Internetski dvokorak
Autor: Predrag Stojadinović
U prethodnom tekstu smo videli šta je phishing i jedan način kako se od takvog napada možemo zaštiti. Postoji još jedan način zaštite od phishinga koji je po mom mišljenju mnogo bolji. A to je takozvani “2 step verification”, ili u slobodnom prevodu “verifikacija u dva koraka”.
Pretpostavljam da znate šta znači prijavljivanje na neki sajt uz pomoć korisničkog imena i lozinke. U protivnom prvo to morate da naučite, ali to nije u domenu ovog teksta.
Kada se prijavite koristeći korisničko ime i lozinku, izvršili ste verifikaciju u jednom koraku. Logično, verifikacija u dva koraka se razlikuje u tome što ima još jedan dodatni korak.
Međutim, taj drugi korak se prilično razlikuje od prvog.
U prvom koraku ste morali da unesete neki podatak koji vi znate. Taj podatak se jako retko menja, tačnije, ne menja se nikada osim ako Vi sami niste odlučili da ga promenite iz bilo kog razloga.
Verifikacija u drugom koraku zahteva da unesete kod sa nečega što imate. To može biti Vaš mobilni telefon, ili neki mali USB čip i slično. U svakom slučaju, kod koji unosite u drugom koraku verifikacije se može iskoristiti samo jednom. Svaki sledeći put dobija potpuno novi kod za unos.
Za početak, da biste koristili verifikaciju u dva koraka, neophodno je da određena internet stranica podržava tu metodu verifikacije. Ovaj metod još uvek nije standard, te ga ne podržavaju sve stranice, međutim one najveće, kao što su gugl, jahu, fejsbuk, i slični giganti, odavno ne samo da podržavaju već i aktivno savetuju svojim korisnicima da uključe ovu metodu zbog svoje sopstvene sigurnosti.
Naravno, nije dovoljno da stranica podržava verifikaciju u dva koraka, neophodno je i da je Vi uključite negde u svom profilu, najčešće u sekciji “sigurnost” ili “prijava”, i slično. Ovo “uključivanje” će naravno potpuno drugačije izgledati na različitim sajtovima.
Na primer, na fejsbuku, potrebno je da odete u “Podešavanja”, zatim u “Bezbednost” i tu da izmenite deo pod nazivom “Odobravanje prijavljivanja”. Nakon što tu kliknete “Izmeni”, samo pratite uputstva fejsbuka sve dok ne dobijete SMS poruku.
Na guglu je potrebno da odete u “Moj nalog”, “Prijavljivanje i bezbednost”, pa “Prijavljivanje na Google” i zatim “Verifikacija u 2 koraka” gde onda morate da pratite instrukcije i tako podesite svoj aparat.
Prilikom uključivanja ove opcije, moraćete da registrujete aparat koji će Vam generisati novi kod prilikom svake prijave. I tu dolazimo do nekoliko varijacija na temu, koje ćemo sada objasniti jednu po jednu.
Prvi način, koji kada funkcioniše kako treba je verovatno i najjednostavniji, je takozvani U2F Security Key, mali USB ključić koji obavlja drugi korak verifikacije automatski, umesto Vas. Naime, prilikom prijave na neki sajt, nakon što ste uneli korisničko ime i lozinku, dakle nakon što ste obavili prvi korak verifikacije, sve što je potrebno da uradite je da priključite U2F ključ na bilo koji USB priključak Vašeg kompjutera, i kompjuter će onda sve obaviti umesto Vas. Sa U2F ključa će pročitati kod i proslediti ga pretraživaču, pretraživač će ga proslediti dalje serveru stranice, Vaš ključ će biti prepoznat i Vama će biti omogućen ulaz na sajt.
Jedan takav U2F ključ je na primer Fido U2F Security Key. Iskreno, ne funkcioniše baš uvek, ponekad moram da ga isključim i uključim ponovo, nekad i više puta, ali u principu generalno mogu da kažem da radi.
Drugi i treći način koriste Vaš mobilni telefon.
Drugi način postaje sve popularniji, a to je jednostavno slanje SMS poruke. Nakon što ste obavili prvi korak verifikacije, sajt na koji se prijavljujete Vam pošalje SMS poruku u kojoj se nalazi jednokratni kod za korišćenje u drugom koraku verifikacije. Ukucate taj kod i prijavljeni ste.
Treći način koristi specijalnu aplikaciju na Vašem telefonu, koja generiše kodove za prijavu u drugom koraku. Princip je isti kao sa SMS porukama. Nakon što ste obavili prvi korak verifikacije, sajt na koji se prijavljujete od Vas zahteva kod koji dobijate tako što otvorite svoju aplikaciju za generisanje kodova. Ukucate taj kod i prijavljeni ste.
Dve najpopularnije aplikacije za generisanje kodova za verifikaciju u drugom koraku su Google Authenticator i Authy. Po meni je Google Authenticator prijatniji za korišćenje, ali to je samo moj subjektivni osećaj.
Ako poredimo ova tri načina za verifikaciju u drugom koraku, svaki ima svoje prednosti i mane.
Kod prvog načina, sa U2F ključem, negativno je što ključ nije besplatan, a sa cenom od 18 dolara, plus poštarina, realno i nije baš jeftin. Sa druge strane, možete ga imati uvek sa sobom, na privesku za ključeve i ne zahteva bateriju ili pristup mobilnoj mreži da bi funkcionisao.
Drugi način, putem SMS poruka, zahteva da sa sobom imate mobilni telefon, da mu nije prazna baterija i da imate pristup mobilnoj mreži. Ali, realno gledano, koliko je moguće da nam nešto od toga zafali u momentu kada pokušavamo da se prijavimo na nekom internet sajtu? Velika je verovatnoća da smo ili za kompjuterom, pa je i struja tu negde dostupna, a i vrlo je verovatno da smo tada u nekom naseljenom mestu gde je mobilna mreža dostupna.
Treći način je možda najkomplikovaniji. Prilikom registrovanja mobilnog telefona najčešće morate da koriste kameru telefona da biste skenirali QR sliku koju sajt u tom trenutku generisao, a da biste to obavili morate prvo da imate aplikaciju za prepoznavanje QR kodova instaliranu na telefonu. Zatim, prilikom samog korišćenja u drugom koraku verifikacije, ako imate više sajtova registrovanih u aplikaciji, može biti teško da se pronađe odgovarajući kod jer sajtovi imaju posebno svaki svoj potpuno drugačiji kod.
Uzimajući sve ovo u obzir, moja lična preporuka bi bila da, barem za početak, koristite dobijanje kodova putem SMS poruka, ako je to uopšte moguće. U protivnom bi moj predlog bio da naučite da koristite treći metod, instalirate Google Authenticator i QR Code Reader aplikacije i naučite da ih koristite.
Interesantno je, recimo, da na guglu možete da podesite sva tri opisana načina. Ja sam to uradio i onda mogu da koristim bilo koji način prilikom verifikacije u 2 koraku, u zavisnosti koji mi način u tom trenutku najviše odgovara.
NAJVAŽNIJE: Šta se dešava ako izgubite aparat, bilo telefon ili U2F ključić?
Ovo je najvažnije pitanje, i naravno da i za to postoji rešenje. A ono se sastoji u takozvanim rezervnim kodovima.
Kada uključite verifikaciju u dva koraka i kada uspešno registrujete neki aparat za generisanje kodova, sajt na kom ste to odradili Vam na kraju daje 10 posebnih kodova. Ovo su specijalni kodovi koje možete da koristite u slučaju da izgubite telefon ili U2F ključ. Obavezno sačuvajte ove kodove na sigurnom mestu gde niko ne može da Vam ih ukrade.
U sledećem tekstu ćemo videti šta je to OpenID i kako Vam to može pomoći da ne morate da pamtite gomilu različitih lozinki za sve moguće sajtove na kojima morate da se prijavljujete.