Uwierzytelnianie dwuskładnikowe – ekspert Perceptus w audycji Cyberprzezorny w Radio Zachód

Zapis rozmowy: 

Piotr Kuśnierz: To jest program Cyberprzezorny. Przed mikrofonem Piotr Kuśnierz mam przyjemność gościć dziś w studiu Radia Zachód Łukasza Zajdela – Dyrektor sprzedaży w firmie Perceptus, Dzień dobry Łukaszu. 

Łukasz Zajdel: Dzień dobry, dzień dobry Państwu. 

P.K.: A dzisiaj przypomnijmy czym jest weryfikacja dwuetapowa. Wytłumaczymy co to uwierzytelnianie dwuskładnikowe i dlaczego warto z takiego dodatkowego zabezpieczenia korzystać. Na początku przypomnijmy naszym słuchaczom co kryje się pod nazwą uwierzytelnianie dwuskładnikowe. 

Ł.Z.: Tak naprawdę jest to metoda zabezpieczania do naszych kont, do naszych danych poprzez zastosowanie dwóch różnych metod weryfikacji. Tutaj możemy przedstawić to tak – coś wiem, na przykład hasło do danego portalu no oraz coś co mam, mogą to być różne urządzenia, czy dodatkowe zabezpieczenia sprzętowe m.in. tokeny, klucze zabezpieczające.  

P.K.: Podam przykład. Ja mam włączone uwierzytelnianie dwuskładnikowe w momencie logowania otrzymuję SMS-em kod, który wpisuje. To jest taka dodatkowa weryfikacja. Zakładając, że ktoś przejąłby mój login oraz hasło i byłby na etapie wprowadzania tych danych to ostatecznie nie mógłby się dostać na moje konto. Musiałby wpisać kod, który otrzymuję tylko i wyłącznie na swój numer komórkowy.

Wytłumaczyliśmy w takim razie, a bardziej przypomnieliśmy czym jest uwierzytelnianie dwuskładnikowe. Porozmawiajmy o typach uwierzytelniania dwuskładnikowego, czyli jakie są dodatkowe sposoby na potwierdzenie swojej tożsamości. Ja może naprowadzę. Wcześniej mówiłem o sposobie SMS-owym po prostu, zwykłym kodzie.  

Ł.Z.: Tak, takim kolejnym sposobem są na przykład kody wysyłane na adres e-mail. Czyli, logując się do jakiegoś portalu, musimy wpisać swój login i hasło, tak jak powiedziałeś, a zamiast SMS-a przychodzi nam kod na maila. Kod, który musimy przepisać, żeby uwierzytelnić, że na pewno mamy dostęp do tego konta. No bo jeżeli mamy dostęp do swojego konta pocztowego to już coś znaczy. Kolejnymi typami są klucze uwierzytelniające, czyli coś, co fizycznie posiadamy i jesteśmy w stanie, w przypadku takiego klucza po USB zwyczajnie wsadzić do swojego urządzenia lub przyłożyć, jeżeli jest to urządzenie, które posiada komunikację NFC. I trzecim takim typem jest coś, czym jestem na przykład biometria. Jesteśmy w stanie zeskanować swoją twarz, przyłożyć swój odcisk palca do urządzenia w celu weryfikacji tożsamości.  
 

P.K.: I tutaj może podzielę się z Państwem kawałkiem naszej rozmowy tuż przed nagraniem. Opowiadałem o tym, że mam konto na Google Pay i skróciłem sobie decyzyjność związaną z opłacaniem pewnego serwisu zajmującego się dostarczaniem jedzenia. Po prostu podłączyłem sobie pod ten serwis Google Pay i płacę tylko i wyłącznie za pomocą odcisku mojego palca, czyli wykorzystuje biometrię.  

Ł.Z.: Zgadza się. Tutaj też mogę powiedzieć, że to uwierzytelnianie dwuskładnikowe jest dodatkową metodą zabezpieczenia, ale my na co dzień, przynajmniej zakładam, że każdy chociaż raz w życiu, takiego uwierzytelnienia dokonał. Kiedy? Wtedy, kiedy chciał wypłacić pieniądze z bankomatu. Musiał mieć kartę i znać do niej PIN. Jeżeli ktoś przejąłby kartę, no to nie znałby PINu. Jeżeli ktoś znałby PIN, no to nie miałby karty. To jest klasyczne uwierzytelnianie dwuskładnikowe, tylko, że naszą usługą jest wypłata pieniędzy z bankomatu. I tak samo jest, kiedy chodzi o nasze serwisy społecznościowe, czy dostęp do konta bankowego.  

P.K.: Tych sposobów jest dużo. Mówiliśmy o SMS-ie, mailu, biometrii, ale z tego, co wiem najbardziej bezpiecznym sposobem dodatkowej weryfikacji jest klucz U2F USB. Przed chwilą o nim wspomniałem. Czy moglibyśmy zatrzymać się na tym temacie? To znaczy, jak on działa? Dlaczego jest uważany za najbardziej bezpieczną formę weryfikacji dwuetapowej? No i jak działa taki klucz fizyczny?  

Ł.Z.: Klucz jest najbardziej bezpieczny, ponieważ on już zahacza o kryptografię. Wewnątrz takiego klucza, a w zasadzie karty generowane są dwa klucze. Klucz publiczny i klucz prywatny. Z założenia klucz publiczny służy do dzielenia się, przesyłamy go do danej aplikacji, w której chcemy się uwierzytelnić. Klucz prywatny jest trzymany właśnie na takim tokenie, zazwyczaj to jest coś w rodzaju pendrive’a, tak wygląda. Przechowuje oba te klucze, a one nigdy go nie opuszszczają.

Podam przykład z życia, powiedzmy, że mamy w drzwiach zamek i mamy do niego klucz. Zamek w drzwiach jest publiczny, każdy może do niego podejść, no ale tylko my posiadamy klucz, który go otwiera. I taką samą sytuację mamy tutaj. Taki klucz publiczny jest przesyłany właśnie do danego serwisu, on jest przypasowany tylko do jednego klucza prywatnego. Dany serwis, jeżeli chcemy się zalogować, wpisaliśmy swój login i hasło, mówi nam – proszę teraz wsadzić ten klucz np. do komputera. Następnie serwis sprawdza, czy na tym urządzeniu, jest klucz prywatny, który jest przypisany do klucza publicznego wcześniej podanego przez użytkownika. No i dochodzi do uwierzytelnienia, jeżeli się zgadza, to zabezpieczenie wpuszcza nas do danego serwisu lub usługi.  

P.K.: I to jest ciekawe. Można oczywiście sprawdzić w internecie takie klucze są łatwe do zakupu. To jest operacja szyfrowana, najszybsza weryfikacja. No i nie wymaga dostępu do sieci czy zasilania, to też jest interesujące, prawda? No bo tak jak wspomniałem wcześniej, wygląda jak zwykły pendrive, a umożliwia nam bardzo bezpieczną formę dwuetapowej weryfikacji. Chociaż ja już się nauczyłem z doświadczenia, żeby nie mówić o stuprocentowym bezpieczeństwie, bo czegoś takiego
po prostu nie ma. A w jakich przykładowych aplikacjach czy serwisach, platformach można korzystać z uwierzytelniania dwuskładnikowego? Jest takich parę serwisów, z których Polacy korzystają na co dzień.  

Ł.Z.: Tak, jak najbardziej tutaj mamy na przykład usługi pocztowe. Możemy tu mówić o Microsofcie, o Google, tych najbardziej popularnych. Kolejne są social media. Czy to będzie Facebook, czy Twitter. Tak naprawdę wszystkie te aplikacje pozwalają już na to, nawet w takiej klasycznej metodzie, czyli bez klucza sprzętowego. Po prostu drugi kod otrzymuje na przykład na maila, czy tak jak wspomniałeś w SMS-ie. Dalej mamy banki. Coraz więcej banków w Polsce wprowadza możliwość korzystania z uwierzytelnienia dwuskładnikowego, na przykład poprzez potwierdzenie logowania się na aplikacji mobilnej. Tak jak wspomnieliśmy tutaj już o kluczach U2F, które też na to pozwalają.

Mam wrażenie, że wszyscy już będą dążyć do tego, żeby te uwierzytelnienie było powszechne. Ponieważ mamy bardzo mocny problem z tym, że te hasła wyciekają. Nie wiemy gdzie, nie wiemy skąd, bo w jednym serwisie zalogowaliśmy się takim samym hasłem, jak w drugim. Doszło do wycieku i mamy wielki problem, z którego ciężko wyjść.  
 

P.K.: I tu jest też bardzo ciekawa kwestia, bo w jednym z materiałów, które obejrzałem na platformie YouTube, Pan zarzekał się, że ustawienie uwierzytelnienia dwuskładnikowego, czyli tej weryfikacji dwuetapowej jest tak trudne, że potrzebna jest inna osoba, która nas, że tak powiem, weźmie za rękę i poinstruuje. Może powiedzmy jak to wygląda, bo oczywiście w każdym serwisie to może się troszeczkę różnić.

Ale jeśli chcemy włączyć dwuskładnikowe uwierzytelnianie, na przykładzie konta Google, to ja może na początku powiem, bo sprawdzałem jak to ustawić. Mam to skonfigurowane od dłuższego czasu. Zarządzaj kontem Google, wchodzimy na zakładkę bezpieczeństwo, sposób logowania się w Google i weryfikacja dwuetapowa. 

Jest to bardzo przejrzysty proces, prawda? Myślę, że chyba najważniejsze jest to Łukaszu zgodzisz się ze mną, żeby przede wszystkim wejść na dowolnym serwisie w zakładkę ustawienia następnie bezpieczeństwo i potem już bez problemu powinniśmy to znaleźć.  
 

Ł.Z.: Na 100% będzie to w zakładkach bezpieczeństwo. Jeżeli tam tego nie znajdziemy, warto szukać tego przy ustawianiu hasła, czy jakiekolwiek innego uwierzytelniania. Tam również powinien być jakiś pomocnik, który nam pomoże, ale to jest bardzo proste. Tutaj nie ma jakiejś wielkiej kryptografii, którą musi zrobić użytkownik. To wszystko dzieje się pod spodem, my tylko musimy zezwolić danemu serwisowi na tą metodę uwierzytelniania i wskazać, której będziemy używać i to tyle.  
 

P.K.: Są jeszcze takie kody zapasowe, które możemy mieć, aczkolwiek powiem szczerze, że dla mnie jest to dość niebezpieczne. Bo jeśli taki kod trafi do postronnej osoby, a nie jest to ciąg liczb, który zmienia się z dnia na dzień. To kod, który otrzymujemy i możemy go zastosować w przyszłości w formie uwierzytelniania.  
 

Ł.Z.: Tak, tutaj bardzo mocno trzeba zwracać uwagę na to, że jeżeli podłączamy jakąś drugą metodę uwierzytelniania, to nie zalogujemy się bez niej. Czyli jeżeli na przykład stracimy dostęp do danej poczty, na którą było uwierzytelnianie zrobione, czy zgubimy telefon z numerem to nie dostaniemy się do naszych serwisów. Tak samo jest przy kluczu uwierzytelniającym. Wszystkie metody, które są wprowadzane, od razu informują użytkownika, że najlepiej mieć dwa takie klucze podłączone. Jakbyś jeden zgubił, drugi powinien leżeć gdzieś w domu, w sejfie niezależnie czy mówimy tu o użytkowniku prywatnym, czy firmowym. No bo jeżeli to zgubimy, to koniec. Możemy oczywiście prosić w danym serwisie o usunięcie tej formy uwierzytelniania, ale te bardziej poważne serwisy nie mają takiej możliwości. Byłoby to bez sensu. Nie o to w tym chodzi, to właśnie ma być zabezpieczenie.  

P.K.: Ja mogę zasugerować, oczywiście to jest moja propozycja, aczkolwiek Państwo sami podejmą decyzję. W moim przypadku jest tak, że mam podany mój numer telefonu, do niego jest dołączony tzw. mail główny, ale dołączyłem również adres pomocniczy. Jest to mail dodatkowy w sytuacji, gdyby mój pierwszy, główny mail został skompromitowany albo straciłbym do niego dostęp.

A powiedzmy jeszcze na samym końcu, Łukaszu, w jakim kierunku zmierza według Ciebie weryfikacja tożsamości? My już przy okazji jednego z naszych spotkań w przeszłości trochę rozmawialiśmy o biometrii. Czy według Ciebie właśnie ten nacisk będzie polegał na opcjach biometrycznych, czyli odcisk palca, tęczówka, czy może kolejne warstwy uwierzytelniania będą wprowadzane?  

Ł.Z.: Tak, jak najbardziej. Wydaje mi się, że biometria i to co posiadamy w sobie, czyli wszelkiego rodzaju możliwości, które uwierzytelniają nas będą w przyszłości wykorzystywane. Według mnie też rynek pójdzie w tą stronę, żebyśmy potwierdzali coś na urządzeniu mobilnym. Teraz wszyscy te urządzenia mobilne posiadają.  

P.K.: Na przykład banku, prawda?  

Ł.Z.: Na przykład banku, tak, o których była mowa wcześniej. Ponieważ musimy jakoś dołożyć ten klocek, że tak się wyrażę, cyberbezpieczeństwa do tego, żeby móc poświadczyć, że ja to jednak ja. Aktualnie w internecie jesteś loginem i hasłem, czyli ciągiem znaków, tak jak powiedziałeś.  

P.K.: Dokładnie tak. Trzymamy kciuki, żeby nasze dane były bezpieczne. Ja dziś miałem przyjemność rozmawiać na temat uwierzytelniania dwuskładnikowego, inna nazwa to weryfikacja dwuetapowa, z Łukaszem Zajdelem – dyrektorem sprzedaży w firmie Perceptus. Dziękuję ci bardzo za to spotkanie.  

Ł.Z.: Dziękuję ślicznie.  

P.K.: Bądźmy bezpieczni na co dzień. Rozmowę przeprowadził Piotr Kuśnierz. Do usłyszenia.