Zlecenie przelewu, zakupy przez Internet, elektroniczna rejestracja na wizytę lekarską – te czynności tworzą naszą codzienność. Wykonujemy je wręcz mechanicznie, a całość zajmuje zaledwie chwilę. Pamiętamy jednak, że nie tak dawno ich przebieg był znacznie bardziej skomplikowany i czasochłonny. Jesteśmy przyzwyczajeni, że aby przeprowadzić daną operację, wystarczy potwierdzić swoją tożsamość i podać dane. Choć czy w czasach, gdy słyszymy o tylu wyciekach danych, jest to wystarczająco bezpieczny sposób weryfikacji? Według raportu CERT Orange Polska dotyczącego cyberbezpieczeństwa, szczególną uwagę należy zwrócić na zagrożenie, jakim jest phishing. Ta forma ataku stanowi znaczący procent zagrożeń, a obserwacje wskazują, że tendencja ta będzie się nasilać .

Co to jest phishing

Phishing to metoda oszustwa, która polega na wyłudzeniu od użytkownika danych poufnych przy pomocy fałszywych stron internetowych. Hakerzy podszywają się pod jakąś osobę lub instytucje w celu pozyskania jakieś informacji, nakłonienia do wykonania jakieś czynności. Aby pozyskać dane, bazują na najsłabszym ogniwie ochrony, czyli na człowieku i powołują się na siłę przyzwyczajeń.

Częstą strategią phishingu jest wykorzystywanie linków prowadzących do nieprawdziwych witryn, łudząco przypominających te, które znamy. Podobieństwo bywa ogromne, a strony mogą różnić się na przykład drobnym szczegółem. Przykładowo chodzi czasem jedynie o znak diakrytyczny – „e” w alfabecie łacińskim i „ę” w polskim wyglądają bardzo podobnie, co w połączeniu z kompozycją i kolorystyką strony (niemal identycznymi z oryginalną) prowadzi do wprowadzenia przez użytkownika danych logowania na takiej fałszywej stronie.

Tego typu ataki odbywają się również za pośrednictwem wiadomości mailowych, a nawet głosowych. Czym to się kończy? Przejęciem konta, często wielu kont – nieświadomi tego procederu użytkownicy używają często tego samego hasła w wielu aplikacjach. Dane wrażliwe, prywatne wiadomości i konto bankowe stają się łatwym celem ataków. Cyberincydenty dotyczą zarówno osób prywatnych, jak i dużych organizacji.

TT PSC- jak sie urchronić przed phishingiem- klucz sprzętowy FIDO U2F

Biznesowe konsekwencje ataku

Żyjemy w epoce danych, co oznacza, że w świecie, w którym funkcjonujemy, są one cenniejsze niż pieniądze. Kradzież tożsamości i utrata istotnych danych jest problematyczna dla każdego użytkownika, jednak z tym zagrożeniem powinni liczyć się szczególnie przedsiębiorcy. Cyberatak łączy się nie tylko z czasowym przestojem w pracy, opóźnieniami w produkcji czy stratami związanymi z koniecznością zniwelowania szkód. Równie dotkliwe i długotrwałe co straty finansowe okazują się straty wizerunkowe. Firma, która padnie ofiarą hakerów, traci wiarygodność a tym samym zaufanie klientów. Kompetencje danego przedsiębiorstwa zostają podważone, a skoro nie radzi sobie ono z ochroną własnych danych, jaką gwarancję bezpieczeństwa da swoim klientom? Kryzys wizerunkowy będący skutkiem wycieku danych może znacząco wpłynąć na prosperowanie przedsiębiorstw. Dlatego lepiej zapobiegać, stosując dedykowane środki zapobiegawcze.

Metody uwierzytelnienia – wady i zalety popularnych rozwiązań

W dyskusji dotyczącej cyberbezpieczeństwa pojawiają się istotne głosy dotyczące zapobiegania kradzieży danych. Znawcy branży utrzymują, że skutecznym rozwiązaniem jest dwuetapowa weryfikacja. Może ona uchronić użytkowników przed utratą dostępu do danych (czy to pieniędzy w banku, czy konta email z ważnymi informacjami). Rozbudowany proces uwierzytelnienia zakłada nie tylko użycie loginu i hasła, wymaga dodatkowego elementu, w postaci kodu, potwierdzenia z mobilnej aplikacji czy podpięcia klucza. Przyjrzyjmy się więc najczęściej wykorzystywanym metodom 2FA (two factor authentication) i prześledźmy ich zalety i wady.

Kody SMS

Najprostszą i z pewnością znaną większości użytkowników metodą uwierzytelniania dwuetapowego jest kod SMS. Podczas logowania do swojego konta, po użyciu loginu i hasła, użytkownik proszony jest o wpisanie jednorazowego kodu wysyłanego na jego numer telefonu za pomocą SMS. Główną zaletą tego popularnego rozwiązania jest jego dostępność. Obecnie prawie każdy posiada swój telefon komórkowy. Wpisanie otrzymanego kodu nie jest wymagającą czynnością, co z pewnością docenią użytkownicy aplikacji kierowanych nie tylko do osób biegłych w nowych technologiach. Ponadto stworzenie kodu oprogramowania wysyłającego kody SMS nie jest skomplikowane. Szybkość i łatwość implementacji są więc kolejnym walorem przemawiającym na korzyść tej metody.

Mimo swej powszechności, weryfikacja opierająca się na kodzie SMS nie jest najbardziej skuteczną metodą zabezpieczenia danych. Eksperci wskazują na szereg uchybień systemu, od tak prozaicznych, jak możliwość zgubienia bądź kradzieży telefonu, po te niezależne od użytkowników aplikacji i jej twórców. Tu warto wspomnieć o wątpliwościach dotyczących słabego zabezpieczenia sieci GSM oraz możliwość ataku przy użyciu duplikatu karty SIM. Atakujący, używając danych osobowych właściciela telefonu zdobytych z wycieków, mogą zamówić u operatora komórkowego duplikat karty SIM. Istnieje zatem dość wyraźna luka w zabezpieczeniu, która stwarza możliwość wykradzenia danych przez hakerów.

TT PSC Jak uchronić się przed phishingiem, wykorzystując autentyfikację

Jednorazowe kody kilkucyfrowe

Chęć udoskonalenia metody bazującej na kodach SMS doprowadziła do stworzenia jednorazowych kodów weryfikujących tożsamość. Ta popularna metoda 2FA bazuje na tworzeniu kodów w aplikacji na telefonie. Istnieje wiele aplikacji, które pozwalają na generowanie jednorazowych kodów potwierdzających tożsamość użytkownika – najpopularniejsza z nich to na przykład Google Authenticator. Na jakiej zasadzie działa? Serwer w momencie tworzenia profilu dla danego użytkownika generuje 80bitowy klucz. Klucz ten prezentowany jest aplikacji Authenticator jako kod kilkucyfrowy do zeskanowania. Na jego podstawie aplikacja generuje hash oparty o algorytm HMAC-SHA1. Część tego hasha jest następnie wyświetlana użytkownikowi jako 6-cyfrowy kod.

Rozwiązanie to pozwoliło wyeliminować obawy związane z siecią GSM. Aplikacja generuje kody jednorazowe w pamięci telefonu, bez udziału sieci. Dodatkowym ułatwieniem jest brak konieczności komunikacji między serwerem a generatorem kodu. Po ustawieniu początkowej konfiguracji działa on niezależnie. Plusem metody weryfikacji opartej o jednorazowe kody jest też jej szeroka dostępność. Obecnie smartfon jest przedmiotem użytku codziennego większości osób. Z drugiej strony wygląda na to, że to właśnie smartfon jest największą słabością tego sposobu weryfikacji. Klucz, na podstawie którego generowane są kody, jest przechowywany w pamięci telefonu, co za tym idzie, jest podatny na wyciek przez wykorzystanie złośliwych aplikacji. Należy pamiętać, że możliwość generowania jednorazowych kodów nie chroni przed próbami wykradzenia danych. Nadal nie jesteśmy bezpieczni w przypadku klasycznego phishingu opartego o „podstawioną” stronę internetową.

Klucz sprzętowy FIDO U2F

W hierarchii skuteczności najwyżej plasuje się klucz U2F. Pozwala on na wyeliminowanie wad poprzednich propozycji. Jest to fizyczne urządzenie, które może połączyć się zarówno z komputerem (za pomocą portu USB), jak i telefonem (używając w tym celu technologii NFC lub Bluetooth). Podczas rejestracji urządzenia, użytkownik generuje losowy numer identyfikacyjny. Numer ten składa się z nazwy domeny, na której go rejestrujemy, oraz ze specjalnego, tajnego klucza, przechowywanego stale na urządzeniu. Następnie urządzenie tworzy na tej podstawie klucz prywatny oraz publiczny. Klucz prywatny zostaje na urządzeniu, a jego publiczny odpowiednik jest wysyłany do serwera, na którym użytkownik chce uruchomić usługę U2F.

Logowanie za pomocą klucza sprzętowego polega na wygenerowaniu żądania przez stronę, której używa użytkownik. Następnie klucz U2F sprawdza, czy żądanie pochodzi ze strony zarejestrowanej w poprzednim kroku. Jeżeli zgodność zostaje potwierdzona, urządzenie podpisuje żądanie kluczem prywatnym i odsyła do serwera. Tak przebiegający proces weryfikacji jest o wiele bardziej skuteczny i bezpieczny, a ponadto eliminuje wady poprzednich rozwiązań.

Zalety klucza sprzętowego FIDO U2F

Niewątpliwą zaletą tego sposobu weryfikacji jest fakt, że klucz sprzętowy jest dostępnym i intuicyjnym w konfiguracji urządzeniem. Komunikacja odbywa się przez USB, NFC, Bluetooth, co czyni to narzędzie łatwym w obsłudze. Dodatkowo przedmiot jest małych rozmiarów, a przez to bez problemu mozna go przenosić. Co za tym idzie, zawsze można mieć go przy sobie, na przykład w charakterze breloka do kluczy. Jednak co ważniejsze, zwłaszcza w kontekście wyjściowego zagadnienia, to urządzenie odporne na phishing. Innowacyjność tego rozwiązania polega na tym, że klucz sam sprawdza poprawność strony internetowej, na której chce się go użyć. Co więcej – podpisywanie żądania leży jedynie po stronie klucza sprzętowego. Nie ma zatem możliwości przejęcia klucza prywatnego przez złośliwe aplikacje, co stanowi gwarancję bezpieczeństwa operacji przeprowadzanych z jego użyciem.

Wady klucza sprzętowego FIDO U2F

Jak każda z poprzednio wymienionych metod weryfikacji, tak i klucz sprzętowy nie jest wolny od wad. Użytkownicy zwracają uwagę na męczącą konieczność noszenia tego urządzenia ze sobą i potrzebę wyrobienia w sobie nawyku przemieszczania się nie tylko z telefonem komórkowy, ale też i z kluczem. Jak każdy przedmiot, klucz sprzętowy może też ulec uszkodzeniu. Dla pełnego bezpieczeństwa zaleca się posiadanie 2 urządzeń tego typu, co pozwoli w przypadku utraty bądź uszkodzenia jednego z nich, dostać się do swojego konta. Pozostaje jeszcze kwestia finansów – zaopatrzenie się w takie urządzenie wiąże się z wydatkami. Najtańsze klucze sprzętowe można kupić za około 40€, co stanowi relatywnie mały wydatek w obliczu zalet tego rozwiązania.

TT PSC Jak uchronić się przed phishingiem, wykorzystując autentyfikację- Jednorazowe kody kilkucyfrowe

Podsumowanie

Choć pomysłowość złodziei danych zaskakuje, posługują się oni standardowymi metodami ataków, które można nauczyć się rozpoznawać. Warto wdrożyć do codziennej aktywności w Internecie kilka dobrych nawyków, które zmniejszą ryzyko otworzenia fałszywej wiadomości czy skorzystania z trefnej strony www. Nie wpadniesz w sieć phishera, ograniczając zaufanie do podejrzanych linków, wiadomości z plikami do pobrania otrzymywanych z nieznanego źródła, stron wymuszających podanie danych. Dobrą praktyką jest używanie managerów haseł, które są w stanie generować złożone, unikalne hasła, jednocześnie ograniczając konieczność ich zapamiętania. Użytkownikom, którym zależy na bezpieczeństwie, rekomendujemy skorzystanie z technicznego zabezpieczenia przed phishingiem. Na ten moment jedynym rozwiązaniem, które skutecznie chronić przez próbami kradzieży danych, jest klucz sprzętowy. Koszt takiego urządzenia to niewielka cena za bezpieczeństwo danych poufnych, kont w mediach społecznościowych, czy kont bankowych i znajdujących się na nich środków.

Dlaczego my?

Dziękujemy za przeczytanie naszego artykułu w całości. Jeżeli zależy Ci na bezpieczeństwie danych i nie chcesz narażać swojej firmy na straty finansowe i wizerunkowe, rozważ współpracę ze specjalistami. Wierzymy w Digital Orchestration, dlatego zależy nam nie tylko na dostarczeniu najnowszej technologii, ale też na kompleksowości i bezpieczeństwie rozwiązania. Pracujemy nad bezpieczeństwem i jakością kodu, zajmujemy się również testami oprogramowania, które eliminują ryzyko jego nieprawidłowego działania. Jako Globalny Integrator Systemów świadczymy usługi z zakresu wdrażania technologii i doradztwa biznesowego – zapraszamy do kontaktu: kontakt@ttpsc.pl  .

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

W przypadku naruszenia Regulaminu Twój wpis zostanie usunięty.
Votre nom et prénom

_Wszystkie wpisy z tej kategorii

Outsourcing programistów – elastyczny sposób skalowania zespołu IT

Outsourcing zewnętrznego programisty zwiększa możliwości Twojego zespołu. Dodatkowy specjalista jest wsparciem w realizacji codzienny zadań i dotrzymywaniu deadline’ów. Jego obecność pozwala zwiększyć produktywność w momencie pojawienia się nowych i wymagający możliwości biznesowych.
Czytaj dalej

Jak uchronić się przed phishingiem, wykorzystując autentyfikację?

Żyjemy w epoce danych, co oznacza, że w świecie, w którym funkcjonujemy, są one cenniejsze niż pieniądze. Kradzież tożsamości i utrata istotnych danych jest problematyczna dla każdego użytkownika, jednak z tym zagrożeniem powinni liczyć się szczególnie przedsiębiorcy.
Czytaj dalej

Co musisz wiedzieć o serverless computing?

Serverless cmputing nadal budzi sporo wątpliwości, szczególnie wśród tych środowisk, które właśnie zaczynają korzystanie z usług chmurowych lub dopiero planują migrację do chmury swoich systemów. Na najważniejsze pytania dotyczące tego rozwiązania spróbujemy odpowiedzieć w niniejszym artykule.
Czytaj dalej

6 błędnych przekonań na temat metodologii Scrum

6 najczęstszych mitów i błędnych przekonań dotyczących scruma. Liczymy, że ich poznanie sprawi, że skutecznie ich unikniesz.
Czytaj dalej

Scrum Guide 2020. 5 TOP zmian i ich wpływ na pracę zespołu

Najnowsza aktualizacja wytycznych najpopularniejszego frameworka agile czyli Scrum Guide. Najważniejsze zmiany wprowadzone przez aktualizację Scrum Guide 2020 oraz ocena ich wpływu na codzienną pracę zespołów.
Czytaj dalej

Agile. Wszystko co musisz wiedzieć o metodyce zwinnej

Czym właściwie jest agile? Jak to się wszystko zaczęło? Jakie zasady charakteryzują tę metodykę działania, czym różni się ona od podejścia tradycyjnego i w jaki sposób efektywnie (i zwinnie) prowadzić projekty? Przedstawiamy zbiór informacji, który każda osoba związana w jakikolwiek sposób z technologiami, powinna poznać. Mamy nadzieję, że uznacie je za wartościowe oraz godne polecenia. Zapraszamy do komentowania, a w przypadku pytać szczegółowych – do kontaktu
Czytaj dalej

WCAG 2.1 – na co powinieneś zwrócić uwagę?

Wyobraź sobie, że jesteś osobą niewidomą lub słabowidzącą i chciałbyś/chciałabyś zalogować się do własnego konta bankowego poprzez stronę internetową lub aplikacje mobilną. Wpisujesz hasło, wybierasz kolejne opcję, przechodzisz na następną stronę, ale w pewnym momencie nie możesz zrobić nic więcej... Nie masz dostępu do pełnej funkcjonalności aplikacji. Dlaczego?
Czytaj dalej

Dostępność w sieci zgodna z WCAG i jej wpływ na wizerunek firmy

Coraz więcej aktywności z zakresu PR i marketingu przenosi sie obecnie do internetu. To zatem dobry moment na dokładną analizę działań prowadzonych w sieci i spojrzenie na nie w szerszej niż dotychczas perspektywie. Pomocne może okazać się wdrożenie standardów dostępności WCAG.
Czytaj dalej

WCAG, czyli dlaczego warto mieć dostępną stronę internetową i aplikację mobilną

Zastanawiałeś się kiedyś, jak korzystają ze stron internetowych osoby niewidome i niepełnosprawne? Standardowe czynności, które wykonujemy na co dzień w Internecie, są dla osób niepełnosprawnych utrudnione lub nawet niedostępne. Właśnie dlatego tak istotne są kryteria WCAG dla serwisów cyfrowych. Wykonanie przelewu bankowego, znalezienie informacji na stronach urzędowych czy zarezerwowanie online wizyty lekarskiej zajmuje chwilę, ale tylko wtedy, gdy strona jest dostępna. Co to oznacza w praktyce? To, że strona posiada odpowiednie funkcje umożliwiające poruszenie się po niej każdemu użytkowników, również osobom z niepełnosprawnością.
Czytaj dalej

Dostępność w sieci, czyli co to jest WCAG?

Dzisiejsze społeczeństwo jest mocno zinformatyzowane. Chcemy mieć dostęp do muzyki, książek, czy filmów gdziekolwiek jesteśmy, niezależnie od tego czy czekamy w poczekalni u dentysty, czy jedziemy autobusem. Wychodząc naprzeciw takiemu zapotrzebowaniu, coraz więcej przedsiębiorstw oferuje dostęp do swoich usług przez Internet.
Czytaj dalej

Nowości w Javie

W javie sporo się zmieniło. Od wydania najpopularniejszej jej wersji, czyli ósemki minęło już kilka dobrych lat. Cały czas wersja 8 jest tą, z której najczęściej korzystają developerzy. Czym jest to spowodowane? Mamy już przecież za sobą premierę Javy 13.
Czytaj dalej

Nearshoring – więcej możliwości dla Twojego biznesu

Branża IT to jedna z najszybciej ewoluujących gałęzi biznesu. Nie tylko dzięki technologii, którą oferuje, ale też dzięki szerokiemu obszarowi usług, które jest w stanie dostarczyć na potrzeby innych przedsiębiorstw.
Czytaj dalej

Jak szybko i skutecznie zbudować profesjonalny zespół programistyczny w kilku krokach – studium przypadku

Obecne trendy w tworzeniu i dostarczaniu dedykowanego oprogramowania dla firm mocno poszły w kierunku modelu opartego o outsourcing. Jest to bardzo wygodne rozwiązanie, gdyż klient (firma zamawiająca) nie musi utrzymywać całego działu programistów.
Czytaj dalej

FIDO – bezpieczniej czy wygodniej?

Od dawna intensywnie pracujemy nad stworzeniem skuteczniejszych oraz bezpieczniejszych sposobów identyfikacji użytkownika niż login i hasło. Wraz z rozwojem takich technologii jak czytniki linii papilarnych czy skanery siatkówki, jesteśmy w stanie zweryfikować tożsamość równie dobrze jak za pomocą loginu i hasła.
Czytaj dalej

Korzyści „code review” – czy tylko dla programistów?

Jeszcze parę lat temu code review było bardziej postrzegane jako pewnego rodzaju ciekawostka czy idealistyczny praktyka programistyczna niż element wnoszący widoczną wartość projektów komercyjnych. Choć termin ten od dawana jest jasny
Czytaj dalej

Jak znaleźć najlepszych programistów?

W rozwijającym się technologicznie świecie branża IT cierpi na niedobór wykwalifikowanych pracowników. I choć, według niektórych źródeł takich jak Forbes, problem tkwi raczej w niechęci pracodawców do spełnienia wymagań finansowych dostępnych zasobów ludzkich, co otwiera często wiele możliwości specjalistom z zagranicy, jest to niewątpliwie świetna okazja dla firm i platform umożliwiających outsourcing, z korzyścią dla …
Czytaj dalej

_Zostańmy w kontakcie

Skontaktuj się