Možda niste primjetili, ali u stvarnom svijetu koristite oblike dvostruke autentifikacije. Kada nešto kupujete na karticu – prvi korak je provlačenje kartice i kontaktiranje kartičarske kuće, a drugi je upisivanje PIN-a.
Ako vam netko i ukrade karticu, bez PIN-a će vam teško skinuti novce sa računa. Kada vas ljudi traže da se identificirate, najčešće vas osim vaših riječi, traže i osobnu karticu ili neki sličan dokument s kojim ćete potvrditi da ste to stvarno vi.
Slično je i u virtualnom svijetu, no imamo osjećaj kao da ljudi izbjegavaju 2FA. To je “onaj korak više” koji moraju napraviti, a to im je često zamorno. No, taj isti korak više koji morate napraviti je često dovoljan da spriječite bilo kakvu krađu podataka i neovlašteno korištenje istih. Zato je korisno koristiti 2FA, a sada ćete vidjeti što to zapravo jest i kako aktivirati taj dodatni sloj zaštite.
Kako radi dvostruka autentifikacija?
Two-factor authentication (2FA) se često naziva i two-step verification ili multifactor authentification. No, bez obzira kako ga zvali, radi se o dodatnom sloju zaštite koji možete “staviti” na svoj online korisnički račun. Većina popularnih servisa (Google, Facebook, Amazon, Microsoft, Twitter …) nude ovaj oblik zaštite jer je on defacto postao standard. Nažalost, standard kojeg mnogi ne koriste dovoljno.
Najčešći oblik višestruke autentifikacije je SMS poruka koju dobijete kada se pokušate logirati na svoj korisnički račun. U SMS poruci dobijete jednokratni kod koji morate upisati na stranici da biste potvrdili svoj identitet i kako biste mogli nastaviti dalje.
Znači, nisu vam dovoljni samo korisničko ime i lozinka. Kao što možete zaključiti, čak ako netko i ima vaše korisničke podatke, bez vašeg mobitela se ne može logirati umjesto vas. A kada dobijete poruku, a niste se pokušali logirati, znati ćete da netko ima vaše podatke, pa ćete moći bez brige promijeniti lozinku i biti sigurni da se nitko nije uspio logirati.
Umjesto SMS poruke, postoje još dodatni oblici zaštite – potvrdni link na email adresu, telefonski poziv (u kojem vam se izdiktira kod koji uspisujete u rpedviđenu formu na web stranici), tajno pitanje, dodatni PIN i slično. Neki idu čak do te mjere da nude i biometrijske metode ulaženja u web stranicu – glasovno prepoznavanje, otisak prsta ili rožnice …
To nećete vidjeti na standardnim web stranicama, ali postoji negdje duboko na webu. Najčešće se koristi za pristupe tajnim podacima o kojima ovisi država ili neka agencija. Posebice u Americi.
Ono što bismo mi preporučili je SMS poruka na vaš mobilni uređaj jer je to najlakši način ovakvog logiranja. Dodatno, dobra stvar je što kod koji dobijete u SMS poruci vrijedi narednih par minuta. Ako netko i vidi poruku naknadno, taj mu kod neće ništa vrijediti. Ako ipak ne želite primati SMS poruke, postoje mobilne aplikacije koje tome služe. Neke od njih su Authy, DuoMobile, Google Authentificator …
SMS ili aplikacija?
Mnoge stranice, izuzev Twittera, vam daju na izbor da li želite primati SMS poruke ili koristiti aplikaciju. Ako bismo bili skroz paranoični, tada bismo rekli da je bolje koristiti aplikaciju jer SMS poruku netko može presresti i ukrasti kod koji ste dobili na mobitel. No, jedno i drugo je sigurno, ali da – SMS poruku, teoretski, netko može presresti.
Korištenje autentifikacijskih aplikacija je jednostavnije jer one ne trebaju mrežu da biste ih koristili. One svakih 30-ak sekundi (op.a. neke više, neke manje) generiraju novu šifru baziranu na određenoj “tajni” i trenutnom vremenu. Ti kodovi jako brzo prestanu važiti i morate unijeti novi. TO znači da kad god otvorite aplikaciju, dobiti ćete novi kod.
Da biste spojili aplikaciju sa online korisničkim računom, prvo morate skinuti aplikaciju na mobitel. Zatim u postavkama korisničkog računa povezati svoj account sa aplikacijom. Različite web stranice imaju različite metode povezivanja, ali najčešće sa aplikacijom morate skenirati 2D kod koji će vam se pojaviti na ekranu.
Zatim će aplikacija “učiniti svoje” i to će biti to. Kad god se budete spajali na svoj korisnički račun, morati ćete pokrenuti i aplikaciju, te odobriti ulazak na web stranicu ili web servis ili što već koristite.
Mnoge od spomenutih web stranica vam nude i određeni backup. Kodove možete (bilo bi preporučljivo!) isprintati na komad papira i pohraniti ih na sigurno, pa čak i da nemate mobitel kraj sebe, možete se logirati na vašu omiljeu web stranicu na temelju backup kodova koje ste isprintali. Naravno, ako vam netko ukrade te isprintante kodove, postajete ranjivi. Nadamo se ipak da neće doći do toga.
Hoćete li biti sigurniji sa 2FA?
Na svijetu ne postoji savršena zaštita koju nije moguće probiti ili zaobići. Postoje teoretske šanse da je svaki account moguće probiti, no koristeći dvostruku ili čak trostruku zaštitu jako si povećavate šanse da budete sigurniji. Kada koristite 2FA ili 3FA tada niste zanimljivi ni hakerima. Ne žele ni oni provesti tjedne ili čak mjesece da bi provalili u jedan account. Njima su zanimljivi oni koji nemaju te dodatne mehanizme zaštite.
Mnogi će sada reći da je ova zaštita super, ali da bi moglo biti zamorno konstantno primati SMS poruke ili koristiti mobilnu aplikaciju samo da biste pristupili Facebooku ili Twitteru. Mi se s time ne bismo mogli složiti. Dobra zaštita vrijedi tog “koraka više” jer su danas digitalni podaci izrazito važni i često mogu nanijeti štetu osobi ako su u krivim rukama.
Mi koristimo ovu zaštitu za naše važne račune i ne mislimo ju tek tako ukinuti. Možda smo se samo navikli na to, no nekako smo mirniji kada znamo da nitko osim nas ne može do naših podataka. To je recimo jako važno ako koristite Google Drive / Dropbox / OneDrive. Zar želite da netko dođe do vaših podataka u oblacima?
Dok vi shvatite da je netko drugi spojen paralelno s vama, taj netko može skinuti sve vaše podatke sa dotičnih servisa. S dvostrukom zaštitom ne može. Ako ništa drugo – zaštitite upravo te servise. Biti ćete nam zahvalni jednog dana.
Koje stranice nude to i kako da aktiviramo 2FA?
Kao što smo rekli, sve važnije web stranice nude tu zaštitu. Tu ubrajamo: Amazon, Facebook, Twitter, Dropbox, Google account, Apple, Instagram, LinkedIn, Microsoft, PayPal, Slack, Snapchat, Yahoo … Dovoljno je da se logirate, odete u postavke i nađete sigurnosne postavke, te aktivirate dodatnu zaštitu.
Aktivirati ovu zaštitu je iznimno lagano – samo pratite upute na ekranu i to je to. Nemojte čekati sutra nego to napravite još danas. Nadamo se da vam neće zatrebati. Ako vam zatreba ova zaštita, znači da ste napravili dobar potez.
