Uwierzytelnianie dwuskładnikowe: czy pytania zabezpieczające są skuteczne?

Dżesika Dominiak
2022-12-23
Ostatnio zaktualizowany2022-12-23
Otwarta, metalowa kłódka trzymana nad klawiaturą laptopa - symbol braku dwuetapowej weryfikacji podczas logowania i słabych pytań zabezpieczających

Włączasz dwuskładnikowe uwierzytelnianie podczas logowania lub zapomniałeś hasła i chcesz je zresetować. Wpisujesz swoje dane, a na ekranie pojawia się pytanie zabezpieczające: o nazwisko panieńskie matki, ulubiony kolor lub datę urodzenia. Odpowiedź na nie ma potwierdzić Twoją tożsamość. Jest łatwa do zapamiętania, ale czy faktycznie tylko Ty ją znasz? Dowiedz się, dlaczego sposób, który z założenia ma pełnić funkcję ochronną, w rzeczywistości może być niebezpieczny. 

Wymagane uwierzytelnianie dwuskładnikowe a bezpieczeństwo w sieci

Zabezpieczona strona logowania z loginem i hasłem na ekranie tabletu stojącego na biurku obok filiżanki z kawą i telefonu

Po wpisaniu poprawnego loginu i hasła, strona wymaga od Ciebie “drugiego składnika” – kodu, odpowiedzi na pytanie lub autoryzacji w aplikacji mobilnej. Taka procedura, choć trwa dłużej niż tradycyjne logowanie, ma lepiej chronić prywatność użytkownika. Nawet jeśli cyberprzestępca w jakiś sposób pozyska dane dostępu do konta potencjalnej ofiary, to istnieje duże prawdopodobieństwo, że zostanie zatrzymany właśnie na drugim etapie.

Najpopularniejszy metody uwierzytelniania dwuskładnikowego to:

  • jednorazowy kod dostępu wysłany mailem lub SMS-em,
  • klucz bezpieczeństwa U2F,
  • identyfikacja biometryczna,
  • kod czasowy w aplikacji,
  • połączenie głosowe,
  • pytanie zabezpieczające.

Pytania bezpieczeństwa – skuteczność

Pytania zabezpieczające są jedną z najstarszych form uwierzytelniania. Mimo wielu nowoczesnych rozwiązań, dalej cieszą się niesłabnącą popularnością. Ich użyteczność wynika z założenia, że właściciel konta jest jedyną osobą, która zna poprawną odpowiedź. I choć same w sobie nie są szczególnie skutecznym rozwiązaniem, to w połączeniu z innymi zabezpieczeniami już tak. Z tego też powodu najczęściej stanowią tylko część procesu weryfikacji, np. poprzedzają wygenerowanie kodu w aplikacji mobilnej lub wysłanie maila z linkiem do resetu hasła.

Przeczytaj także: Jak stworzyć bezpieczne hasło i go nie zapomnieć? 6 skutecznych metod, które musisz znać

Dlaczego pytania zabezpieczające nie zawsze są bezpieczne?

Skupiony mężczyzna w okularach wykonuje uwierzytelnianie dwuskładnikowe. Korzysta z mobilnej autoryzacji

Problem z wykorzystaniem potencjału tej metody uwierzytelniania wynika z jakości pytań i odpowiedzi. Użytkownicy często wykazują się lekceważącym podejściem do zabezpieczeń. W pośpiechu wybierają gotowe propozycje, które podsuwa im strona internetowa. W konsekwencji ich odpowiedź jest dość oczywista, łatwa do odgadnięcia lub powszechnie dostępna w mediach społecznościowych.

Przykłady (nie)bezpiecznych pytań:

  1. Kiedy są Twoje urodziny? – łatwo znaleźć tę informację w social mediach
  2. Jaki jest Twój ulubiony kolor? – niewielka liczba możliwych odpowiedzi
  3. Jaki jest Twój numer telefonu? – znają go znajomi i rodzina
  4. Jaki tytuł ma Twój ulubiony film? – odpowiedź z czasem może ulec zmianie
  5. Jaka jest Twoja ulubiona potrawa?*

*Z statystyk Google wynika, że co 5 osoba, zapytana o ulubione danie, odpowiada “pizza”.

Pytanie bezpieczeństwa – dobre praktyki

Z drugiej strony żadna technologia nie gwarantuje pełnej, niezawodnej ochrony. Natomiast każde dodatkowe zabezpieczenie zmniejsza ryzyko zostania ofiarą cyberprzestępcy. Aby pytanie kontrole podczas weryfikacji dwuetapowej spełniało tę rolę, nie może być szablonowe. Zamiast korzystać z podpowiedzi strony, zbuduj własną, unikalną barierę ochronną. Jak to zrobić?

Pomyśl o pytaniu zabezpieczającym jak o największym sekrecie – tajemnicy, której nigdy nikomu nie mówiłeś i nie zamierzasz tego robić. Poufność identyfikującego Cię faktu odgrywa tutaj kluczową rolę. Ponadto weź pod uwagę kryteria, takie jak spójność, szczegółowość i mnogość poprawnych odpowiedzi.

Pomysły na efektywne pytania zabezpieczające:

  1. Jak miał na imię Twój pierwszy partner/przyjaciel z dzieciństwa?
  2. Jak rodzeństwo przezywało Cię w dzieciństwie?
  3. Jak nazywa się uczelnia, do której złożyłeś podanie, ale nie dostałeś się?
  4. Jakie jest nazwisko panieńskie Twojej babci?
  5. Jak nazywał się chłopak, który skradł Ci pierwszy pocałunek?
Elegancki mężczyzna w koszuli wpisuje na tablecie odpowiedź na pytanie zabezpieczające

Pytania zabezpieczające – FAQ

Poznaj odpowiedzi na najczęściej zadawane pytania!

Co to jest uwierzytelnianie dwuskładnikowe?

Dwuetapowe uwierzytelnianie (z ang. Two-Factor Authentication – 2FA) jest procesem weryfikacji tożsamości użytkownika podczas logowania, który ma chronić konto przed nieautoryzowanym dostępem Wymaga podania co najmniej dwóch składników, czegoś, co znasz (hasło)  i czegoś, co masz (np. telefon).

Co to jest pytanie zabezpieczające?

Pytanie zabezpieczające jest drugim składnikiem dwuetapowej weryfikacji (uwierzytelniania). Identyfikuje użytkownika i chroni jego konto przed nieautoryzowanym dostępem osób trzecich, w tym przed atakami phishingowymi.

Czy weryfikacja dwuetapowa jest bezpieczna?

Weryfikacja dwuskładnikowa jest dodatkową formą zabezpieczenia konta lub systemu przed atakiem hakerskim. Cechuje się wysoką skutecznością – znacznie obniża ryzyko zostania ofiarą ataku hakerów.

Dżesika Dominiak
Dżesika Dominiak
Zobacz więcej wpisów
Zawodowo piszę i bawię się słowami. Prywatnie czas spędzam na siłowni, na spacerach z psem lub na kanapie, rozwiązując krzyżówki. Mam słabość do brukselki i miętowo-czekoladowej latte.
error: Treści są zabezpieczone!