Czym jest weryfikacja dwuetapowa lub 2FA?

Czym jest weryfikacja dwuetapowa lub 2FA?

Jeśli chodzi o bezpieczeństwo organizacji w sieci, ostrożności nigdy za wiele. Liczba i poziom zaawansowania zagrożeń związanych z bezpieczeństwem w sieci rośnie w szybkim tempie. Według raportów Malwarebytes w 2019 roku częstotliwość dokonywania cyberataków na firmy wzrosła o 13%. W związku z tym wiele firm zaczyna w krytyczny sposób analizować swoje metody ochrony informacji. Faktem jest, że znaczna część kadrowych, finansowych oraz poufnych informacji Twojej firmy znajduje się na jej kontach internetowych, a naruszenie bezpieczeństwa tych danych może doprowadzić do utraty przychodów. Większość organizacji może podjąć jeden prosty krok, który pomoże wzmocnić bezpieczeństwo pracowników w sieci w całej rozciągłości: to weryfikacja dwuetapowa, znana też jako 2FA.

Weryfikaja dwuetapowa – wyjaśnienie

Czym jest weryfikacja dwuetapowa? Weryfikacja jest to proces sprawdzający tożsamość użytkownika w celu określenia dostępu do systemu komputerowego lub konta internetowego. Istnieją trzy główne "czynniki" weryfikacji: czynnik wiedzy (coś, co znamy, np. hasło lub PIN), czynnik posiadania (coś, co posiadamy, np. urządzenie mobilne lub dowód osobisty) oraz czynnik wrodzony (część nas samych, np. odcisk palca lub głos). Istnieje także "czynnik lokalizacji" i "czynnik czasu." Są one jednak mniej powszechne. Weryfikacja dwuetapowa oznacza po prostu, że Twój system bezpieczeństwa korzysta z dwóch z tych czynników.

Innymi słowy, weryfikacja dwuetapowa to rodzaj dodatkowej warstwy ochronnej, poza numerem PIN lub hasłem. Jeśli zdarzyło Ci się już, po zalogowaniu za pomocą hasła, wpisać dodatkowo kod wysłany na urządzenie mobilne w celu potwierdzenia Twojej tożsamości, było to właśnie 2FA. Kod przesłany w wiadomości tekstowej nie jest jednak jedyną metodą weryfikacji dwuetapowej. Istnieje szeroka gama stworzonych w tym celu rozwiązań, między innymi aplikacje uwierzytelniające, powiadomienia, tokeny uwierzytelniające, uwierzytelnianie za pomocą głosu i tym podobne. Jednak w większości przypadków, dodatkową warstwą bezpieczeństwa jest zazwyczaj wiadomość SMS z kodem.

Czym jest aplikacja uwierzytelniająca?

Choć zapewne większość rozwiązań weryfikacji dwuetapowej, takich jak wiadomości tekstowe lub głosowe, a także powiadomienia, jest Ci już znana, to bardzo możliwe, że aplikacje uwierzytelniające nie są Ci już tak bliskie. Są one jednak stosunkowo prostym rozwiązaniem. Czym jest więc aplikacja uwierzytelniająca? Zasadniczo jest to aplikacja na telefon komórkowy, która generuje cyfrowe kody weryfikacyjne, które mogą by używane do weryfikacji Twojej tożsamości, gdy logujesz się na stronie internetowej lub w aplikacji. Jest wiele aplikacji uwierzytelniających do wyboru, na przykład Aplikacja Google Authenticator, Duo Mobile oraz Authenticator – wszystkie z nich działają w bardzo podobny sposób.

Aplikacje uwierzytelniające są ogólnie uważane za nieco bardziej bezpieczną formę 2FA niż otrzymywanie kodu w wiadomości tekstowej SMS. Spowodowane jest to tym, że z technicznego punktu widzenia, wiadomości SMS nie są czymś, co mamy, a czymś, co jest nam wysłane. Istnieje więc mała szansa, że hakerzy mogą spowodować, że operator przeniesie Twój numer komórkowy na inne urządzenie (taki typ oszustwa nazywany jest zamianą kart SIM). Zakładając, że są oni już w posiadaniu Twojego hasła, umożliwi im to dostęp do Twojego konta. Z kolei kody weryfikacyjne w aplikacjach uwierzytelniających wygasają bardzo szybko (zazwyczaj po 20 lub 30 sekundach) i nie wydostają się poza aplikację.

Jak działa 2FA? Kiedy już skonfigurujesz dwuetapową weryfikację w systemie, w formie aplikacji uwierzytelniającej, powiadomień lub wiadomości SMS, jest to bardzo proste w obsłudze. Oto przewodnik opisujący krok po kroku proces 2FA

1. Użytkownik jest poproszony o zalogowanie się na stronie internetowej lub w aplikacji.
   
2. Użytkownik wprowadza nazwę użytkownika oraz hasło, wypełniając tym samym pierwszy warunek bezpieczeństwa.
   
3. Kiedy strona rozpozna użytkownika, rozpocznie się drugi etap procesu logowania. Na tym etapie, użytkownik musi udowodnić, że posiada np. dowód osobisty lub telefon komórkowy, wypełniając przy tym drugi czynnik, a mianowicie "czynnik posiadania". W większości przypadków, użytkownik otrzyma wiadomość z jednorazowym kodem bezpieczeństwa, który służy do potwierdzenia jego tożsamości.
   
4. W etapie końcowym użytkownik wprowadza klucz zabezpieczeń i, po uwierzytelnieniu go przez stronę, otrzymuje do niej dostęp.

Dlaczego należy korzystać z weryfikacji dwuetapowej?

Jeśli chodzi o bezpieczeństwo w sieci, zdecydowanie najbardziej powszechnym czynnikiem uwierzytelniającym⁠ jest połączenie nazwy użytkownika i hasła. Oznacza to, że większość systemów korzysta jedynie z weryfikacji jednoetapowej. Od dziesiątków lat korzystamy z haseł jako standardowych sposobów zabezpieczania informacji. Istnieje jednak kilka powodów, dla których warto rozważyć dodatkowe formy zabezpieczenia. Po pierwsze, hasła dosyć łatwo można oszukać. Ludzie dość często mają słabą pamięć i w wielu przypadkach hasła, jakie wybierają są aż śmiesznie łatwe do odgadnięcia, jak na przykład „hasło”, „12345”, „qwerty” i tym podobne.

Nie należy również zapominać, że wiele osób ma teraz więcej kont internetowych niż w czasach, gdy hasła zostały wprowadzone. Sprawia to, że często trudno jest zapamiętać zbyt wiele haseł. Może to prowadzić do formułowania haseł "wielokrotnego użytku", czyli używania tego samego hasła do różnych kont, co ułatwia hakerom zdobycie do nich dostępu. Jeśli weźmiemy pod uwagę wzrost cyberprzestępczości i naruszenia danych, jak na przykład kradzież danych z 3 miliardów kont Yahoo w 2013 roku, możemy jasno zauważyć, że hasła nie są już najbezpieczniejszą formą ochrony.

Zamiast pełnoprawnego rozwiązania 2FA, niektóre strony korzystają z dodatkowego pytania jako drugiego czynnika uwierzytelniającego. Mogą więc na przykład zadać Ci pytania takie jak „Jakie jest nazwisko panieńskie Twojej matki?” lub „Jak nazywało się Twoje zwierzę z dzieciństwa?” Jednak taki sposób weryfikacji posiada całkiem sporo słabych punktów. Biorąc pod uwagę, jak wiele informacji o nas dostępnych jest w sieci, hakerzy mogą być w stanie odnaleźć odpowiedzi na te dość proste pytania. Co więcej, należy zaznaczyć, że sposób ten nie jest formą 2FA, ponieważ dodatkowe pytania są kolejnym czynnikiem wiedzy. Jest to jak gdyby dodanie dodatkowego hasła. Pod tym względem, jest to praktyka znacznie bliższa weryfikacji dwustopniowej (2SV), formie uwierzytelniania, która nie wymaga innych czynników, a jedynie składa się z kilku kroków.

Reasumując, hasła są najsłabszą formą zabezpieczenia i dlatego weryfikacja dwuetapowa jest coraz częściej wybieraną przez firmy formą standardu bezpieczeństwa.

Weryfikacja dwuetapowa... i co dalej?

Jak można łatwo zauważyć, korzyści wynikające z rozwiązania 2FA są dość znaczące. Jednak rozwiązania w kwestii bezpieczeństwa informacji nie kończą się na weryfikacji dwuetapowej. Jest ich znacznie więcej. Weryfikacja dwuetapowa nie jest wszak niezawodna. Gdyby osoba niepowołana chciała uzyskać dostęp do systemów komputerowych Waszej firmy, przeszukanie jej siedziby mogłoby pomóc jej w znalezieniu dokumentu któregoś z pracowników lub urządzenia pamięci masowej zawierającego hasła. Co więcej, hakerzy mogą przechwycić wiadomości tekstowe za pomocą wiadomości typu phishing, co potencjalnie może pozwolić im ominięcie drugiego czynnika weryfikacji. Ostatecznie skuteczność rozwiązania 2FA zależy od tego, jak mocne jest najsłabsze ogniwo w procesie bezpieczeństwa.

Jakie są więc inne dostępne możliwości? Prawdę mówiąc, 2FA jest podzbiorem znacznie większej idei: uwierzytelniania wielopoziomowego (MFA). Teoretycznie rzecz biorąc, uwierzytelnianie mogłoby być trzyetapowe, czteroetapowe, pięcioetapowe i tak dalej, aż do nieskończoności. Chociaż przeciętni użytkownicy zazwyczaj nie korzystają z opcji bardziej rozbudowanych niż weryfikacja dwuetapowa, to osoby pracujące w środowiskach, gdzie wymagany jest wysoki poziom bezpieczeństwa, mogą być zmuszone korzystać z weryfikacji trzyetapowej (3FA), zazwyczaj z użyciem jednego z czynników wrodzonych, np. odcisku palca lub skanu tęczówki.

Zabezpieczanie plików za pomocą weryfikacji dwuetapowej

Nie należy zapominać, jak ważne jest odpowiednie zabezpieczenie plików i materiałów firmowych. Szacuje się, że do roku 2021 szkody wyrządzane przez cyberprzestępczość osiągną kwotę około 6 bilionów dolarów rocznie. Szkody wywołane przez cyberprzestępczość obejmują zniszczenie danych lub ich niewłaściwe wykorzystanie, kradzież pieniędzy, późniejsze zakłócenia, kradzież własności intelektualnej oraz utratę wydajności. Należy jednak również pamiętać o ewentualnych kosztach związanych z przywróceniem zhakowanych danych lub systemów, śledztwem kryminalnym, a także szkodami wynikającymi z narażenia reputacji firmy. Jako że działania hakerów stają się coraz bardziej wyszukane, a weryfikacja dwuetapowa dla wszystkich na świecie stała się już standardem, firmy nie powinny narażać się na ryzyko cyberataków. Weryfikację jednoetapową można porównać do niezapinania pasów, biorąc pod uwagę, że samochód ma już poduszki powietrzne. Teoretycznie jesteśmy chronieni, jednak nie wykorzystujemy wszystkich dostępnych środków ostrożności.

Jak korzystać z 2FA z Dropbox

Oczywiście wdrożenie dwuetapowej weryfikacji powinno przynieść konkretne korzyści dla Twojego biznesu, jednak proces wprowadzenia 2FA w całej firmie może wydawać się trudny. Na szczęście nie musi on być aż takim wyzwaniem. Dropbox oferuje weryfikację dwuetapową. Jeśli włączysz opcję 2FA, Dropbox będzie prosić Ciebie i członków Twojego zespołu o drugą formę weryfikacji (np. sześciocyfrowe hasło lub klucz bezpieczeństwa) za każdym razem, gdy logujecie się na konto lub dołączacie nowy tablet, komputer lub telefon. Dodatkowo Dropbox oferuje szereg funkcji ochrony hasła, które mogą pomóc Twojej firmie zabezpieczyć i kontrolować dostęp do informacji wrażliwych. Możecie również ustawić daty ważności dla udostępnionych łączy oraz chronić pliki PDF i foldery hasłem.

Istnieją środki bezpieczeństwa w sieci, które możesz wdrożyć wraz z Dropbox, aby Twoje pliki były jeszcze bardziej chronione. Oferowane przez Dropbox bezpieczeństwo w chmurze jest doskonałym uzupełnieniem weryfikacji dwuetapowej. Krótko mówiąc, ochrona danych w chmurze jest najwyższym priorytetem Dropbox. Dzięki wielu warstwom zabezpieczeń znajdującym się w rozproszonej infrastrukturze chmury możesz mieć pewność, że wszystkie Twoje pliki online cieszą się takim samym poziomem ochrony. Co więcej, oferowane przez Dropbox szyfrowanie danych w chmurze klasy korporacyjnej spełnia większość światowych norm regulacyjnych.

Podsumowanie

Weryfikacja dwuetapowa zapewnia dodatkową warstwę bezpieczeństwa dla Twoich plików firmowych przechowywanych online, chroniąc dane wrażliwe przed ewentualnymi zagrożeniami cybernetycznymi.