Hasła wyciekają. Co więc zrobić, żeby dane pozostały nadal bezpieczne? Odpowiedzią jest uwierzytelnianie wieloskładnikowe (MFA), które najczęściej występuje w postaci uwierzytelniania dwupoziomowego (2FA). Tu spotykamy się z różnymi opcjami – kody generowane i wysyłane poprzez wiadomości SMS, kody generowane w odpowiednich aplikacjach, czy potwierdzenie logowania na mailu bądź w aplikacji. Wszystkie te metody mają jednak swoją wadę. Da się je przechwycić.
Ataki phishingowe w postaci spreparowanych stron mogą być na tyle dobrze przygotowane, że poproszą o podanie loginu i hasła do konta oraz kodu wygenerowanego w aplikacji. Jeśli korzystasz z potwierdzenia poprzez kliknięcie w aplikacji, odpowiedni bot spróbuje się zalogować podanymi przez Ciebie danymi na prawdziwą stronę w ułamku sekundy, w związku z czym potwierdzenie przyjdzie jak najbardziej poprawne – w końcu próbujesz się zalogować. Osoba nieprzygotowana na takie ataki poda wszystkie swoje dane i… straci dostęp do konta. Albo nawet do wielu, jeśli nie korzysta z MFA i wykorzystuje wszędzie takie same hasła.
I tu do gry wchodzi klucz U2F. Klucz będący fizycznym urządzeniem, służącym do podwójnej autentykacji. Użycie go jako drugiej warstwy zabezpieczenia całkowicie uniemożliwia jakiekolwiek włamanie na konto, co potwierdzają statystyki firmy Google. Od kiedy rozdali wszystkim pracownikom klucze U2F i wymagają ich wykorzystania, liczba ataków phishingowych dokonanych z sukcesem spadła do zera. W jaki sposób więc fizyczny klucz uniemożliwia dostęp nieuprawnionym osobom?
Phisherzy nie są w stanie przez internet wykraść z tego urządzenia żadnych informacji. Gwarantuje to tzw. “secure element” wbudowany w klucz, który w uproszczeniu jest małym komputerem. Po włożeniu klucza do portu USB lub zbliżeniu do czytnika NFC, klucz otrzymuje zasilanie i może przeprowadzić bezpieczne, kryptograficzne operacje “w sobie”, a nie na Twoim urządzeniu. Dzięki takiemu podejściu twój kryptograficzny sekret, używany do uwierzytelniania dwuskładnikowego w serwisach internetowych i aplikacjach nigdy nie opuszcza klucza U2F, a więc phisherzy nie są w stanie go wykraść.
Klucz U2F firmy Yubico – wiodącego producenta kluczy U2F można kupić u naszych przyjaciół w sklep.niebezpiecznik.pl!
Zdjęcie dzięki uprzejmości Daniele Franchi
