Październik to tradycyjnie Europejski Miesiąc Cyberbezpieczeństwa. Przypomnimy więc wam, z tej okazji, pewne podstawowe zasady, które znaczącą zmniejszą możliwość zhakowania was w sieci.

Do ochrony swoich kont internetowych, i to nie tylko tych bankowych, ale również np. do Facebooka, Netflixa, Instagrama, czy każdej (jakiejkolwiek) usługi, używasz jedynie loginu i hasła? Niedobrze. W chwili nieuwagi może przytrafić ci się to, co pewnej użytkowniczce Twittera. Przypadek, roztargnienie, nieszczęśliwy zbieg okoliczności sprawił, że dała złapać się na phishing w efekcie którego straciła ze swojego konta bankowego 2 tysiące złotych. A takich przykładów są dziesiątki.

Jednym z rozwiązań i ochroną przed tego typu atakami lub atakami polegającymi na zgadywaniu, zdobywaniu lub złamaniu hasła do jakiejś usługi jest wprowadzenie wielopoziomowego uwierzytelniania, np. w postaci uwierzytelniania dwuskładnikowego. Polega to na dodaniu do standardowego loginu i hasła kolejnego czynnika (czegoś, co masz), który, przynajmniej w zamierzeniu, powinien utrudnić znacznie możliwość przejęcia konta przez przestępcę. Tym dodatkowym czynnikiem może być kod autoryzacyjny otrzymywany poprzez SMS lub sześciocyfrowy kod generowany przez aplikację zainstalowaną na smartfonie lub też, co raz rzadziej obecnie, na zewnętrznym, fizycznym tokenie. Takimi aplikacjami są np. Google Authenticator lub Authenticator firmy Microsoft. Ale i użytkownik tego typu zabezpieczenia może paść ofiarą zmyślnie przeprowadzonego ataku spear phishingowego lub ataku polegającego na przejęciu numeru telefonu, a tym samym kodów autoryzacyjnych. Jakie jest więc rozwiązanie optymalne dla bezpieczeństwa?

Fizyczny klucz U2F

Fizyczny klucz U2F (Universal 2 Factor) to urządzenie przypominające swoim wyglądem pamięć zewnętrzną i tak też się z niego korzysta. Urządzenie to jest wpinane w port USB komputera. Skonfigurowane na stronie obsługującej takie uwierzytelnianie za pomocą klucza sprzętowego generuje parę kluczy, które tam też (w danym serwisie) są przetrzymywane. Powoduje to, że klucza możemy teoretycznie użyć na nieskończonej ilości serwisów. Po skonfigurowaniu go, przy próbie logowania serwis w którym mamy konto wysyła tzw. challenge, który zostaje podpisany przez nasze urządzenie i wysłany z powrotem. Nasz klucz współpracuje bezpośrednio z przeglądarką co czyni go niepodatnym na ataki typu keylogger czy phishing.

Konfiguracja i użycie

Klucza sprzętowego możecie używać w przeróżnych serwisach. Jako przykład niech posłuży nam w tym przypadku Facebook. Uwierzytelnianie dwuskładnikowe możecie skonfigurować wchodząc w Ustawienia i prywatność, Ustawienia oraz opcję Bezpieczeństwo i logowanie. Znajdziecie tam Uwierzytelnianie dwuskładnikowe i opcję Klucz zabezpieczeń.

Konfiguracja jest banalna, w pewnym momencie będziecie musieli po prostu dotknąć złotego, podświetlonego miejsca klucza. Tak samo będzie w momencie, kiedy po skonfigurowaniu go będziecie chcieli się w jakimś serwisie zalogować. Nie ma praktycznie możliwości, żeby takie zabezpieczenie obejść. Klucz musicie mieć jednak przy sobie, niektóre serwisy proponują wydrukowanie i zachowanie w bezpiecznym miejscu kodów ratunkowych, które pozwolą wam odzyskać konto w przypadku uszkodzenia lub zagubienia klucza. I choć nie spotkałem się jeszcze z uszkodzeniem takiego urządzenia, to zgubić można je oczywiście bardzo łatwo. Jeśli chodzi o uciążliwość tego typu metody logowania to jest to kwestia przywyczajenia. Uciążliwość nie jest na tyle wielka, żeby mogła przysłonić nam plusy, jakie generuje w kwestii bezpieczeństwa naszych zasobów i kont.

Różne rodzaje kluczy

Na rynku znajdziecie różne rodzaje kluczy U2F. Najtańsza i podstawowa wersja tak naprawdę wystarczy większości z użytkowników. Obsługuje podstawowoe protokoły U2F oraz FIDO2 oraz posiada wsparcie dla NFC. Inne, droższe modele, obsługują również karty inteligentne, OpenPGP, OTP lub są dedykowane dla urządzeń Apple.

Europejski Miesiąc Cyberbezpieczeństwa to inicjatywa organizowana przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską, która trwa przez cały październik. Głównym jej celem jest podnoszenie wiedzy i świadomości na temat szeroko rozumianego cyberbezpieczeństwa i kierowana jest do wszystkich użytkowników Internetu – zarówno tych, którzy z sieci korzystają zawodowo, codziennie, jak i tych, którzy okazjonalnie odwiedzają wirtualną przestrzeń. Co ważne, cyberbezpieczeństwo stało się szczególnie ważne w czasach powszechnego dostępu i używania smartfonów oraz urządzeń gospodarstwa domowego, które mają dostęp do Internetu.

Testowany przeze mnie klucz to Yubico Security Key NFC przekazany kiedyś przez Zaufana Trzecia Strona.

{loadmoduleid 1123}