Bezpieczne logowanie do portali internetowych
Październik 21, 2021, 10:48
Zastanawialiście się kiedyś, dlaczego co chwila w mediach słychać o tym, że ktoś dostał się na czyjeś konto, niezależnie od rodzaju portalu? A może sami spotkaliście się z tym, że napisał do was znajomy z nietypową jak na niego prośbą, a później okazało się, że konto znajomego zostało przejęte? Często tego typu incydenty mają miejsce przez niewystarczające zabezpieczenie dostępu do naszych kont, na różnego rodzaju portalach internetowych.
Jedną z głównych rzeczy które powinien robić każdy użytkownik sieci jest włączenie 2FA (dwuskładnikowego uwierzytelniania), wszędzie tam gdzie to tylko możliwe. Oczywiście dodatkowe uwierzytelnianie będzie spełniało swoją funkcjonalność, jeżeli do naszego telefonu czy maila nie mają dostępu osoby trzecie. Żeby tak było, warto stosować unikatowe hasła. Ta zasada dotyczy nie tylko konta w banku, poczty email, ale także kont na portalach społecznościowych, sklepach internetowych, itd. Jeśli nie stosujemy unikalnych haseł, to wyciek danych z jednego portalu, może dać przestępcy dostęp do naszego konta na innym portalu czy też aplikacji bankowej.
Oprócz dwuskładnikowego uwierzytelniania za pomocą kody sms lub maila potwierdzającego logowanie, możliwe jest też skorzystanie z rozwiązania takiego jak klucz sprzętowy.
Warto przyjrzeć się temu rozwiązaniu bliżej, ponieważ oprócz zabezpieczenia naszego konta poprzez dwuskładnikowe uwierzytelnianie, zabezpiecza nas przed phishingiem, czy daje możliwość logowania bez potrzeby podawania loginu i hasła (FIDO2). Rozwiązań na rynku jest kilka, dodatkowo każdy producent klucza sprzętowego udostępnia jego kilka wersji tak by dopasować rozwiązanie do potrzeb użytkowników. Dostępne są również na stronach producentów Quizy na podstawie, których dobierzesz rozwiązanie idealnie dopasowane do swoich potrzeb. Jeśli chodzi o stosowanie tego typu rozwiązania, praktycznie wszystkie banki wspierają tę technologię, jak i większość portali oferujących konta mailowe. To samo dotyczy tych bardziej znanych portali społecznościowych.
Warto też zawracać uwagę na jakich stronach zakładamy nowe konta, ponieważ często zdarza się, że gdy potrzebujemy dostęp do jakiegoś portalu tylko na chwilę podajemy nasz adres mailowy i jakieś standardowe hasło, którego używamy też w innych miejscach, po czym zapominamy o tym, że założyliśmy takie konto (w końcu skorzystaliśmy z niego tylko raz, albo nie korzystamy od dłuższego czasu). Powoduje to sytuacje w których nie jesteśmy świadomi tego, że nasze dane wyciekły, a w przypadku użycia takich samych danych logowania, przestępca zyskuje dostęp do naszych kont, bo nie uwzględniliśmy środków zapobiegawczych w postaci zmiany haseł.
Oczywiście warto pamiętać, że dwuskładnikowe uwierzytelnianie w przypadku korzystania z zabezpieczenia w postaci telefonu i maila jest tym skuteczniejsze, im trudniejsze mamy hasło dostępu do naszego konta oraz to czy zwracamy uwagę na to, czy nie padliśmy obecnie ofiarą phishingu. Niektóre akcje phishingowe są bardzo starannie przygotowane i można nawet nie zauważyć, że tak naprawdę nie jesteśmy na stronie naszego banku i że robimy przelew, który potwierdzamy np. sms-kodem. Dotyczy to nie tylko banków, ale wszelkiego rodzaju systemów płatności w Internecie, portali zakupowych, itd.
Podsumowując, tam gdzie to tylko możliwe uruchamiamy dwuskładnikowe uwierzytelnianie. Dodatkowa forma ochrony taka jak 2FA nie zwalnia nas z czujności, czy nie padliśmy ofiarą phishingu (tu wyjątek stanowią klucze sprzętowe – one nie potwierdzą logowania na stronie, która podszywa się tylko pod oryginalną stronę). Należy również pamiętać, aby stosować skomplikowane i unikatowe hasła.
MZaw