Kas tas dviejų veiksnių autentifikavimas ir kodėl jis atsirado
Prisiminkite tuos laikus, kai slaptažodis buvo vienintelė gynybos linija tarp jūsų ir visų asmeninių duomenų. Įvedėte „Petras123” ir jausdavotės saugūs. Na, tie laikai seniai praėjo. Kibernetiniai nusikaltėliai tapo tokie gudresni, kad paprastas slaptažodis dabar yra maždaug toks pat patikimas kaip durų užraktas iš kartono.
Dviejų veiksnių autentifikavimas (arba 2FA, kaip jį mėgsta trumpinti technologijų entuziastai) atsirado kaip atsakas į šią problemą. Pagrindinė idėja paprasta: jei vienas užraktas nėra pakankamai saugus, tai panaudokime du. Pirmas veiksnys – tai kažkas, ką jūs žinote (slaptažodis), o antras – kažkas, ką jūs turite (telefonas, specialus įrenginys) arba kažkas, kuo jūs esate (pirštų atspaudai, veido atpažinimas).
Pirmieji rimti bandymai įdiegti papildomą apsaugos sluoksnį atsirado dar devintojo dešimtmečio pabaigoje, kai bankai pradėjo naudoti specialius aparatus, generuojančius vienkartines prieigos kodes. Tie maži plastikiniai įrenginiai su ekranėliu, rodančiu vis kintančius skaičius, buvo revoliucija savo laikais. Tiesa, jie buvo gana brangūs ir nepatogūs, bet veikė.
Kaip iš tikrųjų veikia kodų generavimas
Dabar pereikime prie įdomesnės dalies – kaip tie keisti skaičiai jūsų telefone iš tikrųjų apsaugo jūsų paskyrą? Yra keletas skirtingų būdų, bet populiariausias vadinamas TOTP (Time-based One-Time Password). Skamba sudėtingai, bet principas gana paprastas.
Kai pirmą kartą nustatote dviejų veiksnių autentifikavimą, pavyzdžiui, Google paskyroje, vyksta slaptas informacijos apsikeitimas. Serveris sugeneruoja unikalų slaptą raktą ir perduoda jį jūsų telefonui (dažniausiai per tą juodą-baltą QR kodą, kurį skenuojate). Šis raktas yra kaip abipusė paslaptis tarp jūsų ir serverio.
Toliau prasideda matematikos magija. Jūsų telefono programa (kaip Google Authenticator ar Authy) ima šį slaptą raktą, sujungia jį su dabartiniu laiku (suapvalinu iki 30 sekundžių intervalo) ir praleidžia per specialų algoritmą, vadinamą HMAC-SHA1. Rezultatas – šešių skaitmenų kodas, kuris keičiasi kas 30 sekundžių.
Kai jūs įvedate šį kodą prisijungdami, serveris atlieka tą patį skaičiavimą savo pusėje. Jei jūsų įvestas kodas sutampa su tuo, ką apskaičiavo serveris – puiku, esate viduje. Jei ne – liūdnas pyptelėjimas ir bandykite dar kartą.
SMS žinutės: patogumas prieš saugumą
Daugelis žmonių pirmą kartą susiduria su dviejų veiksnių autentifikavimu būtent per SMS žinutes. Įvedate slaptažodį, po kelių sekundžių gaunat žinutę su kodu, įvedate jį – ir viskas. Paprasta kaip trys kapeikos.
Bet štai problema: SMS žinutės iš tikrųjų nėra tokios saugios, kaip galėtumėte pagalvoti. Yra keletas būdų, kaip nusikaltėliai gali jas perimti. Vienas iš populiariausių metodų vadinamas SIM swap ataka. Sukčiai apgaulingai įtikina jūsų mobiliojo ryšio operatorių, kad jie esate jūs, ir prašo perkelti jūsų numerį į naują SIM kortelę. Kai tai pavyksta, visos jūsų SMS žinutės keliauja tiesiai pas juos.
Kitas būdas – SS7 protokolo pažeidžiamumas. SS7 yra sena telekomunikacijų sistema, kuria naudojasi mobilaus ryšio operatoriai visame pasaulyje. Ji turi rimtų saugumo spragų, kurias išnaudojant galima perimti SMS žinutes. Tiesa, tokios atakos reikalauja nemažai techninių žinių ir resursų, bet jos tikrai įmanomos.
Dėl šių priežasčių saugumo ekspertai vis garsiau šaukia, kad SMS žinutės turėtų būti tik paskutinė galimybė, kai nieko geresnio nėra. Bet realybė tokia, kad daugumai žmonių jos vis dar yra patogiausias variantas.
Autentifikavimo programėlės – aukso standartas
Jei norite rimto saugumo, autentifikavimo programėlės yra tas kelias. Google Authenticator, Microsoft Authenticator, Authy, 1Password – pasirinkimų yra daug. Jos visos veikia panašiu principu, kurį aprašiau anksčiau, bet kiekviena turi savo ypatumų.
Google Authenticator yra minimalistinė ir paprasta, bet turi vieną didelį trūkumą – jei prarandate telefoną, prarandate ir visus savo kodus. Nėra jokios atsarginės kopijos debesyje. Authy šią problemą išsprendė leisdama sinchronizuoti kodus tarp kelių įrenginių, bet kai kurie saugumo puristas teigia, kad tai kuria papildomą riziką.
Nustatyti šias programėles paprastai nesudėtinga. Einate į paskyros nustatymus, ieškote saugumo skyriaus, pasirenkate „dviejų veiksnių autentifikavimas” ir skenuojate QR kodą. Programėlė automatiškai pradeda generuoti kodus. Svarbu išsisaugoti atsarginius kodus, kuriuos dažniausiai gausite nustatymo metu – jie išgelbės, jei prarasite telefoną.
Vienas patarimas iš praktikos: kai nustatote 2FA, padarykite ekrano nuotrauką to QR kodo ir išsaugokite ją saugioje vietoje (ne telefone!). Jei kada nors reikės atkurti prieigą, galėsite tiesiog nuskenuoti tą išsaugotą kodą naujame telefone.
Fiziniai saugumo raktai – kai saugumas yra prioritetas
Dabar pakalbėkime apie tikrai rimtą dalyką – fizinių saugumo raktų. Tai maži USB įrenginiai (arba NFC palaikantys), kuriuos įkišate į kompiuterį arba prilaikote prie telefono, kad patvirtintumėte savo tapatybę. Populiariausi yra YubiKey ir Google Titan.
Šie raktai naudoja standartą, vadinamą FIDO2 arba U2F. Principas šiek tiek skiriasi nuo autentifikavimo programėlių. Kai registruojate raktą svetainėje, jis sugeneruoja unikalią kriptografinę raktų porą – privatų ir viešą raktą. Viešas raktas išsiunčiamas serveriui, o privatus lieka užrakintas pačiame fiziniame rakte ir niekada jo nepalieka.
Kai prisijungiate, serveris išsiunčia iššūkį (challenge), kurį jūsų raktas turi pasirašyti savo privačiu raktu. Šis procesas įrodo, kad jūs turite tą konkretų fizinį įrenginį, bet niekada neatskleidžia paties privataus rakto. Net jei kas nors perėmė visą jūsų interneto srautą, jie nieko negali padaryti be to fizinio rakto.
Fizinių raktų privalumai akivaizdūs – jie praktiškai neįveikiami nuotolinėms atakoms. Niekas negali jų „pavogti” per internetą. Bet yra ir trūkumų: juos galima fiziškai prarasti, jie kainuoja pinigų (nuo 20 iki 70 eurų), ir ne visos svetainės juos palaiko. Be to, jei turite tik vieną raktą ir jį prarandate – problemos garantuotos. Todėl rekomenduojama turėti bent du raktus ir vieną laikyti saugioje vietoje kaip atsarginį.
Biometrija – jūsų kūnas kaip slaptažodis
Pirštų atspaudai, veido atpažinimas, rainelės skenavimas – visa tai skamba kaip mokslinės fantastikos filmas, bet dabar yra mūsų kišenėse. Beveik kiekvienas šiuolaikinis išmanusis telefonas turi bent vieną iš šių technologijų.
Biometrinis autentifikavimas techniškai šiek tiek skiriasi nuo kitų 2FA metodų. Kai nuskenuojate pirštą ar veidą, sistema neišsaugo tikslios jūsų biometrinio duomens kopijos. Vietoj to, ji sukuria matematinį šablono atvaizdą – savotišką „pirštų atspaudo parašą”. Šis šablonas saugomas saugioje telefono dalyje, vadinama Secure Enclave (Apple) arba Trusted Execution Environment (Android).
Kai bandote prisijungti, sistema palygina naują skaitymą su išsaugotu šablonu ir apskaičiuoja panašumo procentą. Jei jis viršija tam tikrą slenkstį – prieiga suteikiama. Viskas vyksta vietoje, jūsų įrenginyje, ir biometriniai duomenys niekada nekeliauja į serverius (bent jau teoriškai ir kai sistema sukurta teisingai).
Biometrijos privalumas – neįtikėtinas patogumas. Nereikia nieko įvedinėti ar prisiminti. Bet yra ir rimtų trūkumų. Pirštų atspaudus galima nukopijuoti (nors tai nelengva), veido atpažinimą kartais galima apgauti nuotrauka (priklausomai nuo sistemos kokybės). Ir svarbiausia – jei jūsų biometriniai duomenys vis dėlto nuteka, jūs negalite jų pakeisti kaip slaptažodžio. Negalite tiesiog „užsiauginti” naujų pirštų atspaudų.
Kas nutinka, kai kas nors bando jus apgauti
Net su dviejų veiksnių autentifikavimu nusikaltėliai neranda ramybės. Jie sukūrė naujų metodų, kaip apgauti net ir šią papildomą apsaugą. Vienas iš populiariausių – phishing atakos, pritaikytos 2FA apėjimui.
Štai kaip tai veikia: gaunat el. laišką, kuris atrodo kaip nuo Google, Facebook ar kitos paslaugos. Jame sakoma, kad kažkas bando prisijungti prie jūsų paskyros, ir jūs turite skubiai patvirtinti savo tapatybę. Paspaudžiate nuorodą ir patenkate į svetainę, kuri atrodo visiškai autentiška – teisingas logotipas, spalvos, dizainas, viskas.
Įvedate savo slaptažodį. Svetainė prašo 2FA kodo. Jūs jį įvedate. Ir štai čia įvyksta apgaulė: ta netikra svetainė realiu laiku perduoda jūsų duomenis tikrajai svetainei, gauna tikrą 2FA kodą, kurį jūs ką tik įvedėte, ir naudoja jį prisijungti prie jūsų paskyros. Viskas vyksta per kelias sekundes, ir jūs net nepastebite.
Apsiginti nuo tokių atakų padeda fiziniai saugumo raktai, nes jie patikrina ne tik jūsų tapatybę, bet ir svetainės autentiškumą. Jei bandote naudoti raktą netikroje svetainėje, jis tiesiog neveiks. Tai viena iš priežasčių, kodėl didelės korporacijos ir vyriausybinės institucijos pereina prie fizinių raktų.
Kaip tinkamai susitvarkyti su dviejų veiksnių autentifikavimu
Gerai, dabar žinote, kaip visa tai veikia. Bet kaip tai praktiškai įgyvendinti savo gyvenime, kad būtų ir saugu, ir patogu? Štai keletas konkrečių rekomendacijų iš realios praktikos.
Pirma, įjunkite 2FA visur, kur tik galite, bet pradėkite nuo svarbiausių vietų: el. paštas, banko paskyros, socialiniai tinklai. Jūsų el. paštas yra ypač kritinis, nes per jį galima atkurti prieigą prie daugelio kitų paskyrų. Jei kas nors įsilaužia į jūsų el. paštą, jie gali perkonfigūruoti visą jūsų skaitmeninį gyvenimą.
Antra, naudokite autentifikavimo programėles vietoj SMS, kai tik įmanoma. Taip, SMS patogesnės, bet saugumas turėtų būti prioritetas. Jei jau nusprendėte naudoti programėlę, pasirinkite tokią, kuri leidžia daryti atsargines kopijas – Authy ar 1Password yra geri pasirinkimai.
Trečia, VISADA išsisaugokite atsarginius kodus. Kai nustatote 2FA, sistema paprastai sugeneruoja 8-10 vienkartinių naudojimo kodų. Išspausdinkite juos ir laikykite saugioje vietoje – ne telefone, ne kompiuteryje. Kai kurie žmonės laiko juos banko seife, kiti – užrakintame stalčiuje namuose. Raskite sprendimą, kuris jums tinka.
Ketvirta, jei rimtai rūpinasi saugumu (ypač jei turite verslo paskyrą ar tvarkote jautrią informaciją), investuokite į du fizinius saugumo raktus. Vieną naudokite kasdien, kitą laikykite kaip atsarginį. Taip, tai kainuoja apie 40-100 eurų, bet palyginti su potencialia žala nuo įsilaužimo – tai niekas.
Penkta, būkite atsargūs su „patikėtais įrenginiais”. Daugelis paslaugų siūlo pažymėti įrenginį kaip patikimą, kad nereikėtų įvedinėti 2FA kodo kiekvieną kartą. Tai patogu, bet naudokite šią funkciją tik savo asmeniniuose įrenginiuose, niekada – viešuose kompiuteriuose ar svetimuose telefonuose.
Ateitis jau čia, tik nelygiai paskirstyta
Dviejų veiksnių autentifikavimas nėra tobulas, bet tai geriausias įrankis, kurį šiuo metu turime. Technologijos nuolat tobulėja – nauji standartai kaip WebAuthn ir FIDO2 daro autentifikavimą ir saugesniu, ir patogesniu. Kai kurios kompanijos jau eksperimentuoja su „slaptažodžių neturinčiu” prisijungimu, kur visas procesas remiasi tik biometrija ir fiziniais raktais.
Bet kol ta ateitis pilnai ateis, svarbu suprasti, kaip veikia dabartinės technologijos ir kaip jas tinkamai naudoti. Dviejų veiksnių autentifikavimas nėra neįveikiama siena, bet jis pakankamai pakelią kartelę, kad dauguma nusikaltėlių tiesiog persijungtų į lengvesnius taikinius. O tai, galų gale, ir yra tikslas – ne būti visiškai neįveikiamam, o būti sunkesniu taikinių nei kiti.
Taigi įjunkite tą 2FA, išsisaugokite atsarginius kodus ir miegokite ramiau žinodami, kad jūsų skaitmeninis gyvenimas yra bent šiek tiek saugesnis. Ir atminkite – technologijos keičiasi, bet pagrindinis principas lieka tas pats: vienas užraktas geras, du – geriau.