Wycieki danych logowania zdarzają się dziś regularnie i obejmują miliony kont. Hasło można nam też wykraść, nie łamiąc go. Wystarczy, że wpiszemy je na podstawionej stronie logowania, podszywającej się pod bank czy popularny serwis. Z tego powodu nawet najsilniejsze hasło samo w sobie przestało wystarczać do ochrony konta.
Rozwiązaniem, które realnie utrudnia przejęcie konta, jest uwierzytelnianie dwuskładnikowe, w skrócie 2FA, a w szerszym ujęciu uwierzytelnianie wieloskładnikowe, czyli MFA. Polega na tym, że obok hasła podajemy jeszcze jeden, niezależny dowód tożsamości, najczęściej coś, co mamy fizycznie przy sobie, na przykład telefon z aplikacją uwierzytelniającą albo fizyczny klucz bezpieczeństwa. Nawet jeśli ktoś pozna nasze hasło, bez tego drugiego elementu i tak się nie zaloguje.
Kody SMS to najprostsza opcja, ale i najsłabsza. Przestępcy potrafią przejąć cudzy numer, wyrabiając duplikat karty SIM (tzw. SIM swapping), a wiadomość bywa przechwytywana. Lepszym wyborem są aplikacje uwierzytelniające, takie jak Google Authenticator czy Microsoft Authenticator, które generują w telefonie kody zmieniające się co kilkadziesiąt sekund. Działają bez zasięgu, a kod nigdzie nie jest przesyłany. Najwyższy poziom dają klucze sprzętowe oraz klucze dostępu (passkeys), odporne na phishing, bo działają wyłącznie na prawdziwej stronie danej usługi.
Coraz częściej mówi się o passkeys, czyli logowaniu całkowicie bez hasła, potwierdzanym odciskiem palca albo kodem PIN do telefonu. Google i Apple od dłuższego czasu zachęcają do tej metody, a Microsoft w kontach firmowych i szkolnych zaczął wymagać dodatkowej weryfikacji obok hasła. Warto włączać passkeys wszędzie tam, gdzie usługa już je udostępnia.
Nie trzeba zabezpieczać wszystkiego naraz. Zacznijmy od skrzynki e-mail, bo to przez nią resetuje się hasła do pozostałych kont. W dalszej kolejności warto włączyć 2FA w bankowości, mediach społecznościowych, kontach służbowych oraz w aplikacjach z danymi wrażliwymi, takich jak mObywatel. Opcję tę znajdziemy zwykle w ustawieniach konta, w sekcji bezpieczeństwa lub logowania. Przy włączaniu 2FA większość usług proponuje wygenerowanie kodów zapasowych. To awaryjne hasła jednorazowe na wypadek utraty telefonu, które najlepiej zapisać poza komputerem, na przykład wydrukowane i schowane.
Silne hasło to podstawa, ale dziś stanowi dopiero połowę zabezpieczenia. Uwierzytelnianie dwuskładnikowe należy do najprostszych i najskuteczniejszych kroków, jakie możemy wykonać dla ochrony swoich kont. Poświęćmy dziś kilka minut na włączenie go przynajmniej na skrzynce e-mail i w bankowości.
