Ni racionalnega izgovora, da ne uporabljate dvostopenjske prijave

Kako deluje dvostopenjska prijava?

Navadili smo se, da v večino spletnih računov vstopamo po vpisu uporabniškega imena in gesla. Uporabniško ime je največkrat kar naslov elektronske pošte, kar je nekaj, kar morebitni spletni napadalec z lahkoto pridobi.

Pri ohranjanju zaupnosti gesel pa se marsikdaj obnašamo kot sloni v trgovini s porcelanom. Za vse storitve uporabljamo istega in ob tem še preprostega. Napadalec takšnega zlahka ugane, medtem ko močnejšega skuša izvabiti z metodo socialnega inženiringa. Presenečeni bi bili, če bi vedeli, kako učinkovita je ta metoda, še posebej, če je vključen dejavnik strahu. Poštno sporočilo z opozorilom, da morate takoj skočiti na ponujeno spletno stran in se tam vpisati, kajti drugače se bo zgodilo nekaj hudega, večkrat, kot bi želeli in mislili, doseže namen.

Čeprav noben varnostni ukrep ni 100-odstotno odporen proti vdorom, dvostopenjska prijava veliko pripomore k učinkovitemu zaklepanju dostopa do pomembnih računov in naprav.

Dvostopenjska prijava zato doda še eno raven preverjanja, da onemogoči vstop nepooblaščeni osebi, ki se je nekako dokopala do uporabniškega imena in gesla. Poleg teh dveh poverilnic morate v naslednjem koraku vstopa namreč vpisati še časovno omejeno kodo, ki jo najdete v kratkem (SMS) ali sporočilu v predalu elektronske pošte oziroma jo generira aplikacija za preverjanje identitete uporabnika. Ker je kot pomemben element dodan čas, je onemogočeno, da napadalec vstopi v račun, tudi če je pravilno vpisal prvi poverilnici. Zdaj bi moral vpisati še kodo, a je ne prejme, ker nima dostopa do telefona ali aplikacije na njem.

Čakanje in vpis časovno omejene kode povzroči nekaj tegob sploh pri pogostih vpisih v spletne račune, a to je majhen kompromis, ki ga je vredno storiti za večjo spletno varnost.

Pametni telefon kot pomemben del dvostopenjske prijave

Kadarkoli spletna storitev ponudi vklop dvostopenjske prijave, je še kako smiselno privoliti. S spletno varnostjo se nima smisla šaliti. Ko boste dokazali, da ste lastnik pametnega telefona in mobilne telefonske številke ali naslova poštnega predala, boste tja prejemali enkratne kode za dostop.

Pošiljanje kode v kratkem sporočilu je najbolj pogost način. Elektronska pošta je redkeje uporabljena preprosto zaradi tega, ker so poštni predali pogosto tarče spletnih napadalcev in kot taki potencialno manj varni. Če ima napadalec dostop do poštnih sporočil, bo ravno tako prejel enkratno kodo in takrat se prednost dvostopenjske prijave izgubi.

Nekatere banke svojim uporabnikom dajo nekakšen majhen kalkulator, ki poleg generiranja enkratnega gesla za vstop v spletno banko, v naslednjem koraku oblikuje še enkratno kodo. Brez dostopa do te naprave nihče ne more vstopiti v račun. Ravno tako je za podobne namene uporabljen poseben varnostni USB-ključ.

Tretja pot pa so aplikacije za dvostopenjsko prijavo, ki jih neposredno povežemo s spletno storitvijo. Nudijo dva načina. Na zaslonu prikažejo kodo, ki jo vnesete v polje v oknu za prijavo v spletno storitev ali zahtevajo, da dokažete identiteto z dotikom tipala prstnega odtisa pametnega telefona oziroma prepoznavo obraza.

Pogosto uporabljene aplikacije za dvostopenjsko prijavo so Authy in Microsoftov ali Googlov Authenticator.

Zaščitite pametni telefon

Dvostopenjska prijava ni izključno namenjena varovanju spletnih računov, temveč se širi na vse vidike uporabe digitalnih naprav, saj jo pogosto zahteva postopek aktivacije oziroma vpisa uporabniškega računa. Ker vpliva na udobje ali vsaj na hitrost prijave, dodatne kode pri večini uporabniških računov in spletnih storitev ni treba vnesti vsakič. Namesto tega bo dvostopenjska prijava aktivna, ko se želite v storitev prijaviti po dolgem času neuporabe ali preko naprave, na kateri je do takrat še niste uporabljali.

Ker telefon postaja glavna naprava za delovanje sistema dvostopenjske prijave, je toliko bolj pomembno, da ga ustrezno zaščitite. Če še vedno nimate vključenega zaklepanja zaslona, je skrajni čas, da to storite in uporabite biometrične podatke, kot sta prstni odtis ali prepoznava obraza. Vendar to ni dovolj. Nikoli ga ne smete pustiti brez nadzora, saj običajno sistem SMS-sporočilo prikaže na zaklenjenem zaslonu, kar praktično pomeni, da v skrajnem primeru kodo lahko vidi spletni napadalec.

V primeru izgube telefona ali drugih razlogov, da ne morete potrditi zahtev dvostopenjske prijave, so v vseh primerih na voljo rezervni načini za povrnitev dostopa.

Geslo zaradi tega ni izgubilo pomena

Čeprav dodaten korak pri dokazovanju identitete onemogoči dostop nepridipravu, ki geslo pozna, to ne pomeni, da vam zanj ni treba več skrbeti. Najhuje je, da se ujamete v lažno prepričanje o neprebojni varnosti in vam za geslo postane popolnoma vseeno.

V digitalnem svetu absolutna varnost ne obstaja, zato morate še vedno skrbeti za gesla. Držite se dveh preprostih, a zimzelenih načel: ne uporabljajte istega gesla za vse storitve in poskrbite, da so gesla močna, tako da jih ni mogoče preprosto in hitro uganiti.

Več nasvetov, kako ustvariti močno geslo, najdete v članku.

Ravno tako ne pozabite, da je spletna varnost močna zgolj toliko, kot je varnostno zaščiten njen najšibkejši člen. Če ste na primer vklopili dvostopenjsko prijavo za vstop v storitev in obenem niste tega storili za vstop v poštni predal, ki ga nameravate uporabiti za povrnitev dostopa v primeru težave, potem niste storili veliko.

Ker je postopek vklopa dvostopenjske prijave preprost in nudi za nekaj stopničk večjo varnost, ni nobenega racionalnega razloga, da se je izogibate. Pomembno je, da jo uporabljate povsod, kjer je na voljo, kot del dobre varnostne higiene in nikakor ne izolirano, samo za pomembnejše ter varnostno bolj ogrožene storitve.

Več o razumevanju spletnih groženj in ustrezni zaščiti pred njimi lahko preberete v članku Vsi smo dovzetni za spletne napade. 

Članek izraža stališča avtorja in ne nujno tudi stališč Zavarovalnice Triglav, d.d.