Coraz więcej systemów i danych osobowych prężnie funkcjonuje w sieci. Niestety, dostęp do nich nierzadko wymaga podania jedynie kilku — pozornie dobrze ukrywanych — danych, które bardzo łatwo zdobyć, jeżeli jest się sprawnym cyberprzestępcą.
Podwójne uwierzytelnienie
Cyberprzestępczość zyskuje coraz to nowe oblicza, a przez wspomniane wycieki danych cyberprzestępcy mają nieraz tyle informacji o niektórych obywatelach, że nie tylko ich szantażują, ale także — przykładowo — mogą z powodzeniem podrabiać dokumenty. Czy da się temu procesowi zaradzić?
Całkiem niedawno nałożono dużą karę finansową dla Morele.net za wyciek danych.
Jest to zdarzenie precedensowe z dwóch powodów. Po pierwsze, widać, iż Urząd Ochrony Danych Osobowych rozumie, że ochrona danych osobowych (wpisana jakiś czas temu do katalogu praw człowieka) to wartość niewątpliwie węzłowa. Po drugie, wycieki danych zdarzają się często, nawet z baz danych serwisów, uznawanych powszechnie za zaufane i bezpiecznie, choć jest to niewątpliwie założenie aprioryczne.
Kluczowy w karze za wyciek Morele.net jest fakt, że nie zastosowano odpowiedniego uwierzytelnienia dostępu do danych — na co wskazał UODO. Środkiem pozwalającym na uniwersalne zabezpieczenie się przed atakami hakerskimi jest stosunkowo proste rozwiązanie, czyli podwójne uwierzytelnienie, które może być zastosowane w najróżniejszych konfiguracjach.
Przydatność podwójnego uwierzytelnienia
Podwójne uwierzytelnienie i w ogóle uwierzytelnianie wielopoziomowe to nic innego jak sposób autoryzacji podczas logowania, który zakłada konieczność użycia identyfikatora i hasła uwierzytelniającego, które podawane lub generowane jest w sposób wymagający skorzystania z zewnętrznego źródła. Podwójne uwierzytelnianie stosuje się podczas logowania do kont bankowych (w postaci konieczności podania konkretnych cyfr PESEL-u, czy zdrapania kodu z fizycznej karty), ale również innych usług.
Przykładowo, logowanie do konta iCloud poprzez komputer wymaga, oprócz podawania loginu i hasła, wpisania kodu, który pojawia się na ekranie smartfona. Takie rozwiązanie zapobiega uzyskaniu dostępu do wrażliwych danych przez osobę nieuprawnioną, bo nawet gdy uzyska ona login i hasło, to w dalszym ciągu będzie musiała uzyskać fizyczny dostęp do smartfona, służącego do uwierzytelniania.
Eksperci Cisco wskazują, że podwójne uwierzytelnienie jest rozwiązaniem łatwym do wprowadzenia i znacznie zwiększającym poziom bezpieczeństwa danych. Osoba, która usiłuje uzyskać dostęp do jakiegoś systemu, musi znać nie tylko dane logowanie, ale także mieć fizyczny dostęp do nośnika, służącego do podwójnego uwierzytelnienia Oczywiście nie jest to rozwiązanie bez wad, bo są metody na przechwytywanie danych nawet z zewnętrznego urządzenia, ale stanowi to istotną przeszkodę, nieraz odwodzącą cyberprzestępców od chęci przeprowadzenia ataku.