Prisiminkite tuos laikus, kai slapta\u017eodis buvo vienintel\u0117 gynybos linija tarp j\u016bs\u0173 ir vis\u0173 asmenini\u0173 duomen\u0173. \u012eved\u0117te “Petras123” ir jausdavot\u0117s saug\u016bs. Na, tie laikai seniai pra\u0117jo. Kibernetiniai nusikalt\u0117liai tapo tokie gudresni, kad paprastas slapta\u017eodis dabar yra ma\u017edaug toks pat patikimas kaip dur\u0173 u\u017eraktas i\u0161 kartono.<\/p>\n
Dviej\u0173 veiksni\u0173 autentifikavimas (arba 2FA, kaip j\u012f m\u0117gsta trumpinti technologij\u0173 entuziastai) atsirado kaip atsakas \u012f \u0161i\u0105 problem\u0105. Pagrindin\u0117 id\u0117ja paprasta: jei vienas u\u017eraktas n\u0117ra pakankamai saugus, tai panaudokime du. Pirmas veiksnys \u2013 tai ka\u017ekas, k\u0105 j\u016bs \u017einote (slapta\u017eodis), o antras \u2013 ka\u017ekas, k\u0105 j\u016bs turite (telefonas, specialus \u012frenginys) arba ka\u017ekas, kuo j\u016bs esate (pir\u0161t\u0173 atspaudai, veido atpa\u017einimas).<\/p>\n
Pirmieji rimti bandymai \u012fdiegti papildom\u0105 apsaugos sluoksn\u012f atsirado dar devintojo de\u0161imtme\u010dio pabaigoje, kai bankai prad\u0117jo naudoti specialius aparatus, generuojan\u010dius vienkartines prieigos kodes. Tie ma\u017ei plastikiniai \u012frenginiai su ekran\u0117liu, rodan\u010diu vis kintan\u010dius skai\u010dius, buvo revoliucija savo laikais. Tiesa, jie buvo gana brang\u016bs ir nepatog\u016bs, bet veik\u0117.<\/p>\n
Dabar pereikime prie \u012fdomesn\u0117s dalies \u2013 kaip tie keisti skai\u010diai j\u016bs\u0173 telefone i\u0161 tikr\u0173j\u0173 apsaugo j\u016bs\u0173 paskyr\u0105? Yra keletas skirting\u0173 b\u016bd\u0173, bet populiariausias vadinamas TOTP (Time-based One-Time Password). Skamba sud\u0117tingai, bet principas gana paprastas.<\/p>\n
Kai pirm\u0105 kart\u0105 nustatote dviej\u0173 veiksni\u0173 autentifikavim\u0105, pavyzd\u017eiui, Google paskyroje, vyksta slaptas informacijos apsikeitimas. Serveris sugeneruoja unikal\u0173 slapt\u0105 rakt\u0105 ir perduoda j\u012f j\u016bs\u0173 telefonui (da\u017eniausiai per t\u0105 juod\u0105-balt\u0105 QR kod\u0105, kur\u012f skenuojate). \u0160is raktas yra kaip abipus\u0117 paslaptis tarp j\u016bs\u0173 ir serverio.<\/p>\n
Toliau prasideda matematikos magija. J\u016bs\u0173 telefono programa (kaip Google Authenticator ar Authy) ima \u0161\u012f slapt\u0105 rakt\u0105, sujungia j\u012f su dabartiniu laiku (suapvalinu iki 30 sekund\u017ei\u0173 intervalo) ir praleid\u017eia per special\u0173 algoritm\u0105, vadinam\u0105 HMAC-SHA1. Rezultatas \u2013 \u0161e\u0161i\u0173 skaitmen\u0173 kodas, kuris kei\u010diasi kas 30 sekund\u017ei\u0173.<\/p>\n
Kai j\u016bs \u012fvedate \u0161\u012f kod\u0105 prisijungdami, serveris atlieka t\u0105 pat\u012f skai\u010diavim\u0105 savo pus\u0117je. Jei j\u016bs\u0173 \u012fvestas kodas sutampa su tuo, k\u0105 apskai\u010diavo serveris \u2013 puiku, esate viduje. Jei ne \u2013 li\u016bdnas pyptel\u0117jimas ir bandykite dar kart\u0105.<\/p>\n
Daugelis \u017emoni\u0173 pirm\u0105 kart\u0105 susiduria su dviej\u0173 veiksni\u0173 autentifikavimu b\u016btent per SMS \u017einutes. \u012evedate slapta\u017eod\u012f, po keli\u0173 sekund\u017ei\u0173 gaunat \u017einut\u0119 su kodu, \u012fvedate j\u012f \u2013 ir viskas. Paprasta kaip trys kapeikos.<\/p>\n
Bet \u0161tai problema: SMS \u017einut\u0117s i\u0161 tikr\u0173j\u0173 n\u0117ra tokios saugios, kaip gal\u0117tum\u0117te pagalvoti. Yra keletas b\u016bd\u0173, kaip nusikalt\u0117liai gali jas perimti. Vienas i\u0161 populiariausi\u0173 metod\u0173 vadinamas SIM swap ataka. Suk\u010diai apgaulingai \u012ftikina j\u016bs\u0173 mobiliojo ry\u0161io operatori\u0173, kad jie esate j\u016bs, ir pra\u0161o perkelti j\u016bs\u0173 numer\u012f \u012f nauj\u0105 SIM kortel\u0119. Kai tai pavyksta, visos j\u016bs\u0173 SMS \u017einut\u0117s keliauja tiesiai pas juos.<\/p>\n
Kitas b\u016bdas \u2013 SS7 protokolo pa\u017eeid\u017eiamumas. SS7 yra sena telekomunikacij\u0173 sistema, kuria naudojasi mobilaus ry\u0161io operatoriai visame pasaulyje. Ji turi rimt\u0173 saugumo sprag\u0173, kurias i\u0161naudojant galima perimti SMS \u017einutes. Tiesa, tokios atakos reikalauja nema\u017eai technini\u0173 \u017eini\u0173 ir resurs\u0173, bet jos tikrai \u012fmanomos.<\/p>\n
D\u0117l \u0161i\u0173 prie\u017eas\u010di\u0173 saugumo ekspertai vis garsiau \u0161aukia, kad SMS \u017einut\u0117s tur\u0117t\u0173 b\u016bti tik paskutin\u0117 galimyb\u0117, kai nieko geresnio n\u0117ra. Bet realyb\u0117 tokia, kad daugumai \u017emoni\u0173 jos vis dar yra patogiausias variantas.<\/p>\n
Jei norite rimto saugumo, autentifikavimo program\u0117l\u0117s yra tas kelias. Google Authenticator, Microsoft Authenticator, Authy, 1Password \u2013 pasirinkim\u0173 yra daug. Jos visos veikia pana\u0161iu principu, kur\u012f apra\u0161iau anks\u010diau, bet kiekviena turi savo ypatum\u0173.<\/p>\n
Google Authenticator yra minimalistin\u0117 ir paprasta, bet turi vien\u0105 didel\u012f tr\u016bkum\u0105 \u2013 jei prarandate telefon\u0105, prarandate ir visus savo kodus. N\u0117ra jokios atsargin\u0117s kopijos debesyje. Authy \u0161i\u0105 problem\u0105 i\u0161sprend\u0117 leisdama sinchronizuoti kodus tarp keli\u0173 \u012frengini\u0173, bet kai kurie saugumo puristas teigia, kad tai kuria papildom\u0105 rizik\u0105.<\/p>\n
Nustatyti \u0161ias program\u0117les paprastai nesud\u0117tinga. Einate \u012f paskyros nustatymus, ie\u0161kote saugumo skyriaus, pasirenkate “dviej\u0173 veiksni\u0173 autentifikavimas” ir skenuojate QR kod\u0105. Program\u0117l\u0117 automati\u0161kai pradeda generuoti kodus. Svarbu i\u0161sisaugoti atsarginius kodus, kuriuos da\u017eniausiai gausite nustatymo metu \u2013 jie i\u0161gelb\u0117s, jei prarasite telefon\u0105.<\/p>\n
Vienas patarimas i\u0161 praktikos: kai nustatote 2FA, padarykite ekrano nuotrauk\u0105 to QR kodo ir i\u0161saugokite j\u0105 saugioje vietoje (ne telefone!). Jei kada nors reik\u0117s atkurti prieig\u0105, gal\u0117site tiesiog nuskenuoti t\u0105 i\u0161saugot\u0105 kod\u0105 naujame telefone.<\/p>\n
Dabar pakalb\u0117kime apie tikrai rimt\u0105 dalyk\u0105 \u2013 fizini\u0173 saugumo rakt\u0173. Tai ma\u017ei USB \u012frenginiai (arba NFC palaikantys), kuriuos \u012fki\u0161ate \u012f kompiuter\u012f arba prilaikote prie telefono, kad patvirtintum\u0117te savo tapatyb\u0119. Populiariausi yra YubiKey ir Google Titan.<\/p>\n
\u0160ie raktai naudoja standart\u0105, vadinam\u0105 FIDO2 arba U2F. Principas \u0161iek tiek skiriasi nuo autentifikavimo program\u0117li\u0173. Kai registruojate rakt\u0105 svetain\u0117je, jis sugeneruoja unikali\u0105 kriptografin\u0119 rakt\u0173 por\u0105 \u2013 privat\u0173 ir vie\u0161\u0105 rakt\u0105. Vie\u0161as raktas i\u0161siun\u010diamas serveriui, o privatus lieka u\u017erakintas pa\u010diame fiziniame rakte ir niekada jo nepalieka.<\/p>\n
Kai prisijungiate, serveris i\u0161siun\u010dia i\u0161\u0161\u016bk\u012f (challenge), kur\u012f j\u016bs\u0173 raktas turi pasira\u0161yti savo priva\u010diu raktu. \u0160is procesas \u012frodo, kad j\u016bs turite t\u0105 konkret\u0173 fizin\u012f \u012frengin\u012f, bet niekada neatskleid\u017eia paties privataus rakto. Net jei kas nors per\u0117m\u0117 vis\u0105 j\u016bs\u0173 interneto sraut\u0105, jie nieko negali padaryti be to fizinio rakto.<\/p>\n
Fizini\u0173 rakt\u0173 privalumai akivaizd\u016bs \u2013 jie prakti\u0161kai ne\u012fveikiami nuotolin\u0117ms atakoms. Niekas negali j\u0173 “pavogti” per internet\u0105. Bet yra ir tr\u016bkum\u0173: juos galima fizi\u0161kai prarasti, jie kainuoja pinig\u0173 (nuo 20 iki 70 eur\u0173), ir ne visos svetain\u0117s juos palaiko. Be to, jei turite tik vien\u0105 rakt\u0105 ir j\u012f prarandate \u2013 problemos garantuotos. Tod\u0117l rekomenduojama tur\u0117ti bent du raktus ir vien\u0105 laikyti saugioje vietoje kaip atsargin\u012f.<\/p>\n
Pir\u0161t\u0173 atspaudai, veido atpa\u017einimas, rainel\u0117s skenavimas \u2013 visa tai skamba kaip mokslin\u0117s fantastikos filmas, bet dabar yra m\u016bs\u0173 ki\u0161en\u0117se. Beveik kiekvienas \u0161iuolaikinis i\u0161manusis telefonas turi bent vien\u0105 i\u0161 \u0161i\u0173 technologij\u0173.<\/p>\n
Biometrinis autentifikavimas techni\u0161kai \u0161iek tiek skiriasi nuo kit\u0173 2FA metod\u0173. Kai nuskenuojate pir\u0161t\u0105 ar veid\u0105, sistema nei\u0161saugo tikslios j\u016bs\u0173 biometrinio duomens kopijos. Vietoj to, ji sukuria matematin\u012f \u0161ablono atvaizd\u0105 \u2013 savoti\u0161k\u0105 “pir\u0161t\u0173 atspaudo para\u0161\u0105”. \u0160is \u0161ablonas saugomas saugioje telefono dalyje, vadinama Secure Enclave (Apple) arba Trusted Execution Environment (Android).<\/p>\n
Kai bandote prisijungti, sistema palygina nauj\u0105 skaitym\u0105 su i\u0161saugotu \u0161ablonu ir apskai\u010diuoja pana\u0161umo procent\u0105. Jei jis vir\u0161ija tam tikr\u0105 slenkst\u012f \u2013 prieiga suteikiama. Viskas vyksta vietoje, j\u016bs\u0173 \u012frenginyje, ir biometriniai duomenys niekada nekeliauja \u012f serverius (bent jau teori\u0161kai ir kai sistema sukurta teisingai).<\/p>\n
Biometrijos privalumas \u2013 ne\u012ftik\u0117tinas patogumas. Nereikia nieko \u012fvedin\u0117ti ar prisiminti. Bet yra ir rimt\u0173 tr\u016bkum\u0173. Pir\u0161t\u0173 atspaudus galima nukopijuoti (nors tai nelengva), veido atpa\u017einim\u0105 kartais galima apgauti nuotrauka (priklausomai nuo sistemos kokyb\u0117s). Ir svarbiausia \u2013 jei j\u016bs\u0173 biometriniai duomenys vis d\u0117lto nuteka, j\u016bs negalite j\u0173 pakeisti kaip slapta\u017eod\u017eio. Negalite tiesiog “u\u017esiauginti” nauj\u0173 pir\u0161t\u0173 atspaud\u0173.<\/p>\n
Net su dviej\u0173 veiksni\u0173 autentifikavimu nusikalt\u0117liai neranda ramyb\u0117s. Jie suk\u016br\u0117 nauj\u0173 metod\u0173, kaip apgauti net ir \u0161i\u0105 papildom\u0105 apsaug\u0105. Vienas i\u0161 populiariausi\u0173 \u2013 phishing atakos, pritaikytos 2FA ap\u0117jimui.<\/p>\n
\u0160tai kaip tai veikia: gaunat el. lai\u0161k\u0105, kuris atrodo kaip nuo Google, Facebook ar kitos paslaugos. Jame sakoma, kad ka\u017ekas bando prisijungti prie j\u016bs\u0173 paskyros, ir j\u016bs turite skubiai patvirtinti savo tapatyb\u0119. Paspaud\u017eiate nuorod\u0105 ir patenkate \u012f svetain\u0119, kuri atrodo visi\u0161kai autenti\u0161ka \u2013 teisingas logotipas, spalvos, dizainas, viskas.<\/p>\n
\u012evedate savo slapta\u017eod\u012f. Svetain\u0117 pra\u0161o 2FA kodo. J\u016bs j\u012f \u012fvedate. Ir \u0161tai \u010dia \u012fvyksta apgaul\u0117: ta netikra svetain\u0117 realiu laiku perduoda j\u016bs\u0173 duomenis tikrajai svetainei, gauna tikr\u0105 2FA kod\u0105, kur\u012f j\u016bs k\u0105 tik \u012fved\u0117te, ir naudoja j\u012f prisijungti prie j\u016bs\u0173 paskyros. Viskas vyksta per kelias sekundes, ir j\u016bs net nepastebite.<\/p>\n
Apsiginti nuo toki\u0173 atak\u0173 padeda fiziniai saugumo raktai, nes jie patikrina ne tik j\u016bs\u0173 tapatyb\u0119, bet ir svetain\u0117s autenti\u0161kum\u0105. Jei bandote naudoti rakt\u0105 netikroje svetain\u0117je, jis tiesiog neveiks. Tai viena i\u0161 prie\u017eas\u010di\u0173, kod\u0117l didel\u0117s korporacijos ir vyriausybin\u0117s institucijos pereina prie fizini\u0173 rakt\u0173.<\/p>\n
Gerai, dabar \u017einote, kaip visa tai veikia. Bet kaip tai prakti\u0161kai \u012fgyvendinti savo gyvenime, kad b\u016bt\u0173 ir saugu, ir patogu? \u0160tai keletas konkre\u010di\u0173 rekomendacij\u0173 i\u0161 realios praktikos.<\/p>\n
Pirma, \u012fjunkite 2FA visur, kur tik galite, bet prad\u0117kite nuo svarbiausi\u0173 viet\u0173: el. pa\u0161tas, banko paskyros, socialiniai tinklai. J\u016bs\u0173 el. pa\u0161tas yra ypa\u010d kritinis, nes per j\u012f galima atkurti prieig\u0105 prie daugelio kit\u0173 paskyr\u0173. Jei kas nors \u012fsilau\u017eia \u012f j\u016bs\u0173 el. pa\u0161t\u0105, jie gali perkonfig\u016bruoti vis\u0105 j\u016bs\u0173 skaitmenin\u012f gyvenim\u0105.<\/p>\n
Antra, naudokite autentifikavimo program\u0117les vietoj SMS, kai tik \u012fmanoma. Taip, SMS patogesn\u0117s, bet saugumas tur\u0117t\u0173 b\u016bti prioritetas. Jei jau nusprend\u0117te naudoti program\u0117l\u0119, pasirinkite toki\u0105, kuri leid\u017eia daryti atsargines kopijas \u2013 Authy ar 1Password yra geri pasirinkimai.<\/p>\n
Tre\u010dia, VISADA i\u0161sisaugokite atsarginius kodus. Kai nustatote 2FA, sistema paprastai sugeneruoja 8-10 vienkartini\u0173 naudojimo kod\u0173. I\u0161spausdinkite juos ir laikykite saugioje vietoje \u2013 ne telefone, ne kompiuteryje. Kai kurie \u017emon\u0117s laiko juos banko seife, kiti \u2013 u\u017erakintame stal\u010diuje namuose. Raskite sprendim\u0105, kuris jums tinka.<\/p>\n
Ketvirta, jei rimtai r\u016bpinasi saugumu (ypa\u010d jei turite verslo paskyr\u0105 ar tvarkote jautri\u0105 informacij\u0105), investuokite \u012f du fizinius saugumo raktus. Vien\u0105 naudokite kasdien, kit\u0105 laikykite kaip atsargin\u012f. Taip, tai kainuoja apie 40-100 eur\u0173, bet palyginti su potencialia \u017eala nuo \u012fsilau\u017eimo \u2013 tai niekas.<\/p>\n
Penkta, b\u016bkite atsarg\u016bs su “patik\u0117tais \u012frenginiais”. Daugelis paslaug\u0173 si\u016blo pa\u017eym\u0117ti \u012frengin\u012f kaip patikim\u0105, kad nereik\u0117t\u0173 \u012fvedin\u0117ti 2FA kodo kiekvien\u0105 kart\u0105. Tai patogu, bet naudokite \u0161i\u0105 funkcij\u0105 tik savo asmeniniuose \u012frenginiuose, niekada \u2013 vie\u0161uose kompiuteriuose ar svetimuose telefonuose.<\/p>\n
Dviej\u0173 veiksni\u0173 autentifikavimas n\u0117ra tobulas, bet tai geriausias \u012frankis, kur\u012f \u0161iuo metu turime. Technologijos nuolat tobul\u0117ja \u2013 nauji standartai kaip WebAuthn ir FIDO2 daro autentifikavim\u0105 ir saugesniu, ir patogesniu. Kai kurios kompanijos jau eksperimentuoja su “slapta\u017eod\u017ei\u0173 neturin\u010diu” prisijungimu, kur visas procesas remiasi tik biometrija ir fiziniais raktais.<\/p>\n
Bet kol ta ateitis pilnai ateis, svarbu suprasti, kaip veikia dabartin\u0117s technologijos ir kaip jas tinkamai naudoti. Dviej\u0173 veiksni\u0173 autentifikavimas n\u0117ra ne\u012fveikiama siena, bet jis pakankamai pakeli\u0105 kartel\u0119, kad dauguma nusikalt\u0117li\u0173 tiesiog persijungt\u0173 \u012f lengvesnius taikinius. O tai, gal\u0173 gale, ir yra tikslas \u2013 ne b\u016bti visi\u0161kai ne\u012fveikiamam, o b\u016bti sunkesniu taikini\u0173 nei kiti.<\/p>\n
Taigi \u012fjunkite t\u0105 2FA, i\u0161sisaugokite atsarginius kodus ir miegokite ramiau \u017einodami, kad j\u016bs\u0173 skaitmeninis gyvenimas yra bent \u0161iek tiek saugesnis. Ir atminkite \u2013 technologijos kei\u010diasi, bet pagrindinis principas lieka tas pats: vienas u\u017eraktas geras, du \u2013 geriau.<\/p>","protected":false},"excerpt":{"rendered":"