Kontynuujemy nasze porady z cyberbezpieczeństwa na co dzień. Po artykule o bezpiecznym haśle, czas przyjrzeć się jego wykorzystaniu. Bardzo wiele aktywności internetowych wymaga od nas zalogowania. Obojętne, czy jest to portal społecznościowy, bank, sklep, a nawet gazeta, którą czytamy w ramach subskrypcji. Czas zastanowić się, czy we wszystkie te miejsca logujesz się bezpiecznie…

Logowanie to zazwyczaj połączony proces uwierzytelniania i autoryzacji. Kwestię różnicy między uwierzytelnieniem a autoryzacją poruszaliśmy już w artykule poświęconym bezpieczeństwu w frameworku Symfony, ale pozwolimy sobie tę wiedzę nieco odświeżyć.

Czym się różni uwierzytelnienie od autoryzacji? Uwierzytelnianie jest odpowiedzialne za jednoznaczną weryfikację tożsamości, którą potwierdzamy np. przy pomocy hasła. Autoryzacja to z kolei sprawdzenie przez system, jaki poziom dostępu ma uwierzytelniona osoba.

Warto podkreślić, że prawidłowym terminem stosowanym w języku polskim jest uwierzytelnianie, a nie spolszczenie słowa angielskiego – autentykacja. Słowo autentykacja w ogóle nie występuje w języku polskim, o czym dość łatwo zapomnieć, zwłaszcza działając w branży IT.

Znamy już podstawowe pojęcia bezpiecznego logowania, przejdźmy zatem do meritum.

 

Hasło to podstawa

Tak, napisaliśmy o tym cały osobny artykuł. Ale i tak przypomnimy jeszcze raz: hasło musi zawierać minimum 12 znaków, przynajmniej jedną wielką literę, przynajmniej jedną cyfrę, znaki specjalne oraz powinno być inne dla każdej usługi. Nie powinno też zawierać łatwych do odgadnięcia nazw, a najlepiej, żeby było frazą hasłową (o tym wszystkim przeczytacie we wspomnianym już wpisie).

 

Dwuetapowe uwierzytelnienie

Coraz częściej możesz spotkać się z informacją, że jakiś serwis korzysta z 2FA, czyli uwierzytelnienia dwuetapowego (ang. Two-Factor Authentication). Jest ona odpowiedzią administratorów na słabe hasła użytkowników oraz sposobem na podniesienie bezpieczeństwa usługi. Aby się zalogować, nie wystarczy, że podasz swój login i hasło – dodatkowo wymagana jest druga metoda weryfikacji. Tą dodatkową metodą może to być kod, który musisz przepisać z wiadomości SMS, bądź maila, albo uwierzytelnienie poprzez połączony z kontem smartfon (tam również może pojawić się kod do przepisania lub potwierdzenie nastąpi przy pomocy dedykowanej aplikacji). Inną metodą weryfikacji logowania jest wykorzystanie klucza fizycznego. Może to być karta z chipem, token bankowy lub urządzenia podobne do pendrive’a takie jak Yubikey. Ta metoda potwierdzania tożsamości wykorzystuje standard U2F (Universal 2nd Factor). Najprościej dwuetapowe uwierzytelnienie można opisać tak: coś, co wiesz, czyli hasło plus coś, co masz, czyli smartfon lub fizyczny token.

No ale moment – masz już skomplikowane hasło, więc dlaczego miałbyś sobie dodatkowo utrudniać życie aktywując dodatkową weryfikację? Odpowiedź jest prosta: bo w ten sposób zmniejszasz ryzyko włamania na Twoje konto. Samo złamanie lub kradzież Twojego hasła, nic już nie da “cyberwłamywaczowi”. Żeby pokonać zabezpieczenia i dostać się do interesujących go treści, musiałby jeszcze ukraść Ci telefon lub kartę z kodami. A to już utrudnia całą akcję na tyle, że zazwyczaj staje się ona niewarta zachodu – zwłaszcza, że ataki często pochodzą z innych krajów.

Dlatego koniecznie upewnij się, że masz włączoną opcję dwuetapowego uwierzytelnienia w kluczowych dla Ciebie i Twojego biznesu usługach. 2FA jest dostępne przy logowaniu do panelu AWS, Cloudflare, większości banków, konta Google oraz na niektóre konta mailowe.

W Adminotaurze wykorzystujemy metodę opartą o U2F. Każdy pracownik ma swój zewnętrzny token sprzętowy, który pozwala mu logować się do usług, które wspierają ten model zabezpieczenia. Dzięki temu znacząco wyeliminowaliśmy ryzyko błędu ludzkiego jeśli chodzi o dostęp do usług – klucz fizyczny nie potwierdzi logowania na stronie, z którą nie został wcześniej sparowany. W ten sposób podnosimy nasze standardy bezpieczeństwa jeszcze wyżej 🙂

 

Połączenie kontrolowane… czy nie?

Upewnij się również, że samo połączenie do serwisu jest zabezpieczone. Pamiętaj o sprawdzeniu poniższych elementów:

  • Czy URL strony się zgadza? – zdarzają się fałszywe strony, których adres różni się tylko o jedną literę od nazwy serwisu, z którego naprawdę chcesz skorzystać. Staraj się ręcznie wpisywać adresy www i unikaj klikania w linki, które dostajesz mailem lub w SMSie
  • Czy strona wykorzystuje certyfikat SSL? – świadczy o tym kłódka w pasku adresu. Więcej na ten temat przeczytasz w naszym artykule o SSL.
  • Czy logujesz się z zaufanej sieci WiFi? – w przypadku ważnych usług nie korzystaj z publicznych sieci WiFi. Jeżeli musisz w danym momencie połączyć się z kontem bankowym lub podobnym serwisem, radzimy skorzystanie z tzw. prywatnego hotspota (sieci udostępnionej z telefonu). Najlepiej używać też odpowiednio skonfigurowanego VPNa.
  • Czy używasz zaufanego urządzenia? – zasadnicza rada brzmi: loguj się tylko z własnych urządzeń. Komputer dostępny w bibliotece, na dworcu lub w sklepie elektronicznym nie jest do tego odpowiednim miejscem (sesja prywatna nie ukrywa wszystkiego).

Mamy nadzieję, że znasz wymienione przez nas rady i od dawna je stosujesz, a lektura tego wpisu była dla Ciebie jedynie przypomnieniem. Jeżeli nie, to najwyższy czas, zadbać o bezpieczeństwo na poziomie logowania 🙂