Procedura tzw. logowania wieloskładnikowego jest wszystkim dobrze znana. Wpisujesz login/hasło i oczekujesz na wiadomość SMS z linkiem lub kodem weryfikacyjnym. Alternatywą może być też kod generowany przez aplikację na telefonie lub powiadomienie typu Push. Te dodatkowe elementy uwierzytelnienia to jednak wciąż za mało. Do 100% ochrony przed oszustami i złodziejami danych niezbędny jest klucz sprzętowy U2F, czyli, pisząc obrazowo, nieprzebyty mur, który oddzieli złodziei od kont internetowych.

Phishing - nie daj się złowić oszustowi!

Klasyczny wizerunek przestępcy z kominiarką na głowie i łomem w ręku coraz mniej ma wspólnego z rzeczywistością. Większość złodziei, włamywaczy i oszustów już dawno przeniosła się do sieci, gdzie ryzyko jest mniejsze, a ewentualny profit - obiecujący. Oprócz aktywów przetrzymywanych na kontach bankowych cenny łup stanowią też dane osobowe oraz szeroko pojęta tajemnica handlowa. Z tego powodu na celowniku cyberprzestępców trafiają też konta w portalach społecznościowych, wirtualne skrzynki pocztowe i profile firmowe.

Jedną z najpopularniejszych metod stosowanych przez cyberprzestępców jest tzw. phishing. Pod tą nazwą kryje się próba wyłudzenia danych osobowych lub haseł poprzez fałszywą wiadomość (np. e-mail, lub SMS). Te sprytnie spreparowane „przynęty” skutecznie imitują komunikaty wysłane przez bank, firmę ubezpieczeniową lub inne zaufane źródło. Otwarcie takiej wiadomości kończy się zwykle rozprzestrzenieniem szkodliwego oprogramowania, z którym nawet dobry antywirus sobie nie poradzi. Bardziej niebezpieczną formą tej metody jest “spear phishing”, czyli przynęta spersonalizowana pod konkretnego odbiorcę. Przybiera ona formę e-maila od pracodawcy, partnera biznesowego, a nawet członka rodziny. “Spear phishing” poprzedzony jest zazwyczaj dokładnym rekonesansem wybranej osoby lub całej firmy. Często zdarza się, że jego sprawcą jest ktoś z bliskiego otoczenia swojego “celu”.

Jak walczyć z phishingiem?

Oszuści internetowy, w tym phisherzy, wykorzystują ludzką naiwność i nieostrożność. Przeciętny internauta zazwyczaj nie spodziewa się zagrożenia, zwłaszcza w tak „zaufanym” środowisku jak prywatna skrzynka pocztowa czy profil na Facebooku. Właśnie dlatego otwiera niemal wszystkie wiadomości i załączniki, zwłaszcza te o zachęcających nagłówkach (“ostatnia szansa na odbiór nagrody!”, „kliknij natychmiast, by zyskać rabat!”).

Nasza główna rada jest prosta i banalna: bądź ostrożny i nie otwieraj wszystkich wiadomości “jak leci”. Nigdy nie wiadomo, w której z nich kryje się sprytna pułapka. A jak właściwie rozpoznać taką „wiadomość-przynętę?”. Oto kilka uniwersalnych metod i wskazówek.

  • zastanów się dwa razy przed otwarciem każdej wiadomości, zwłaszcza pochodzącej z obcego, niepewnego źródła.
  • pamiętaj, że samo kliknięcie w fałszywy e-mail nie powoduje zwykle szkody. Prawdziwie niebezpieczny jest zawarty w nim link lub załącznik.
  • banki oraz instytucje nie mogą prosić Cię o podanie danych osobowych lub konta bankowego. Jeżeli taka prośba się pojawia, najprawdopodobniej masz do czynienia z phishingiem.
  • ignoruj wiadomości z prośbą o przesłanie pieniędzy, pozbawione tytułu czy oferty towarzyskie.
  • sprawdź, czy wiadomość firmowa posiada charakterystyczne dla danego podmiotu logotypy, grafiki i stopki z danymi.
  • dobrym pomysłem jest kontakt telefoniczny z rzekomym adresatem, by potwierdzić autentyczność wiadomości.
  • wszelkie pogrubione hasła zakończone wykrzyknikiem z automatu powinny wzbudzić Twoją czujność.
  • Nie klikaj od razu w linki wysłane przez obce osoby oraz znajomych na Facebooku, zwłaszcza tych, z którymi nie utrzymujesz częstych kontaktów.
  • Wszystkie podejrzane e-maile oznaczaj jako “spam” lub “podejrzane”.

Klucz bezpieczeństwa USB - prywatność w sieci bez haseł

Powyższe porady nie gwarantują 100% ochrony przed oszustami. Zwłaszcza że “phishing” to ledwie jedna z wielu metod stosowanych przez cyberprzestępców. Smutna prawda jest taka, że nasze konta internetowe każdego dnia narażane są na rozmaite cyberataki. Nawet skomplikowane i często zmieniane hasło może nie wystarczyć.

Tu z pomocą przychodzi klucz zabezpieczeń U2F. To przypominające pendrive urządzenie umożliwia bezhasłowe logowanie do wielu portali i serwisów internetowych takich jak usługi Google, konta bankowe, Amazon i Facebook. Może też posłużyć jako dodatkowa warstwa zabezpieczeń kont internetowych.

Klucz U2F - jak używać?

Na początek musisz skonfigurować klucz z wybranym serwisem. W tym celu wejdź w zakładkę ustawień związaną z bezpieczeństwem i połącz proces uwierzytelnienia z akcesorium wpiętym do portu USB. Po wciśnięciu przycisku na obudowie klucza serwis wygeneruje wezwanie (z ang. challenge), które następnie zatwierdzane jest przez klucz i wysyłane z powrotem. Gotowe - jesteś zalogowany.

Klucz bezpieczeństwa U2F - wady i zalety

Zalety klucza U2F

Największą zaletą kluczy sprzętowych jest maksymalne bezpieczeństwo. Współpracują one tylko z przeglądarką, a szyfrowanie odbywa się na poziomie urządzenia. W praktyce tylko właściciel klucza może zalogować się na swoje konto internetowe. Drugim atutem jest wygoda i łatwość użycia. Nie musisz już zapamiętywać dziesiątek loginów i haseł - wystarczy tylko wpiąć klucz do portu USB i wcisnąć przycisk. Warto też dodać, że klucz sprzętowy chroni użytkownika przed zalogowaniem się na fałszywe witryny, co dodatkowo zwiększa bezpieczeństwo.

Wady klucza U2F

Przede wszystkim pamiętaj, że zgubienie klucza oznacza utratę dostępu do konta internetowego. Niektóre serwisy są przygotowane na taki scenariusz oferując użytkownikom specjalne kody ratunkowe. Można je wydrukować i nosić przy sobie na wypadek utraty sprzętu. Mimo wszystko lepiej pilnuj klucza jak oka w głowie.

Poza tym klucz U2F jest dość mało popularny w Polsce, przez co wdrożenie go do firmy może sprawić pewne problemy. Miej też na uwadze, że, że nie wszystkie serwisy są kompatybilne ze sprzętowym uwierzytelnianiem. Przed zakupem wybranego modelu koniecznie sprawdź listę portali i protokołów, które obsługuje.

Rodzaje kluczy U2F - poznaj ofertę Yubico

Większość kluczy U2F działa podobnie. Poszczególne modele różnią się kompatybilnością z danym portem standardem USB (USB-C, USB-A) oraz wsparciem dla różnych protokołów takich jak FIDO, OpenPGP itp.

W ofercie marki Yubico znajdziesz szeroki wybór wariantów zarówno dla klienta prywatnego, jak i przedsiębiorcy. Dobrym przykładem jest klucz bezpieczeństwa Yubikey 5C Nano dopasowany do każdego komputera z portem USB-C i wspierający protokoły FIDO, FIDO 2, U2F, OTP. OATH HOTP, PIV oraz Open PGP. Przekłada się to na wsparcie tysięcy najpopularniejszych portali i usług. Ciekawą alternatywą jest klucz U2F YubiKey 5 NFC, który współpracuje ze smartfonami z modułem NFC.

Klucz zabezpieczeń U2F - najlepsza ochrona na rynku

Klucz sprzętowy U2F jako jedyny gwarantuje 100% ochronę przed kradzieżą danych. Jest to zatem świetny wybór dla osób prywatnych, a także polityków, dziennikarzy, detektywów i przedsiębiorców. Słowem, każdego dla kogo prywatność w sieci jest najważniejsza.

Podziel się tym
Tweet about this on Twitter Share on Reddit Share on Facebook Share on LinkedIn Email this to someone