Od kilku lat trwa zintensyfikowana akcja wprowadzania bądź zachęcania użytkowników do korzystania z logowania dwuskładnikowego (2FA – Two-factor authentication). Oprócz loginu i hasła musimy, najczęściej, podać odpowiedni kod, dostarczony poprzez SMS, inną aplikację z kodami uwierzytelniającymi, tę samą aplikację na innym urządzeniu czy też poprzez pocztę e-mail. Niezależnie od metody celem jest osiągnięcie wyższego standardu bezpieczeństwa niż w sytuacji, w której polegaliśmy tylko na haśle.
Dla wielu osób logowanie dwuskładnikowe to sytuacja dość rzadka. Jednak w przypadku bycia recenzentem urządzeń mobilnych to dość częsty widok podczas łączenia kont z popularnych aplikacji z nowymi urządzeniami. Proces ten usprawniają rozwiązania pokroju “Klucza dostępowego”, gdzie zamiast wpisania hasła i potwierdzenia logowania wykorzystujemy skan naszego palca. Z drugiej strony to rozwiązanie także budzi wątpliwości co do tego, jak wiele ze swojej cyfrowej tożsamości mogę poświęcić dla wygody.
Okazuje się, że martwić należy się także o wysyłanie kodów na nasze urządzenia za pośrednictwem SMS-ów. Nie chodzi jednak o sieć komórkową, a o to, jak firmy podchodzą do implementacji systemów dwuskładnikowego logowania.
Sygnalista zgłasza, Bloomberg potwierdza – kody 2FA są nie tam, gdzie powinny
Komunikacja za pośrednictwem wiadomości SMS nie jest najbezpieczniejszą metodą. Nie bez powodu zdecydowaliśmy się na przejście na standard RCS, choć i ten ma irytujące problemy. Jest jednak bezpieczniejszy, pozwala na enkryptowanie wiadomości na całej trasie od użytkownika do użytkownika oraz pozwala weryfikować tożsamość kont. Jednocześnie ze względu na kompatybilność znakomitą większość wiadomości z kilkucyfrowym kodem niezbędnym do logowania wysyła się za pośrednictwem SMS-ów. W dodatku najczęściej wykorzystuje się do tego celu rozwiązania zewnętrznych firm. I to w tym miejscu leży problem.
W artykule na serwisie Bloomberg podkreśla się, że dostarczanie kodów do logowania to jedna z wielu dziedzin, na której duże firmy oszczędzają pieniądze. Partnerzy muszą oczywiście zapewnić odpowiedni poziom zabezpieczeń i weryfikować go z chociażby technologicznymi gigantami, ale co w przypadku mniejszych podmiotów? Sygnalista, chcący naświetlić problem, przesłał do redakcji Bloomberga pliki zawierające około miliona wiadomości z kodami do weryfikacji dwuetapowej. Kody te pochodzą z czerwca 2023 roku.
Czytaj też: NordPass wjeżdża z pancerną funkcją! Dokumenty w sejfie z szyfrowaniem xChaCha20
Co jednak najciekawsze, każdy z tych kodów 2FA przechodził przez firmę o nazwie Fink Telecom. Zdobyte przez sygnalistę materiały pokazują też, że firma posiadała zarówno wygenerowane automatycznie kody, jak i dane dotyczące drogi, jaką przechodzą od nadawcy do adresata. A nadawcami często byli najwięksi gracze na rynku, jak Amazon, Google, Meta, Snapchat, Tinder, Signal i Whatsapp. Co ciekawe, Fink Telecom miało w przeszłości doświadczenia w budowaniu globalnych systemów śledzenia użytkowników, z których korzystały rządy wielu krajów, o czym informuje strona Lighthouse Reports.
Jak bronić się przed wadliwą weryfikacją dwuskładnikową? Zrezygnować z SMS-ów
Najrozsądniejszym wyborem, o ile jest ku temu taka możliwość, to rezygnacja z SMS-ów na rzecz innych rozwiązań. Nie każdy musi od razu kupować fizyczne klucze dostępowe, ale jeśli macie jakieś dane, o które chcecie zadbać, będzie to jedno z rozsądniejszych rozwiązań. Na szczęście banki czy aplikacje mediów społecznościowych myślą już za was i często wymuszają logowanie z potwierdzeniem na innym, wcześniej zalogowanym urządzeniu lub zachęcają do rozmowy telefonicznej, podczas której otrzymujemy inną metodę weryfikacji niż podanie kilkucyfrowego kodu.
Czytaj też: Rząd proponuje korzystanie z menedżerów haseł i 2FA. Podpowiadamy do tego najlepsze aplikacje
Najlepszym zabezpieczeniem jest jednak, niezmiennie, regularna zmiana haseł i niewykorzystywanie ich w wielu serwisach. Istnieją także aplikacje, które stworzono wyłącznie do celów dwuskładnikowej weryfikacji, jednak i tu trzeba uważać na oszustwa. Trzeba też pogodzić się ze smutną prawdą – w sieci zawsze będą czyhały na nas zagrożenia i na każdy przełom w dziedzinie bezpieczeństwa w końcu odpowie nowe, obchodzące zabezpieczenia ryzyko. 2FA jest dobrym rozwiązaniem na obecne czasy i dla większości społeczeństwa, ale ma wady.