Kas tai per žvėris ir kodėl visi apie tai kalba?
Jei bent kartą per pastaruosius metus bandei prisijungti prie „Google”, „Facebook” ar bet kurios rimtesnės platformos, tikriausiai susidūrei su tuo keistoku momentu, kai po slaptažodžio įvedimo sistema dar paprašo kažko papildomo – kodo iš SMS, programėlės ar net fizinio raktelio. Tai ir yra dviejų faktorių autentifikavimas, arba sutrumpintai 2FA (angl. Two-Factor Authentication).
Idėja iš esmės paprasta: vietoj to, kad sistema pasitikėtų tik vienu dalyku (tavo slaptažodžiu), ji reikalauja dviejų skirtingų įrodymų, kad esi tas, kuo sakais esąs. Pirmasis faktorius – kažkas, ką žinai (slaptažodis). Antrasis – kažkas, ką turi (telefonas, fizinis raktelis) arba kažkas, kas esi tu pats (pirštų atspaudas, veido atpažinimas).
Skamba kaip perteklius? Gal ir taip, kol nesupranti, kiek žmonių kasdien praranda prieigą prie savo paskyrų, pinigų ar net verslo dėl to, kad pasikliovė vien slaptažodžiu. Ir net jei tavo slaptažodis yra kažkas sudėtingo tipo K@t3_M3gst@_Zuv1!, tai vis tiek nėra pakankamai.
Kodėl slaptažodžio nebepakanka
Čia reikia šiek tiek pasigilinti į tai, kaip iš tikrųjų veikia atakos internete. Daugelis žmonių įsivaizduoja hakerį kaip kažkokį genijų, kuris sėdi tamsiame kambaryje ir bando spėti tavo slaptažodį raidė po raidės. Realybė yra daug prozaiškesnė ir todėl dar baisesnė.
Pirmiausia yra vadinamosios duomenų bazių nutekėjimų problemos. Kiekvienais metais nuteka šimtai milijonų prisijungimo duomenų iš įvairių platformų – nuo mažų forumų iki didžiulių korporacijų. Šie duomenys keliauja į tamsiąją interneto pusę ir parduodami arba tiesiog platinami nemokamai. Jei tu naudoji tą patį slaptažodį keliose vietose (o statistika rodo, kad taip daro apie 65% žmonių), vieno nutekėjimo pakanka, kad prarastum prieigą prie visko.
Antra problema – phishing, arba sukčiavimas apsimetant. Gauni laišką, kuris atrodo kaip iš banko, paspaudžia nuorodą, įvedi slaptažodį į suklastotą puslapį – ir viskas, tavo duomenys pas sukčius. Net ir labai atsargūs žmonės kartais pakliūna į tokias pinkles, nes modernūs phishing puslapiai atrodo identiškai originalams.
Trečia – brute force atakos. Automatizuoti įrankiai per sekundę gali išbandyti tūkstančius slaptažodžių kombinacijų. Jei sistema neapriboja bandymų skaičiaus, silpnesnis slaptažodis gali būti nulaužtas per kelias minutes.
2FA visose šiose situacijose veikia kaip antroji gynybos linija. Net jei kas nors sužino tavo slaptažodį, be antrojo faktoriaus jis vis tiek negali prisijungti. Tai ne tobulas sprendimas, bet reikšmingas žingsnis į priekį.
Kaip tai veikia techniškai – be baisių žodžių
Populiariausias 2FA metodas šiandien yra TOTP – laikinis vienkartinis slaptažodis (angl. Time-based One-Time Password). Tai tas šešiaženklis kodas, kuris keičiasi kas 30 sekundžių programėlėse kaip „Google Authenticator” ar „Authy”.
Kaip tai veikia? Kai tu pirmą kartą nustatai 2FA kokiame nors servise, sistema tau parodo QR kodą. Tame QR kode yra paslėptas unikalus raktas – ilga simbolių eilutė. Tavo programėlė nuskaito šį kodą ir išsaugo raktą. Nuo to momento ir serveris, ir tavo programėlė žino tą patį slaptą raktą.
Kai reikia sugeneruoti kodą, programėlė ima tą raktą, sujungia jį su dabartine laiko žyma (suapvalinta iki 30 sekundžių intervalo) ir iš to apskaičiuoja šešiaženklis skaičių. Serveris daro tą patį skaičiavimą savo pusėje. Jei abu rezultatai sutampa – prisijungimas leidžiamas. Kadangi laikas keičiasi, keičiasi ir kodas, todėl jis naudojamas tik vieną kartą.
Gražiausia šioje sistemoje tai, kad tinklo ryšys nereikalingas. Programėlė gali generuoti kodus net be interneto, nes jai reikia tik laiko ir išsaugoto rakto. Tai ir paaiškina, kodėl kartais matai, kad kodas veikia net lėktuve be ryšio.
SMS žinutėmis siunčiami kodai veikia kitaip – serveris sugeneruoja atsitiktinį kodą ir jį išsiunčia per telekomunikacijų tinklą. Tai paprasčiau, bet ir mažiau saugiau, apie ką pakalbėsime vėliau.
Skirtingi 2FA tipai – kuris geresnis?
Ne visi dviejų faktorių metodai yra vienodi. Čia trumpas sąrašas nuo mažiausiai iki labiausiai saugaus:
SMS kodai – labiausiai paplitę, bet ir silpniausi. Problema ta, kad SMS sistema buvo sukurta dešimtmečiais anksčiau nei kibernetinio saugumo grėsmės tapo tokios rimtos. Egzistuoja atakos vadinamos SIM swapping, kai sukčiai įtikina tavo mobiliojo ryšio operatorių perkelti tavo numerį į naują SIM kortelę. Nuo to momento visi tavo SMS ateina pas juos. Tai nėra lengva ataka, bet ji tikrai vyksta, ypač prieš žmones su dideliais kriptovaliutų ar investiciniais portfeliais.
Programėlių generuojami TOTP kodai – reikšmingai geriau. „Google Authenticator”, „Authy”, „Microsoft Authenticator” – visos jos naudoja tą patį TOTP protokolą. Pagrindinis skirtumas tarp jų yra atsarginių kopijų galimybės. „Authy” leidžia sinchronizuoti duomenis tarp įrenginių, „Google Authenticator” ilgą laiką to neturėjo (dabar turi, bet su tam tikrais apribojimais).
Fiziniai saugumo raktai (FIDO2/WebAuthn) – aukso standartas. Tai maži USB ar NFC įrenginiai kaip „YubiKey”. Jie naudoja kriptografiją viešojo ir privataus rakto principu. Net jei kas nors sukuria tobulą phishing puslapį, fizinis raktelis neveiks, nes jis patikrina, ar domenas tikrai teisingas. Google viduje po to, kai visi darbuotojai pradėjo naudoti fizinius raktus, phishing atakų skaičius nukrito iki nulio.
Biometriniai metodai – pirštų atspaudai, veido atpažinimas. Techniškai tai dažniausiai naudojama kaip vietinis įrenginio atrakinimas, o ne kaip tikras serverio autentifikavimas. Tavo iPhone veido atpažinimas patikrina, kas tu esi, bet pats autentifikavimo raktas vis tiek siunčiamas serveriui.
Praktinė rekomendacija: jei nori maksimalaus saugumo ir esi pasiruošęs šiek tiek investuoti, pirk „YubiKey” (kainuoja apie 50-70 eurų). Jei nori gero balanso tarp patogumo ir saugumo – naudok „Authy” arba „Microsoft Authenticator”. SMS kodai – geriau nei nieko, bet jei turi galimybę, pereik prie programėlės.
Kaip nustatyti 2FA pagrindinėse platformose
Teorija teorija, bet praktika svarbesnė. Štai kaip tai padaryti konkrečiose vietose:
Google paskyra: Eik į myaccount.google.com, pasirink „Sauga” (Security), rask „Dviejų veiksmų patvirtinimas” ir sek instrukcijas. Google siūlo kelis metodus – rekomenduoju pasirinkti autentifikatoriaus programėlę, o ne SMS. Taip pat labai svarbu: išsaugok atsarginius kodus, kuriuos Google sugeneruoja. Išspausdink juos arba išsaugok saugioje vietoje. Jei prarasite telefoną, šie kodai bus vienintelis būdas atgauti prieigą.
Facebook/Instagram (Meta): Nustatymai → Slaptažodis ir sauga → Dviejų faktorių autentifikavimas. Čia taip pat galima pasirinkti programėlę arba SMS. Vienas niuansas – Meta turi savo integruotą autentifikatoriaus funkciją, bet galima naudoti ir išorinę programėlę, kas yra geriau.
Bankininkystė: Dauguma Lietuvos bankų jau naudoja dviejų faktorių autentifikavimą pagal nutylėjimą – tai dažniausiai Smart-ID arba mobiliosios programėlės patvirtinimas. Jei tavo bankas vis dar siunčia tik SMS kodus, tai yra ženklas pagalvoti apie saugumo lygį.
Slaptažodžių tvarkyklės kaip „Bitwarden” ar „1Password” – čia 2FA ypač svarbus, nes šiose programose saugomi visi kiti tavo slaptažodžiai. Tai yra aukso kasykla bet kuriam užpuolikui. Nustatyk 2FA čia pirmiausia, prieš bet ką kitą.
Dažniausios klaidos ir kaip jų išvengti
Net žmonės, kurie naudoja 2FA, kartais daro klaidas, kurios sumažina jo efektyvumą iki minimumo.
Klaida Nr. 1: Atsarginių kodų neišsaugojimas. Beveik kiekviena platforma, kai nustatai 2FA, siūlo sugeneruoti atsarginius kodus. Daugelis žmonių paspaudžia „praleisti” arba tiesiog uždaro langą. O paskui praranda telefoną ir netenka prieigos prie paskyros visam laikui. Išsaugok šiuos kodus – fiziškai išspausdink, padėk į seifą ar bent jau į slaptažodžių tvarkyklę.
Klaida Nr. 2: Visos programėlės tame pačiame telefone. Jei ir slaptažodžių tvarkyklė, ir autentifikatoriaus programėlė yra tame pačiame telefone, o telefonas sugenda arba pavagiamas – esi labai blogoje situacijoje. Svarstyk galimybę turėti atsarginį įrenginį arba naudoti „Authy”, kuris leidžia sinchronizuoti keliuose įrenginiuose.
Klaida Nr. 3: Phishing su 2FA kodais. Taip, net 2FA galima apeiti phishing atakos metu. Tai vadinama real-time phishing – sukčius sukuria tarpinį puslapį, kuris tavo įvestą kodą iš karto perduoda tikram serveriui. Todėl fiziniai raktai yra pranašesni – jie tikrina domeną ir tokia ataka neveikia.
Klaida Nr. 4: 2FA tik svarbiose paskyrose. Daugelis žmonių galvoja: „Na, pašto paskyrą apsaugosiu, bet tą seną forumą – ne verta.” Problema ta, kad tas „senas forumas” gali turėti tą patį el. pašto adresą, per kurį galima atstatyti slaptažodį prie svarbesnių paskyrų. Grandinė tvirta tiek, kiek tvirta jos silpniausia grandis.
Klaida Nr. 5: Kodo dalinimasis. Skamba akivaizdžiai, bet tai vyksta. Sukčiai skambina apsimesdami banko darbuotojais ir prašo pasakyti kodą, kurį „ką tik išsiuntėme”. Joks tikras bankas, jokia tikra platforma niekada neprašys tavo 2FA kodo telefonu ar el. paštu.
Verslo kontekstas – kai 2FA tampa privalomybe
Jei dirbi įmonėje arba pats turi verslą, 2FA nėra tik asmeninis pasirinkimas – tai tampa organizacinis reikalavimas. Daugelis draudimo kompanijų, teikiančių kibernetinio saugumo draudimą, dabar tiesiogiai klausia, ar įmonė naudoja daugiafaktorinį autentifikavimą. Jei ne – polisas arba brangesnis, arba apskritai neišduodamas.
GDPR ir kiti duomenų apsaugos reglamentai nors ir nenurodo konkrečiai „naudok 2FA”, bet reikalauja „tinkamų techninių priemonių” duomenims apsaugoti. Reguliatoriai vis dažniau laiko 2FA tokia priemone, kurios nebuvimas po duomenų pažeidimo gali tapti papildomu kaltinimų pagrindu.
Praktiškai verslo aplinkoje rekomenduojama:
- Naudoti centralizuotą tapatybės valdymo sistemą (pvz., „Azure Active Directory” su MFA) vietoj individualių 2FA nustatymų kiekvienai programai
- Nustatyti politiką, kuri reikalauja 2FA visiems darbuotojams, ypač tiems, kurie turi prieigą prie jautrių duomenų
- Reguliariai tikrinti, ar visi darbuotojai iš tikrųjų naudoja 2FA, o ne tik sako, kad naudoja
- Turėti aiškią procedūrą, ką daryti, kai darbuotojas praranda antrąjį faktorių
Vienas iš dažniausių verslo kibernetinių incidentų tipų – Business Email Compromise (BEC), kai užpuolikai gauna prieigą prie vadovo el. pašto ir siunčia nurodymus pervesti pinigus. 2FA ant el. pašto paskyros yra vienas paprasčiausių būdų tokias atakas sustabdyti.
Kai saugumas susitinka su realiu gyvenimu
Gerai, visa tai skamba puikiai teoriškai. Bet yra vienas klausimas, kurį daugelis žmonių užduoda: ar 2FA nėra per daug nepatogus kasdieniam naudojimui?
Atsakymas – priklauso nuo to, kaip jį nustatai. Modernūs 2FA sprendimai turi funkcijas kaip „patikimas įrenginys” – kai prisijungi iš savo namų kompiuterio, sistema gali neprašyti antrojo faktoriaus tam tikrą laiką. Tai sumažina trintį iki minimumo. Tačiau jei prisijungi iš naujo įrenginio ar neįprastos vietos – sistema vėl paprašo patvirtinimo.
Kitas aspektas – įpratimas. Pirmą savaitę naujų įpročių formavimas visada atrodo nepatogus. Po mėnesio 2FA tampa tokia pat natūralia dalimi kaip slaptažodžio įvedimas. Smegenys greitai adaptuojasi.
Yra ir kita pusė – kaina to, kad nenaudoji 2FA. Paskyros atgavimas po įsilaužimo gali užtrukti dienas ar savaites. Jei tai verslo paskyra – tai reiškia prarastas pajamas, reputacijos žalą, galbūt teisinę atsakomybę. Jei tai asmeninė paskyra su prieiga prie bankininkystės – finansiniai nuostoliai gali būti labai realūs.
Galiausiai, 2FA nėra sidabrinė kulka. Tai vienas sluoksnis iš daugelio, kurie sudaro gerą kibernetinį higieną. Kartu su stipriais, unikaliais slaptažodžiais kiekvienai paskyrai (kurių neįmanoma atsiminti be slaptažodžių tvarkyklės), atsargiu elgesiu su nuorodomis el. pašte ir reguliariu programinės įrangos atnaujinimu – 2FA tampa labai efektyviu įrankiu. Atskirai – jis geras. Kartu su kitomis priemonėmis – puikus.
Jei dar nenaudoji dviejų faktorių autentifikavimo, šiandien yra gera diena pradėti. Ne rytoj, ne „kai turėsiu laiko”. Dabar. Pradėk nuo el. pašto paskyros ir slaptažodžių tvarkyklės – tai du svarbiausi taškai. Likusios paskyros – palaipsniui. Dešimt minučių investicijos gali apsaugoti nuo problemų, kurių sprendimas užtruktų daug ilgiau.
