Zašto verifikacija u dva koraka nije bezbedna koliko se čini?

Velik problem kod lozinki je što hakeri relativno lako mogu da ih se domognu. Koliko god one složene bile, uvek je moguće ukrasti celu bazu, što znači da njihova složenost nema skoro nikakav uticaj na vašu bezbednost. Upravo zbog toga zaštita u dva koraka postala je jedan od omiljenih bezbednosnih online sistema zabrinutih korisnika, piše Makeuseof.

Velik broj ljudi koristi vrlo slabe lozinke, što opet ne znači da su složene lozinke bezbedne. Lozinke je moguće keyloggovati, presresti ili pronaći u masivnim procurelim bazama podataka koje godinama vrve na internetu.

Tada na scenu stupa verifikacija u dva koraka.

Vrste sekundarnih faktora

Kada je reč o verifikaciji u dva koraka, podrazumeva se postojanje višestrukih faktora, odnosno lozinki, brojeva i uređaja. Tri osnovne vrste faktora za proveru su:

Ono što znate, odnosno faktor znanja: pristupate sistemu ukoliko imate neku nezavisnu informaciju, poput PIN-a, odgovora na bezbednosna pitanja, detalja o povraćaju poreza i tako dalje.

Ono što imate, odnosno faktor posedovanja: pristupate sistemu ukoliko dokažete da posedujete neki važni fizički predmet poput USB ključa, aplikacije za proveru, bežičnog generatora koda, čitača kartica itd.

Ono što jeste, odnosno faktor nerazdvojivosti: pristupate sistemu pomoću biometrijskog poređenja - snimanjem rožnjače, otiska prstiju, prepoznavanjem glasa...

Sve to odlično zvuči - ali samo u teoriji.

Moguće je ostati bez faktora

Ukoliko se dogodi zemljotres i celo naselje ostane bez signala, postoji šansa da nećete imati drugi uređaj preko kojeg možete da potvrdite prijavu. Slična stvar važi i za SMS-ove. Šta se događa u slučaju da ostanete bez signala, smartfona ili telefonske kartice? Ovo su vrlo realistični scenariji usred kojih biste mogli da ostanete bez pristupa vašim online profilima.

Ista stvar može se dogoditi sa USB ključevima. Ukoliko ga slučajno izgubite ili dospe u mašinu za veš zajedno s pantalonama ili košuljom, recite zbogom vašim nalozima. Ako koristite PIN-ove, uvek postoji šansa da ćete ih zaboraviti. Biometrija takođe nije nepobediva: ranjavanje tokom nezgode ili neočekivana katastrofa može da dovede do toga da ne možete da koristite oko ili prste za proveru.

Velik broj žrtava uragana u SAD ostalo je bez pristupa nalozima jer su smartfoni ostali bez električne energije. Manjak telefona znači manjak provere, a manjak provere znači manjak pristupa.

Velik broj usluga nudi metode za vraćanje izgubljenih naloga, ali su oni vrlo često komplikovani. Takođe, ako koristite isti faktor za otključavanje više naloga, a izgubite ga ili ostanete bez njega na bilo koji način, moraćete da vraćate svaki od tih profila ručno.

Lažan osećaj bezbednosti

Obezbeđivanje naloga verifikacijom u dva koraka možda pruža dodatnu sigurnost, ali je činjenica da je ovaj metod sve samo ne neprobojan.

Zamislite da sistem odluči da vas zadrži na vratima jer ste izgubili generator PIN koda. U trenutku kada šaljete molbu za povratak ovlašćenja, nalazite se u identičnoj poziciji kao haker koji, recimo, jedva čeka da uđe na vaš profil. Ako vi možete da obnovite pristup vašoj omiljenoj mreži bez korišćenja dvostruke provere, to mogu i nepoželjni gosti.

Sistemi za povratak ovlašćenja čini verifikaciju u dva koraka praktično beskorisnom. Ovo je jedan od razloga zašto je Apple odustao od većine metoda za povratak ovlašćenja. Loša vest je, doduše, ta da bez opcija za povraćaj nikada nećete moći da dobijete nazad vaše digitalno vlasništvo. Na internetu postoje usluge koje nude verifikaciju u dva koraka, ali joj se ne posvećuju. Najbolji primer je PayPal koji omogućava dodatni faktor pod imenom 'PayPal Security Key' koji, prema ovom izveštaju, ne predstavlja nikakvu zaštitu.

To znači samo jednu stvar: uprkos verifikaciji u dva koraka, vaš profil će i dalje biti ugrožen. Osećaj bezbednosti koji nosi je samo iluzija.

Sistem verifikacije u dva koraka moguće je iskoristiti protiv korisnika

Iako je verifikacija u dva koraka nastala sa ciljem da hakere drži što dalje od vaših profila, može da se dogodi i nešto suprotno: hakeri mogu da postave zaštitu u dva koraka koja će raditi protiv vas. Jedan od primera je susret ovog Redditora s hakerom koji je preuzeo kontrolu nad njegovim profilom u Appleu, napravio saobraćaj od nekoliko stotina dolara i nakon toga se zaštitio verifikacijom u dva koraka, koristeći sopstvene uređaje. Redditor u tom slučaju nije mogao da preduzme ništa.

Svakim danom sve više usluga uvodi kao bezbednosnu meru složenije protkole za verifikaciju u dva ili više koraka, čime se otežavaj potencijalni povratak vlasništva nad profilom. Ipak, koliko god to zvučalo pesimistično, svakako ste bezbedniji s tim metodama, nego bez njih.