Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



05.09.2022

Łatwiejsza migracja do chmur

Commvault i Oracle rozszerzyły partnerską współpracę i wspólnie oferują rozwiązanie...
01.09.2022

Badanie sieci

QNAP ogłosił wprowadzenie oprogramowania ADRA Network Detection and Response (NDR) dla...
01.09.2022

5G w Polsce

Z badania Kearney 5G Readiness Index 2022 wynika, że Polska jest jednym z najgorzej...
01.09.2022

Zarządzanie działaniami

Fortinet zaprezentował chmurową usługę, która koreluje informacje dotyczące...
01.09.2022

Selektywna rejestracja

Naukowcy z UCLA przedstawili projekt inteligentnej kamery, która pozwala wybrać, jaki...
01.09.2022

Więcej mocy, komputer...

Profesjonalny komputer Dell Precision 7865 Tower z AMD Ryzen Threadripper PRO 5000...
01.09.2022

Rekord prędkości

Firma Aorus zapowiada superszybki dysk, następcę modelu Gen4 7000s SSD, który ma oferować...
01.09.2022

Beprzewodowe drukowanie

Firma Brother wprowadziła do swojego portfolio nowe urządzenie wielofunkcyjne z systemem...
01.09.2022

Obraz dobrze zaprogramowany

Monitor interaktywny Lyra to połączenie Androida 11, szyby antybakteryjnej, wbudowanego...

Przegląd aktualnych rozwiązań 2FA

Data publikacji: 01-09-2022 Autor: Grzegorz Kubera

Nawet jeśli nasze hasło zostanie złamane, dostęp do konta nie będzie możliwy bez kodu uwierzytelniającego. Rozwiązania 2FA, czyli two-factor authentication, zapewniają dwuskładnikowe uwierzytelnianie i znacznie podnoszą poziom bezpieczeństwa. Sprawdzamy, które z nich są warte uwagi.

 

U wierzytelnianie dwuskładnikowe, zwane też 2FA (two-factor authentication), od lat zaleca wielu niezależnych ekspertów, w tym amerykański Narodowy Instytut Standardów i Technologii. Argumentacja jest prosta: jednoskładnikowe uwierzytelnianie w obecnych czasach nie jest wystarczająco bezpieczne, zwłaszcza w dobie pracy zdalnej i hybrydowej. Biorąc pod uwagę, że tak wiele firm przetwarza i gromadzi obecnie dane osobowe, uwierzytelnianie dwuskładnikowe wydaje się niezbędne, aby zapewnić odpowiednio wysoki poziom ochrony.


Włączenie 2FA wiąże się jednak z pewnym ryzykiem. Jeśli stracimy telefon, na który otrzymujemy odpowiednie kody uwierzytelniające, możemy stracić dostęp do konkretnych kont. Pojawia się więc konieczność tworzenia i przechowywania kopii zapasowej. Dostawcy oprogramowania 2FA zwykle oferują backup w chmurze i warto z niego korzystać. Są też inne metody, ale niezależnie od tego, na co się zdecydujemy, warto zadbać o to, by mieć sposób na ewentualne odzyskanie dostępu do konta, ponieważ w przeciwnym razie możemy na zawsze stracić do niego dostęp w momencie utraty konkretnego urządzenia.


> Kryteria wyboru


Google Authenticator to jedna z najpopularniejszych aplikacji do uwierzytelniania 2FA. Była też jedną z pierwszych tego typu na rynku. Zapewnia lepsze bezpieczeństwo szczególnie na smartfonach. Narzędzie to bez trudu działa na wielu witrynach i kontach, więc nie jest ograniczone tylko do Google’a, ale można spotkać się z opiniami, że jest zbyt rzadko aktualizowane. Stąd pomysł na przegląd alternatyw dla Google Authenticatora, które cechują się świetną funkcjonalnością i są regularnie aktualizowane.


Przy wyborze aplikacji wzięliśmy pod uwagę kilka ważnych aspektów. Po pierwsze, aplikacja 2FA musi być kompatybilna zarówno z platformą Android, jak i iOS. Jej dostępność dla systemów Mac i Windows traktowaliśmy również jako ważną zaletę, ale nie konieczność. Warto jednak podkreślić, że może to być przydatna funkcja szczególnie wtedy, gdy zdecydujemy się na odzyskiwanie konta.

 

Drugim kryterium wyboru była sama użyteczność. Aplikacja powinna pozwalać na łatwe dodawanie nowych kont, znajdowanie tych istniejących oraz usuwanie kont, których już nie potrzebujemy. Interfejs zaś musi być intuicyjny i działać dynamicznie.


Ocenialiśmy również niezawodność. Niemal każdy doświadczony programista jest w stanie przygotować aplikację uwierzytelniającą, dlatego zwracaliśmy uwagę na partnerów, z jakimi współpracuje dany dostawca oprogramowania, a także na to, czy jest to po prostu znana marka. Jeśli aplikacja pochodzi od znanego producenta, takiego jak Cisco czy Microsoft, zyskujemy pewność, że zadbano o bezpieczeństwo oraz wsparcie techniczne. Gdy pojawi się jakiś problem, nie zostaniemy z nim sami.


Przy wyborze aplikacji zwracaliśmy także uwagę na łatwość odzyskiwania konta. Szukaliśmy takich aplikacji, które oferują kilka sposobów jego odzyskiwania, np. za pośrednictwem kopii zapasowej czy przy udziale wsparcia technicznego. Ważne było, aby gwarantowano choć jedną pewną metodę.


Wzięliśmy jeszcze pod uwagę to, czy aplikacja obsługuje kody PIN lub blokady biometryczne w ramach dodatkowego bezpieczeństwa. Możliwość dodania warstwy zabezpieczeń takiej jak skanowanie odcisku palca czy Face ID traktujemy opcjonalnie, ale to cenna usługa – zwłaszcza że coraz więcej urządzeń oferuje tego typu technologie.


> Kwestia przyzwyczajenia


Jeśli wcześniej nie korzystaliśmy z 2FA, nie powinniśmy się zniechęcać i traktować zabezpieczenia jako dodatkowego kroku, na który musimy tracić czas. Korzystanie z rozwiązań do uwierzytelniania dwuskładnikowego szybko wchodzi w nawyk i po pewnym czasie będziemy je traktować tak samo, jak traktujemy logowanie się do kont online za pomocą nazwy użytkownika i hasła. W ciągu tygodnia przyzwyczaimy się do 2FA i otwieranie aplikacji, aby pobrać kod do logowania, nie będzie stanowiło problemu. Ponadto możemy nawet uprościć ten proces, jeśli korzystamy z menedżera haseł. Wtedy wystarczy wpisać kod uwierzytelniający dla menedżera, a ten już automatycznie wypełnia poszczególne formularze.


Poleganie wyłącznie na hasłach jest natomiast coraz bardziej niebezpieczne. Jak podaje Norton, niemal 50% ludzi korzysta z tych samych haseł dla wielu kont, a dodatkowo ponad 100 mln kont ciągle korzysta z hasła „123456”. Zdecydowanie warto dodać drugą warstwę zabezpieczeń i wdrożyć systemy 2FA – zarówno u siebie, jak i w firmie, w której pracujemy.


> Duo Mobile


Aplikacja obsługuje uwierzytelnianie dwuskładnikowe Duo Security dla dowolnej z wielu witryn, które współpracują już z Google Authenticatorem. Instalujemy ją na iOS-a lub Androida, a następnie możemy korzystać z 2FA na danej stronie, wykorzystując przy tym kod QR. Potem za każdym razem, gdy potrzebujemy kodu uwierzytelniającego dla witryny, po prostu dotykamy ikony klucza obok nazwy witryny na liście Duo Mobile.


Kody są ograniczone czasowo – jeśli stracą swój termin ważności, znikają i trzeba je pobrać ponownie (będą to już inne kody). Sama obsługa narzędzia jest dość prosta i szybko możemy je skonfigurować do uwierzytelniania wybranych rozwiązań, np. poczty Gmail czy Dropboksa.


Za każdym razem, gdy Duo Mobile zastępuje Google Authenticatora, musi przejść autoryzację poprzez wykorzystanie numerycznego kodu uwierzytelniającego. Inaczej jest, gdy witryna działa bezpośrednio z narzędziem – ponieważ obsługuje technologię Duo, możemy korzystać z funkcji Duo Push. Ta nie wymaga od nas kopiowania żadnych numerów – aplikacja lub strona internetowa sama wysyła żądanie autoryzacji do Duo Mobile na smartfonie. Można wówczas zatwierdzić lub odrzucić dane połączenie.


Warto dodać, że obecnie Duo należy do firmy Cisco. Narzędzie ma już dopracowany interfejs i zapewnia wygodną obsługę – co warto podkreślić, bo jeszcze kilka lat temu użytkownicy skarżyli się na zbyt skomplikowany proces konfiguracji. Ponadto Duo ma też wiele funkcji dla firm, np. możliwość dodawania uwierzytelniania 2FA do dowolnego środowiska lub platformy, włącznie z funkcją samodzielnej rejestracji (self-enrollment) dla nowych użytkowników.


Dostawca oprogramowania chwali się, że Duo bez problemu radzi sobie w środowiskach wielochmurowych, hybrydowych oraz on-premise (lokalnych), a także jest wykorzystywane przy aplikacjach SaaS, infrastrukturze krytycznej, niestandardowych narzędziach oraz SSH. Nadaje się do współpracy również z urządzeniami offline.

 

[...]

 

Autor jest założycielem firmy doradczo-technologicznej. Pełnił funkcję redaktora naczelnego w magazynach i serwisach informacyjnych z branży ICT. Dziennikarz z ponad 13-letnim doświadczeniem i autor książek na temat start-upów oraz przedsiębiorczości.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"