TL;DR;
- Uključite MFA na svim vašim nalozima na kojima je podržana.
- Sačuvajte recovery kodove na sigurno.
- Možete mirnije spavati - uradili ste ogromnu stvar za sigurnost vašeg naloga.
Vaš nalog je obično standardno osiguran korisničkim imenom i lozinkom, koja može biti, ali najčešće nije, dovoljno kompleksna, pa samim time ni sigurna. Kompleksna i kvalitetna lozinka je uglavnom teška za zapamtiti, pa se mnogi snalaze koristeći istu lozinku na mnogo naloga, zapisujući je na lako dostupna mjesta i koristeći druge, po sigurnost, katastrofalno loše metode.
Teško je dovoljno naglasiti koliko je bitno ovo. Koristite MFA.
Multifaktorska autentikacija je dodatni vid osiguravanja accounta, koji ne zahtijeva previše truda ili specijalizovanog znanja da bi se uključila i koristila, a pruža veliki nivo dodatne sigurnosti. Naravno, ovo ne znači da trebate biti ohrabreni da zadajete trivijalne lozinke i da se uzdate samo u multifactor autentikaciju, jer svaki dodati faktor takođe se može kompromitirati, fizički otuđiti i slično – tako da ostanete opet na samo jednom.
Zato, ako želite da mirno spavate (prilično) sigurni da vam neko ne čita mail, ne objavljuje neprikladne sadržaje pod vašim imenom na društvenim mrežama ili ne kupuje koristeći vaš Amazon account - ovaj tekst je za vas.
Teorija
Autentikacija je, prema definiciji, proces prepoznavanja i utvrđivanja identiteta korisnika. Jednostavnim rječnikom – to je proces u kom vas kompjuterski sistem identificira prilikom prijave na neku uslugu, web stranicu, aplikaciju i slično.
Zasniva se na 3 osnovne kategorije/faktora:
- Ono što znamo (lozinka, PIN i sl.)
- Ono što posjedujemo (dodatni uređaji, hard-token, smart-card, mobitel i sl.)
- Ono što jesmo (biometrijska autentifikacija: otisak prsta, sken šarenice oka, prepoznavanje lica i sl.)
U današnje vrijeme nije preporučljivo zasnivati autentikaciju na samo jednom od ovog, već kombinaciji dva ili više faktora.
Takođe, prava multifaktorska autentikacija mora kombinirati barem dvije od ovih kategorija. Nije dovoljno kombinirati više metoda iz iste kategorije. Npr. lozinka + PIN nije multifactor autentikacija. Ali debitna kartica na bankomatu + PIN jeste. Jer objedinjuje ono što posjedujete (karticu) i ono što znate (PIN).
Kakva je razlika između skraćenica - MFA i 2FA? MFA znači multifaktorska autentikacija i to je generalni pojam koji opisuje korištenje više “faktora” za autentikaciju istovremeno. Više faktora obično znači 2, 3 ili čak više. Za većinu su dovoljna 2 faktora, npr. lozinka i dodatna Authenticator aplikacija. To je 2FA - dvo-faktorska autentikacija i ona je zapravo “podskup” MFA.
Praksa
Postoje različiti načini implemetacije multifaktorske autentikacije, ali da ne širimo puno – najbolji način da nešto shvatite je kroz osnovni princip rada. Nećemo se baviti nekim konkretnim servisom, jer su koraci za većini servisa slični, bilo to da pokušavate zaštititi nalog na društvenoj mreži, e-mail, Steam gaming platformi, cloud drive, račun za online kupovinu i sl.
Uzmimo tipičan scenarij koji je za većinu osoba dovoljan. Prije svega, potrebno je instalirati neku od mnogih Authenticator aplikacija na mobilni telefon. Takve aplikacije služe da generišu jednokratne kodove koji služe kao dodatni, odnosno “drugi” faktor, pored osnovnog tj. lozinke - prilikom prijave na nalog. Postoje različite, međusobno kompatibilne aplikacije i uglavnom ih možete koristiti za veliki broj različitih usluga i naloga. Preporuka je da koristite neki autentikator otvorenog koda i fokusiran na privatnost, kao što je npr. Aegis Authenticator . Isti radi potpuno lokalno, bez pohrane podataka u cloud izlaganja potencijalnim zloupotrebama.
Osim toga, postoji i mnoštvo drugih, uključujući onaj od Microsofta i Googlea, koji obično nude i neke dodatne pogodnosti kao cloud backup, ali im to donekle umanjuje stepen sigurnosti.
Tu je i Proton Authenticator , koji nudi pogodnost cloud backup-a, ali je isti E2E enkriptiran pa je mnogo bolja opcija od Microsoft ili Google.
Nakon toga, kada se prijavite u svoju uslugu, potrebno je pronaći opciju za uključivanje 2FA odnosno MFA. Taj proces se donekle razlikuje, ovisno o servisu, ali princip je uglavnom veoma sličan:
- pronađete u opcijama Settings->Security ili nešto slično.
- tu bi trebala postojati opcija za 2FA.
- uključite je i slijedite korake da povežete nalog sa Authenticator aplikacijom.
- potvrdite povezivanje unosom jednokratnog koda koji aplikacija generiše.
- jako bitno: sačuvate recovery kodove ili podesite backup način prijave.
Na računaru se ovo povezivanje uglavno radi skeniranjem QR koda pomoću telefona, dok na mobilnim aplikacijama servis često automatski otvori Authenticator aplikaciju i ponudi povezivanje.
Tok i proces je uglavnom isti za sve naloge, bez obzira da li dodajete Instagram, Google, PayPal, elektronsko bankarstvo (ovdje može biti malo drugačiji proces, ovisno o vašoj banci - ali tu svakako dobijete upute) ili nešto drugo. Razlikuje se izgled i dizajn ekrana za različite aplikacije i servise, ali princip ostaje isti.
Nakon aktivacije, vaš način prijave na nalog više neće biti isti. Umjesto jednostavnog unosa korisničkog imena/maila i lozinke, dočekaće vas još jedan dodatni korak za unos koda iz Authenticatora. To je zapravo ono što dodatno osigurava prijavu i čini vaš nalog zaštićenim.
Prednosti toga su velike:
- Kod možete generisati samo vi. Ako neko zna vašu lozinku, to mu više nije dovoljno.
- Kod ima ograničeno vremensko trajanje, nakon isteka ne važi i morate generisati novi.
- Kod je za jednokratnu upotrebu i može se iskoristiti samo jednom.
- Nakon što ste ga upotrijebili za prijavu, čak i da vam je neko uspio isti ukrasti, ne može ga više upotrijebiti. Za novi login, potreban je novi kod.
Sačuvajte recovery kodove ili podesite backup način prijave, jer u slučaju gubitka telefona, ili slučajnog deinstaliranja Authenticator aplikacije, bez ovih kodova nećete moći ponovo pristupiti nalogu.
U svakom slučaju, nakon što ste uspješno aktivirali dvofaktorsku autentikaciju na nalogu, trebate biti svjesni i sljedećih detalja:
- Od sada će vam servis prilikom prijave, osim lozinke, tražiti i kod iz Authenticatora.
- Vaš nalog u Authenticator aplikaciji je specifičan za vaš account i konkretnu instalaciju na vašem mobitelu.
- Ukoliko obrišete Authenticator, izgubite mobitel i slično, nećete moći generisati kod, osim ako ste podesili backup opciju poput recovery kodova ili SMS potvrde.
- Neke Authenticator aplikacije nude backup ili sinhronizaciju kroz cloud, što povećava praktičnost, ali donekle smanjuje sigurnost jer dio povjerenja prebacujete na cloud servis.
- Ukoliko vam neko ukrade mobitel, zna vaš PIN i može otključati isti, a zna i vašu glavnu lozinku, moći će se prijaviti i na vaše naloge.
- Ukoliko vam neko može pročitati SMS kodove (npr. kloniranjem SIM kartice), moći će upotrijebiti SMS kod umjesto onog generisanog u Authenticatoru.
Zaključak
Svi navedeni potencijalni problemi ne trebaju previše brinuti običnog korisnika, kome je cilj da se zaštiti od osnovnih načina krađe naloga, jer dvofaktorska autentikacija uveliko smanjuje rizik od iste. Neki sofisticirani napadi koje mogu preduzeti tajne službe ili sama krađa uređaja i slično su van dosega ovog teksta.
Poenta je da kao normalan korisnik pokušate što je moguće da se bolje zaštitite, a apsolutna sigurnost ne postoji. Dvofaktorska autentikacija radi odličan posao po tom pitanju i zaštitiće vas u većini slučajeva ako je ispravno upotrijebite i ako ste svjesni njezinih limita.