Czy logowanie wieloskładnikowe jest w pełni bezpieczne?

Zarówno w życiu prywatnym jak i zawodowym niemal każdego dnia korzystamy z aplikacji i systemów, w których musimy się zalogować, potwierdzając swoją tożsamość. Uzyskujemy w ten sposób dostęp do usług, możemy pracować zdalnie lub w biurze wykonując powierzone zadania. Proces logowania pod względem bezpieczeństwa i dostępu do informacji jest newralgiczny i narażony na próby przełamania zabezpieczeń. Musimy podać swój identyfikator, tj. login i hasło. Dodatkowym zabezpieczeniem zmniejszającym ryzyko uzyskania dostępu przez osoby niepowołane jest uwierzytelnianie wieloskładnikowe. Czy uwierzytelnianie wieloskładnikowe jest bezpieczne?

Czy logowanie wieloskładnikowe jest w pełni bezpieczne?

Rafał Stępniewski

13 lutego 2020

Chcąc zalogować się do systemów bankowych, serwisów usługowych, społecznościowych lub sklepów internetowych potrzebujemy podać swój login i hasło. Jako login używany jest często nasz e-mail. Metoda ta jest nazwana logowaniem jednoskładnikowym.

Słabą stroną tej metody jest użytkownik, który określa proste hasło do logowania, często używa jednego hasła do wielu różnych stron WWW, na których się loguje. Metoda ta jest również narażona na bezpośrednie ataki hakerskie, które automatycznie próbują przełamać zabezpieczenia i uzyskać dostęp do konta użytkownika.

Czym różni się logowanie wieloskładnikowe od jednoskładnikowego?

Od paru lat czołowe firmy, tj. Google, Microsoft, czy też Facebook promują logowanie wieloskładnikowe, które dodaje kolejną metodę potwierdzania logowania. Oprócz samego loginu i hasła musimy podać kod autoryzacyjny, który otrzymujemy np. poprzez SMS lub e-mail albo pobieramy kod przez aplikację lub dedykowane urządzenie. W bardziej zaawansowanych systemach możemy dokonać potwierdzenia logowania przez odcisk palca albo rozpoznawanie twarzy.

Dodatkowe zabezpieczenie przy logowaniu bez wątpienia podnosi poziom bezpieczeństwa, lecz nie daje nam 100% gwarancji, że nie padniemy ofiarą ataku.

Czym jest token i dlaczego może być niebezpieczny?

Jeżeli pomyślnie zalogujemy się do systemu, banku, serwisu lub sklepu internetowego, w przeglądarce zapisuje się tzw. token, który ma zakodowane informacje o nas jako zalogowanym użytkowniku. Wiele serwisów i usług zapisuje token w postaci pliku cookies. Dzięki temu przechodząc pomiędzy kolejnymi podstronami aplikacja cały czas wie, jaki użytkownik jest zalogowany. Token może mieć określony czas ważności, po którym system będzie wymagał ponownego zalogowania się.

Jeżeli haker wejdzie w posiadanie takiego tokena, może bez problemów na swoim komputerze zalogować się na konto użytkownika.

Jak można złamać logowanie wieloskładnikowe?

Najszerzej stosowaną metodą jest phishing. Jeżeli użytkownik przez nieuwagę kliknie w przesłany link w e-mailu lub za pośrednictwem mediów społecznościowych i jego urządzenie zostanie zainfekowane, wówczas haker ma możliwość przejęcia tokena sesyjnego użytkownika. Kopiując token nie musi znać nawet loginu i hasła, aby dostać się do źle zaprojektowanej aplikacji i słabo zabezpieczonej strony WWW. Stosowanie tokena jako plików cookies nie jest bezpiecznym rozwiązaniem.

Kolejną stosowaną metodą są fałszywe strony internetowe. Użytkownik otrzymuje wiadomość, klika link i jest przekonany, że został przekierowany na właściwą stronę WWW. Hakerzy wykonują jednak kopię strony, z reguły pod bardzo zbliżonym adresem WWW. Niczego nieświadomy użytkownik podaje login i hasło wraz z dodatkowym parametrem uwierzytelniania, np. kodem z SMS. W tym samym czasie hakerzy logują się do faktycznego serwisu, mając pełne dane dostępowe i pełen dostęp mogą zaszkodzić firmie lub samemu użytkownikowi.

Co to jest phishing?Co to jest phishing? Rafał Stępniewski

Jak podnieść bezpieczeństwo logowania?

Powyższa metoda nie dotyczy jedynie sfery prywatnej, ale może również dotknąć firmę. Coraz więcej rozwiązań opartych jest na chmurze, firmy korzystają z rozwiązań typu SaaS, które są ogólnodostępne, pracownicy mają dostęp do poczty elektronicznej i swoich aplikacji z każdego miejsca na świecie. Trend ten jest nieunikniony, jednak źle zaprojektowany system bezpieczeństwa może narazić firmę na duże straty.

Przykładowe rozwiązania, które mogą podnieść bezpieczeństwo logowania:

  • szkolenia pracowników w zakresie bezpieczeństwa,
  • audyt i analiza ryzyk oraz luk w procesach funkcjonujących w firmie,
  • audyt i analiza aplikacji używanych w firmie pod kątem bezpieczeństwa,
  • wdrożenie odpowiednich systemów lub funkcji, które dodatkowo kontrolują kto, kiedy i skąd ma dostęp do systemów w firmie.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!