2FA: kodėl tai privaloma kiekvienam

Tavo slaptažodis jau seniai ne paslaptis

Pagalvok apie tai sekundę. Kiek paskyrų turi internete? Dešimt? Penkiasdešimt? O gal net nesuskaičiuosi? Dabar kitas klausimas – kiek iš tų paskyrų apsaugotos tik vienu slaptažodžiu? Jei atsakymas yra „dauguma” arba „visos” – tai yra problema. Rimta problema.

Kiekvienais metais nuteka šimtai milijonų slaptažodžių. Ne todėl, kad žmonės būtų kvaili ar nerūpestingi – tiesiog didelės kompanijos patiria duomenų saugumo pažeidimus, ir tavo el. pašto bei slaptažodžio kombinacija atsiduria tamsiajame internete už kelis centus. Kartais net nemokamai. Gali patikrinti savo el. paštą puslapyje haveibeenpwned.com – daugelis žmonių nustemba, kai mato, kiek kartų jų duomenys jau buvo nutekinti.

Čia ir įeina dviejų faktorių autentifikacija – arba tiesiog 2FA. Tai nėra kažkokia techninė paslaptis ar IT specialistų žaislas. Tai paprasčiausias ir efektyviausias būdas apsaugoti savo paskyras net tada, kai slaptažodis jau seniai žinomas kitiems.

Kas iš tikrųjų yra 2FA ir kaip tai veikia

Dviejų faktorių autentifikacija remiasi labai paprasta logika: norėdamas įeiti į paskyrą, turi įrodyti savo tapatybę dviem skirtingais būdais. Pirmasis faktorius – tai ką žinai (slaptažodis). Antrasis – tai ką turi arba kas esi.

Saugumo ekspertai šiuos faktorius skirsto į tris kategorijas:

• Žinojimas – slaptažodis, PIN kodas, atsakymas į saugumo klausimą
• Turėjimas – telefonas, fizinis saugumo raktas, banko kortelė
• Buvimas – pirštų atspaudas, veido atpažinimas, akies rainelė

Kai įjungi 2FA, net jei kas nors sužino tavo slaptažodį, jiems vis tiek reikia antrojo faktoriaus – o tai paprastai reiškia fizinę prieigą prie tavo telefono arba specialaus įrenginio. Ir čia yra esminis skirtumas: slaptažodį galima pavogti nuotoliniu būdu, bet telefono, kuris yra tavo kišenėje, – žymiai sunkiau.

Praktiškai tai atrodo taip: įvedi slaptažodį, sistema paprašo patvirtinimo kodo, tu atidari autentifikatoriaus programėlę arba gauni SMS žinutę, įvedi šešiaženklis kodą – ir esi viduje. Visas procesas trunka apie 15 sekundžių. Bet apsaugos lygis pakyla astronomiškai.

Ne visos 2FA lygios – štai kuri geriausia

Čia daugelis žmonių daro klaidą. Jie įjungia 2FA per SMS žinutes ir mano, kad viskas gerai. Iš dalies – taip, bet SMS pagrįsta 2FA yra silpniausia šios sistemos versija, ir štai kodėl.

Telefonų numeriai gali būti „pavogti” per vadinamąją SIM swap ataką. Tai reiškia, kad užpuolikas paskambina tavo mobiliojo ryšio operatoriui, apsimeta tavimi, ir prašo perkelti numerį į naują SIM kortelę. Skamba neįtikėtinai? Deja, tai nutinka reguliariai, ypač žmonėms, turintiems vertingas kriptovaliutų paskyras ar socialinių tinklų profilius su dideliu sekėjų skaičiumi.

Štai 2FA metodų hierarchija nuo silpniausio iki stipriausio:

1. SMS žinutės – geriau nei nieko, bet pažeidžiama. Naudok tik jei nėra kitų variantų.
2. El. pašto kodai – panašiai kaip SMS, tik dar blogiau, nes el. paštas dažnai yra pirminis atakos taikinys.
3. Autentifikatoriaus programėlės (Google Authenticator, Authy, Microsoft Authenticator) – generuoja laiko ribotus kodus tiesiogiai telefone, be interneto ryšio. Žymiai saugiau.
4. Fiziniai saugumo raktai (YubiKey, Google Titan) – USB arba NFC įrenginys, kurį fiziškai reikia turėti. Praktiškai neįveikiama apsauga nuo nuotolinių atakų.
5. Passkeys – naujausias standartas, kuris apjungia biometriją ir kriptografiją. Ateitis jau čia.

Rekomenduojama minimali riba – autentifikatoriaus programėlė. Ji nemokama, veikia be interneto, ir ją nustatyti užtrunka penkias minutes. Nėra jokio pateisinimo jos nenaudoti.

Kaip nustatyti 2FA – žingsnis po žingsnio

Teorija – gerai, bet praktika – geriau. Paimkime konkrečius pavyzdžius, nes būtent čia daugelis sustoja.

Google paskyra: Eik į myaccount.google.com → Sauga → Dviejų veiksmų patvirtinimas. Čia galėsi pasirinkti SMS, Google Prompt (pranešimas telefone) arba autentifikatoriaus programėlę. Rinkis programėlę.

Instagram ir Facebook: Nustatymai → Saugumas → Dviejų faktorių autentifikacija. Meta siūlo SMS arba autentifikatoriaus programėlę. Vėlgi – rinkis programėlę.

Bankininkystė: Dauguma Lietuvos bankų jau turi privalomą stiprią autentifikaciją pagal ES PSD2 direktyvą. Čia papildomai nieko daryti nereikia – sistema jau veikia.

Autentifikatoriaus programėlės nustatymas:

• Atsisiųsk Authy arba Google Authenticator iš oficialios parduotuvės
• Paskyros nustatymuose rask 2FA sekciją ir pasirink „Autentifikatoriaus programėlė”
• Sistema parodys QR kodą – nuskenuok jį programėle
• Įvesk sugeneruotą šešiaženklis kodą patvirtinimui
• Išsaugok atsarginius kodus (apie tai – toliau)

Svarbus patarimas: jei naudoji Authy, o ne Google Authenticator – ji turi debesų atsarginę kopiją, kas reiškia, kad praradęs telefoną neprarasite prieigos prie visų paskyrų. Google Authenticator šios funkcijos ilgai neturėjo (dabar jau turi, bet vis dar yra nuomonių dėl saugumo), todėl Authy daugeliui yra patogesnė pradžiamoksliams.

Atsarginiai kodai – tai, ką visi pamiršta

Čia yra vieta, kur žmonės padaro kritinę klaidą. Įjungia 2FA, jaučiasi saugūs, o paskui – telefonas sugenda, pametamas arba pavogtas. Ir staiga žmogus negali patekti į savo paskyras. Skamba kaip košmaras? Taip ir yra.

Kiekviena rimta platforma, kai įjungi 2FA, suteikia atsarginius kodus – paprastai 8-10 vienkartinių kodų, kuriuos galima naudoti vietoj įprasto 2FA kodo. Jie atrodo maždaug taip: 8f3k-2m9p. Šie kodai yra tavo gelbėjimosi ratas.

Ką daryti su atsarginiais kodais:

• Atsispausdink ir laikyk saugioje fizinėje vietoje – seife, stalčiuje, pas patikimą žmogų
• Išsaugok slaptažodžių tvarkyklėje (1Password, Bitwarden) – tai saugi ir patogi vieta
• Niekada nesaugok tame pačiame įrenginyje, kuriame yra autentifikatoriaus programėlė – tai panaikina visą prasmę
• Nefotografuok ekrano ir nesaugok nuotraukų galerijoje – tai viena iš dažniausių klaidų

Jei jau turi 2FA įjungtą, bet niekada nematei atsarginių kodų – dabar pat eik į paskyros nustatymus ir juos rask arba sugeneruok naujus. Tai gali išgelbėti labai daug nervų ateityje.

Kurių paskyrų apsauga yra svarbiausia

Idealiu atveju – visų. Bet jei pradedi nuo nulio ir tai atrodo per daug, štai prioritetų sąrašas pagal svarbą.

Absoliutus prioritetas – el. paštas. Tai yra raktas nuo visų kitų durų. Jei kas nors gauna prieigą prie tavo el. pašto, jie gali atstatyti slaptažodžius visose kitose paskyrose. Gmail, Outlook, bet koks el. paštas – 2FA čia yra ne rekomendacija, o būtinybė.

Finansinės paskyros. Bankai, PayPal, Revolut, Wise – bet kas, kur yra pinigai. Čia paprastai jau yra privaloma stipri autentifikacija, bet patikrink.

Socialiniai tinklai. Paskyros su dideliu sekėjų skaičiumi yra vertingas taikinys. Be to, per socialinių tinklų paskyras dažnai prisijungiama prie kitų servisų („Prisijungti su Facebook” mygtukas).

Darbinės paskyros. Microsoft 365, Google Workspace, Slack, bet kas, kas susiję su darbu. Čia pažeidimas gali turėti ne tik asmeninių, bet ir profesinių pasekmių.

Slaptažodžių tvarkyklė. Jei naudoji 1Password, Bitwarden ar panašų servisą – tai yra kritiškai svarbu apsaugoti 2FA. Jei kas nors pateks į slaptažodžių tvarkyklę, jie turės prieigą prie visko.

Kriptovaliutų biržos ir piniginės. Čia nėra „undo” mygtuko. Prarastos kriptovaliutos negrįžta. SMS 2FA čia tikrai nepakanka – naudok autentifikatoriaus programėlę arba fizinį raktą.

Dažniausiai girdimi pasiteisinimai ir kodėl jie neveikia

„Man nėra ko slėpti” – tai ne apie slėpimą. Tai apie tai, kad kažkas gali panaudoti tavo paskyrą sukčiavimui, siųsti šlamštą tavo vardu, arba tiesiog ištuštinti banko sąskaitą. Tavo duomenys yra vertingi ne tik tau.

„Per daug vargo” – 15 papildomų sekundžių prisijungiant. Tiek tai kainuoja. Palygink su laiku, kurį praleistum atkuriant nulaužtą paskyrą, keičiant visus slaptažodžius, pranešant draugams, kad tavo vardu buvo siunčiami apgaulingi pranešimai.

„Mano slaptažodis labai stiprus” – puiku. Bet jei ta svetainė, kurioje jis naudojamas, patiria duomenų nutekėjimą, stiprumas nepadeda. Slaptažodžiai nuteka ne dėl to, kad jie silpni, o dėl to, kad serveriai, kuriuose jie saugomi, yra nulaužiami.

„Neturiu ko bijoti, nesu įžymus” – užpuolikai dažniausiai neieško konkrečių aukų. Jie naudoja automatinius įrankius, kurie per sekundę išbando tūkstančius paskyrų. Jei tavo slaptažodis yra nutekėjusiame sąraše, tavo paskyra bus nulaužta nepriklausomai nuo to, kas esi.

Kai 2FA tampa gyvenimo būdu, o ne vargu

Pirmąsias kelias savaites 2FA gali atrodyti kaip papildomas žingsnis, kuris erzina. Tai normalu – bet koks naujas įprotis reikalauja laiko. Bet po mėnesio tai tampa automatizmu, kaip užrakinti automobilio duris arba prisegti saugos diržą.

Yra keletas būdų, kaip padaryti 2FA patogesnę kasdieniniame gyvenime. Pirmiausia – slaptažodžių tvarkyklė su integruotu autentifikatoriumi. 1Password, pavyzdžiui, gali saugoti ir slaptažodžius, ir 2FA kodus toje pačioje vietoje, automatiškai užpildydamas abu laukus. Tai reiškia, kad prisijungimas tampa net greitesnis nei be 2FA.

Antra – patikimų įrenginių funkcija. Dauguma platformų leidžia pažymėti savo asmeninį kompiuterį ar telefoną kaip patikimą, ir tada 2FA prašoma tik prisijungiant iš naujų įrenginių. Tai reiškia, kad namie 2FA praktiškai nepastebėsi, bet jei kas nors bandys prisijungti iš kito kompiuterio – sistema juos sustabdys.

Trečia – fizinis saugumo raktas kaip YubiKey. Jis kainuoja apie 30-50 eurų, bet tiems, kuriems saugumas yra prioritetas, tai vienas geriausių investicijų. Tiesiog lieti prie USB prievado arba priglaudžia prie telefono per NFC – ir viskas. Jokių kodų, jokių programėlių.

Gyvename laikais, kai skaitmeninė tapatybė yra tokia pat reali kaip fizinė. Banko sąskaita, darbinė komunikacija, asmeniniai prisiminimai nuotraukų pavidalu, svarbūs dokumentai – visa tai egzistuoja internete ir visa tai gali būti prarasta per vieną sėkmingą ataką. 2FA nėra paranoja – tai elementari skaitmeninė higiena, tokia pat savaime suprantama kaip dantų valymas ar durų rakinimas. Skirtumas tik tas, kad durų rakinti jau išmokome, o skaitmenines duris vis dar paliekame atviras. Laikas tai pakeisti – ir geriausia pradėti dabar, o ne tada, kai bus per vėlu.