda się również system oceniania haseł z funkcją łatwej podmiany na silniejsze. Podobnie jak pozostałe menedżery 1Password jest obecny na wszystkich najpopularniejszych systemach operacyjnych. Da się go zainstalować też w postaci rozszerzeń do najpopularniejszych przeglądarek, a nawet wersji działających wyłącznie w Chromie lub Firefoksie, bez potrzeby instalacji normalnej aplikacji desktopowej.

To obecnie najciekawsza aplikacja do tworzenia, przechowywania i synchronizacji haseł pomiędzy urządzeniami. Opracowano wersje na praktycznie każdą liczącą się platformę, zarówno stacjonarną, jak i mobilną, a w razie potrzeby do danych można dostać się nawet za pomocą dowolnej przeglądarki WWW. Do tego wersja darmowa nie dość, że nie ma ograniczenia czasowego, to jeszcze zawiera wszystkie ważne funkcje. To czyni z niej świetny wybór zarówno jeśli dopiero zaczynasz przygodę z menedżerami haseł, jak i gdy szukasz czegoś bardziej uniwersalnego.

Pierwszy krok to wejście na stronę serwisu ( bitwarden.com) i pobranie aplikacji. Wyszczególnione są tu wszystkie edycje, ale na potrzeby tego poradnika wykorzystamy program w wersji dla Windowsa, od „siódemki” wzwyż. Pomijając jednak samą instalację, interfejs jest taki sam także w systemach spod znaku jabłka albo pingwina.

Po uruchomieniu pojawi się okno aplikacji z polami na adres e-mail podany przy zakładaniu konta oraz główne hasło. Jeśli nie masz jeszcze założonego konta, kliknij Utwórz konto (1), a następnie podaj potrzebne dane. Ważne: główne hasło powinno być długie, łatwe do zapamiętania, a także trudne do odgadnięcia. Będziesz je podawał przy każdym uruchomieniu aplikacji. Warto się zastanowić, czy będziesz z Bitwardena korzystał na smartfonie. Jeśli tak, podaj takie hasło, które będzie można łatwo wprowadzić także na klawiaturze ekranowej – chyba że nie przeszkadza ci nieco niższy poziom bezpieczeństwa i będziesz odblokowywał aplikację biometrycznie. Hasło trzeba podać dwukrotnie, by uniknąć błędów. Można wypełnić również pole z podpowiedzią. Uwaga! Jeśli zapomnisz hasła, a podpowiedź nie pomoże w jego odzyskaniu, bezpowrotnie stracisz dostęp do wszystkich danych!

By ułatwić utrzymanie porządku, informacje przechowywane w aplikacji podzielone są na cztery typy: loginy, karty płatnicze, dokumenty tożsamości oraz notatki (2). Dodatkowo mamy również do dyspozycji przycisk Ulubione (3), po naciśnięciu którego widoczne będą jedynie rekordy oznaczone jako ulubione. Przy dużej ilości danych wygodniej jednak korzystać z tworzenia katalogów. Można do nich przypisywać rekordy niezależnie od tego, jakiego są typu. Ale uwaga: gdy korzystamy z aplikacji, nie da się po prostu przeciągnąć wpisów między katalogami. Trzeba do nich wejść, włączyć edycję, a następnie ręcznie wybrać nowy katalog z listy. Dlatego jeśli zamierzasz robić duże porządki, najwygodniej zalogować się na swoje konto na stronie domowej. W przeglądarce funkcja przenoszenia rekordów myszą działa bowiem bez problemu.

Po utworzeniu katalogów pora na pierwszy wpis. Wybierz jego rodzaj, kliknij duży plus (4), a następnie myszą wskaż katalog, w którym wpis ma się ostatecznie znaleźć. Zarówno typ danych, jak i przypisany katalog można również wybrać w polu edycji, korzystając z rozwijanych list – ale to wymaga paru kliknięć więcej. Co ciekawe, w wersji premium można – prócz nazwy użytkownika i hasła – dodać także dwustopniową autoryzację przy pomocy authenticatora (TOTP). Ważne: jeśli chcesz w prosty sposób korzystać z szybkiego logowania się do serwisów internetowych, przechowuj te dane jako Dane logowania (5). Dzięki temu będzie można jednym kliknięciem wprowadzić je w przeglądarce. Podobnie ma się sprawa z danymi kart płatniczych.

W przypadku loginów prócz samej nazwy użytkownika musisz podać także hasło. Można je rzecz jasna wymyślić samemu, a następnie wpisać za pomocą, ale bezpieczniej skorzystać z wbudowanego generatora. Pojawi się on na ekranie po kliknięciu ostatniej ikony w polu Hasło (6). Za pierwszym razem warto rozwinąć opcje, by wybrać długość hasła oraz znaki, które mogą się w nim znaleźć. Ustawienia te powinny zostać automatycznie zapisane, więc nie trzeba ich za każdym razem zmieniać – warto to jednak sprawdzić. Ważne: choć hasło można już teraz skopiować i wykorzystać, bezpieczniej najpierw zapisać dane, by w razie jakiejś awarii go nie utracić.

Bitwarden dostępny jest również z poziomu popularnych przeglądarek, nawet tych mniej popularnych. Trzeba jednak najpierw ściągnąć odpowiednie rozszerzenie, najlepiej korzystając z linków na stronie bitwarden.com. Potem wystarczy już tylko kliknąć ikonę niebieskiej tarczy, podać swój login i hasło (te same, co w aplikacji), a pojawi się okno z danymi dotyczącymi strony aktywnej w danym momencie. Rozpoznawana jest ona po adresie WWW, może się więc okazać, że lista będzie pusta. W takim wypadku pomocą służy pole wyszukiwania. Po zalogowaniu się w danym serwisie u góry strony WWW powinien pojawić się pasek z pytaniem, czy zapamiętać dane. Warto to zrobić, nawet jeśli doprowadzi to do zdublowania rekordów. Niepotrzebne będzie można skasować później, a to prostsze niż ręczne podawanie adresu WWW w aplikacji.

Z poziomu rozszerzenia da się również stworzyć nowe hasło. Dostępne są te same opcje, co w aplikacji. Nie da się jednak w tym momencie stworzyć kompletnego rekordu. Hasło, a także adres strony zostaną pobrane automatycznie z przeglądarki. Zazwyczaj działa to dobrze (tylko nie pomyl paska Bitwardena z pytaniem samej przeglądarki), ale można trafić na serwisy wymagające logowania w niestandardowy sposób. Zdarza się więc, że mimo uzyskania dostępu nie pojawi się pytanie Bitwardena o to, czy zachować login i hasło. Dlatego warto hasło skopiować do schowka i w razie problemu z automatem od razu stworzyć w aplikacji stosowny rekord ręcznie.

Aplikacja Bitwarden dostępna jest również na smartfonach z Androidem oraz iOS-em. Od desktopowej różni się tylko nieco innym ułożeniem elementów interfejsu oraz funkcją logowania za pomocą odcisku palca czy obrazu twarzy. To wygodne, choć potencjalnie mało bezpieczne – w niektórych smartfonach biometrię da się obejść nawet zdjęciem, a przecież chroni ona twoje cyfrowe życie. Dlatego z funkcji należy korzystać bardzo ostrożnie. Na szczęście nie znaczy to, że za każdym razem trzeba na ekranie wstukiwać pełne hasło. Da się również ustawić PIN, którego podanie będzie niezbędne do uruchomienia aplikacji, a nawet logowanie dwustopniowe. Włącza się je jednak przez WWW i będzie aktywne niezależnie od tego, na jakim urządzeniu zechcesz się zalogować, nie jest więc zbyt wygodne. Warto natomiast określić czas, po jakim aplikacja automatycznie się zablokuje.

Jak sama nazwa wskazuje, proces składa się z dwóch kroków. Zazwyczaj jednym z nich jest konieczność podania hasła („coś, co wiesz”), a drugim – wylegitymowania się czymś („coś, co masz”). Hasło może mieć różny stopień złożoności, od czteroznakowego PIN-u po losowy ciąg dwudziestu znaków. O tym, jak je tworzyć i bezpiecznie przechowywać, pisaliśmy na poprzednich stronach. Tutaj będzie natomiast pokrótce o tym, jaki ma się wybór, jeśli chodzi o drugi składnik.

W najprostszej wersji są to kody jednorazowe. Kiedyś były bardzo popularne na przykład w bankach, obecnie są jednak zastępowane niezbyt bezpiecznymi kodami SMS lub funkcją zatwierdzania transakcji w dedykowanej aplikacji. To już bezpieczniejszy wybór, choć i jemu daleko do ideału, bo często potwierdzenia dokonuje się w tej samej aplikacji, w której można zlecać operacje. Te same sposoby wykorzystywane są także np. przez Google’a, Facebooka czy Microsoft. Ponownie: SMS-y to najmniej bezpieczna metoda autoryzacji. Lepiej już wykorzystać e-maile, bo przejęcie kontroli nad dobrze zabezpieczoną skrzynką pocztową jest trudniejsze niż przechwycenie numeru telefonu komórkowego.

Lepszą metodą jest wykorzystanie kodów jednorazowych generowanych w specjalnej aplikacji. Co ważne, większość jest oparta na tym samym standardzie. Wystarczy więc wybrać jedną, na przykład Microsoft Authenticator (inne godne polecenia to Google Authenticator oraz niezależny Authy), a następnie powierzyć jej bezpieczeństwo usług innych firm. Przed dodaniem autoryzacji dwustopniowej przeczytaj jednak dokładnie wszystkie komunikaty, bo jej usunięcie zazwyczaj wymaga podania aktualnego kodu. Jeśli z jakichś powodów będzie to niemożliwe (np. utrata telefonu czy krytyczny błąd aplikacji), ratunkiem mogą być specjalne kody jednorazowe, które trzeba zapisać w bezpiecznym miejscu. Jeśli i je stracisz, odzyskanie dostępu będzie albo niemożliwe, albo będzie wiązało się z koniecznością kontaktu z centrum obsługi klienta danej usługi. I – zazwyczaj – odczekaniem przynajmniej kilku godzin, jeśli nie dni.

Najbezpieczniejszym dostępnym dla cywili sposobem weryfikacji dwustopniowej jest jednak stosowanie specjalnych kluczy sprzętowych, podłączanych przez USB (są także wersje z NFC i Bluetooth). Powstały jako efekt współpracy Google i Yubico, a modele tej drugiej firmy cieszą się (zasłużenie) największą popularnością. Jak wygląda przypisanie klucza do konta, pokażemy na przykładzie YubiKey 5 NFC i Konta Google.

Zaloguj się w przeglądarce WWW na swoje konto w standardowy wykorzystywany przez ciebie sposób.

Kliknij ikonkę ze swoim awatarem w prawym górnym rogu, by rozwinąć menu, i kliknij przycisk Konto Google.

Z menu po lewej stronie ekranu wybierz zakładkę Bezpieczeństwo (1), a następnie w Logowanie się w Google kliknij Weryfikacja dwuetapowa (2) i ponownie zaloguj się na konto.

Kliknij kody zapasowe i upewnij się, że zapisałeś je w bezpiecznym miejscu.

Kliknij dodaj klucz bezpieczeństwa (3) i potwierdź, że masz Klucz bezpieczeństwa Google.

Kliknij dalej (4), włóż klucz do gniazda USB, poczekaj aż komputer go rozpozna. Następnie naciśnij przycisk lub przytknij palec do złotego krążka (5). Jeśli pojawi się dodatkowe okienko, potwierdź dostęp do klucza, po czym kliknij dalej (6).

Nazwij swój klucz (to ważne, jeśli masz ich więcej) (7).