Bezpieczeństwo w sieci, czyli uwierzytelnianie dwuskładnikowe.

W obecnych czasach wiele spraw związanych z codziennym życiem jest załatwiana poprzez sieć internetową. Praktycznie każdy, aktywny użytkownik internetu posiada konta społecznościowe, internetowe konta bankowe oraz wirtualne konta na portalach aukcyjnych, oraz sklepach internetowych.

Dlaczego bezpieczeństwo logowania jest istotne?

Podstawowym sposobem weryfikacji tożsamości jest nazwa użytkownika oraz hasło. Jednakże rozwój tego typu usług internetowych spowodował wzrost cyber przestępczości. Firmy świadczące usługi internetowe dokładają wielu starań, aby zabezpieczyć ich aplikacje przed atakami hakerskimi, ale równie ważne jest zachowanie samych użytkowników. Często to właśnie z winy tych drugi dochodzi do kradzieży pieniędzy czy innego typu wyłudzeń. Przyczyną tego stanu rzeczy przeważnie jest niefrasobliwość w stosowaniu prostych haseł, otwierania podejrzanych linków oraz podawanie danych do logowania osobom trzecim.

Jednym ze sposobów lepszego zabezpieczenia portali internetowych jest uwierzytelnianie dwuskładnikowe, które znacząco poprawia stan zabezpieczenia kont internetowych. Przykładem serwisów, które wykorzystują tego typu autoryzację, są aplikacje bankowe, ale także Facebook i Gmail.

Zasada działa uwierzytelniania dwuskładnikowego

Całość polega na wykorzystaniu dodatkowego mechanizmu, w stosunku do zwykłego logowania, który potwierdzi tożsamość użytkownika w sposób jednoznaczny. Logując się do jakiegoś serwisu, podajemy w pierwszej kolejności dane logowania, czyli login i hasło. Po pomyślnym przejściu pierwszego etapu, system, w zależności od zaimplementowanego mechanizmu może wysłać do użytkownika jednorazowy kod SMS, który należy wpisać w wyznaczone pole. Dopiero w tym momencie tożsamość logującego jest potwierdzona i może przejść do serwisu.

Inny mechanizm może polegać na wykorzystaniu haseł generowanych przez aplikację mobilną, klucza sprzętowego czy odchodzących już do niepamięci kart-zdrapek.

Jeżeli przestępcy poznaliby hasło użytkownika, to nie będą w stanie przejść drugiego etapu, a jednocześnie użytkownik zostanie zaalarmowany o nieautoryzowanym logowaniu poprzez zaskakujący SMS z hasłem jednorazowym. Gmail i Facebook stosuje również powiadamianie e-mailowe o logowaniu z nieznanego urządzenia.

Zobacz również: Czym różni się spoofing od phishingu?

Możliwe sposoby omijania weryfikacji dwuskładnikowej

Pomimo stosowania tego typu weryfikacji cyber przestępcy nie próżnują i wymyślają różne sposoby, które pozwalają na ominięcie uwierzytelniania dwuskładnikowego.

Przestępcy często podmieniają strony internetowe firm na swoje. Takie witryny wyglądają niemal identycznie. Służy to wydobycia danych logowania, dlatego też po wprowadzeniu kodów SMS dokładali oni dodatkowe pole do wpisania kodu z SMS. Inną metodą ekstrakcji haseł jednorazowych jest złośliwe oprogramowanie instalowane na telefonie ofiary. Tego typu aplikacje wydobywają kod i przesyłają je do przestępców, umożliwiając im zalogowanie się do serwisu.

Kolejnym sposobem jest podmienianie mobilnych aplikacji bankowych. Tego typu atakowi padli klienci Banku Zachodniego WBK, gdyż w 2018 r. w sklepie Google Play było aż siedem różnych aplikacji obsługujących bankowość mobilną. Wszystkie one przechwytywały dane uwierzytelniające w momencie logowania oraz prosiły o dostęp do powiadomień, dzięki czemu miały dostęp do kodów jednorazowych.

W przypadku aplikacji mobilnych generujących hasła jednorazowe sprawa dla przestępców się komplikuje, ponieważ na razie nie słychać o wielu przypadkach przechwytywania tego typu kodów. Jedynym zaraportowanym przypadkiem wycieku tego typu kodów jest zmodyfikowany trojan Cerberus, który wykonywał zrzuty ekranów i przesyłał je do osób trzecich. To złośliwe oprogramowanie bazuje na podatności z 2014 r. w aplikacji Google Authenticator. Wybierając więc program do uwierzytelniania, warto zwrócić uwagę na możliwość wykonywania w niej zrzutów ekranu.

Podsumowanie

Uwierzytelnianie dwuskładnikowe znacząco poprawia bezpieczeństwo naszych kont na portalach internetowych i aplikacjach mobilnych. Jednakże wraz z nim przestępcy wypracowali nowe metody ich obejścia. Należy pamiętać, że oprócz zabezpieczeń serwowanych przez producentów ważne jest, aby użytkownik uważał na podawanie danych na podejrzanych stronach oraz zawsze kierował się rozsądkiem. Nawet najlepsze zabezpieczenia nie uchronią nas, jeżeli nie zadbamy o nie sami.