Zagadnienia: bezpieczeństwo

#NoHacked: Uwierzytelnianie dwuskładnikowe (2FA) SMS

2 października, 2020
Przeczytasz w 3 min. 49 sek.

Bezpieczeństwo przede wszystkim. Każda firma oferująca usługi przez internet, niezależnie czy jest to bank, sklep internetowy czy serwis społecznościowy, powinna możliwie najlepiej zabezpieczyć dane swoich użytkowników przed dostępem osób trzecich. Jednym ze sposobów na poprawę bezpieczeństwa jest dodanie kolejnego etapu logowania – autoryzacji za pomoca SMS.

Z reguły, aby uzyskać dostęp do konta w danej witrynie wystarczy podanie identyfikatora użytkownika oraz hasła. To tak zwana metoda jednoczynnikowa, do zidentyfikowania osoby wymaga jednego elementu – informacji będącej w wyłącznym posiadaniu uprawnionego.

W praktyce oznacza to, że intruza od kradzieży hasła dostępu dzieli jedynie kombinacja kilku znaków. By zwiększyć poziom bezpieczeństwa danych autoryzacyjnych, coraz częściej wykorzystuje się tzw. uwierzytelnianie wielopoziomowe (ang. multi-factor authentication). Na czym ono polega, dlaczego używają go największe firmy IT jak Google czy Adobe i co ma wspólnego z tym SMS?

SMS autoryzacyjny

Weryfikacja dwuskładnikowa (2FA) to sposób autoryzacji podczas logowania, który poprzez wykorzystanie dodatkowego kanału weryfikuje tożsamość użytkownika w czasie rzeczywistym, przez co jest o wiele bardziej bezpieczny niż uwierzytelnienie jednopoziomowe. 

SMS Authenticator

Funkcja SMS Authenticator dostępna jest dla wszystkich klientów SMSAPI. Dzięki niej dodasz skuteczną metodę weryfikacji logowania za pomocą kodów SMS. Implementacja rozwiązania jest opisana w Dokumentacji.

W praktyce ten mechanizm jest wykorzystywany przez np. systemy bankowości elektronicznej w których wykorzystuje się krótkie kody SMS do potwierdzenia ważnych operacji finansowych. Dodatkową zaletą tego mechanizmu jest fakt, że użytkownik musi wprowadzić kod dostarczony innym kanałem komunikacji niż komunikuje się z usługodawcom w tym przypadku wiadomość wysyłana jest poprzez sieć GSM.

Funkcja SMS Authenticator dostępna w SMSAPI

Jak działa uwierzytelnianie SMS?

W pierwszym etapie autoryzacji wymagane jest podanie danych do logowania, tak samo jak w przypadku uwierzytelniania jednopoziomowego. Pokażemy to na przykładzie logowania do systemu Panelu Klienta SMSAPI.

Zaloguj się do Panelu Klienta SMSAPI

W kolejnym kroku na przypisany do konta numer telefonu komórkowego wysyłany jest SMS z kodem weryfikacyjnym. Otrzymany kod należy przepisać i potwierdzieć logowanie i gotowe!

Weryfikacja logowania za pomocą SMS

Dlaczego uwierzytelnianie dwuetapowe SMS jest skuteczne?

Połączenie dwóch kategorii uwierzytelnienia, czyli tego, co użytkownik wie (hasło) oraz tego, co ma (urządzenie mobilne jako urządzenie odbierające kody), zmniejsza ryzyko nielegalnego wykorzystania danych osobowych przy pozyskaniu danych logowania przez osoby postronne.

Warto wspomnieć, że istnieje także trzecia płaszczyzna, stosowana w skomplikowanych zabezpieczeniach, czyli identyfikacja na podstawie danych biometrycznych np. sposobu chodzenia, rozpoznaniu tęczówki oka czy głosu. Wieloczynnikowe logowanie sprawia, że nawet gdy intruz wykradnie hasło dostępu do danego konta, nie będzie się w stanie się do niego zalogować bez podania jednorazowego kodu dostarczonego za pośrednictwem SMS.

W Google, Twitter i Apple to standard zabezpieczający właścicieli kont,  podczas pierwszego logowania na nowym urządzeniu wymagane jest podanie kodu SMS, dostarczanego na przypisany użytkownikowi numer telefonu.

Dlaczego weryfikacja przez SMS?

Odpowiedź jest prosta – ze swoim telefonem rozstajemy się najrzadziej, zwykle jest w zasięgu ręki, a szybkość dostarczenia wiadomości SMS jest wysoka – 97% wiadomości SMSAPI jest dostarczanych poniżej 10 sekund. Nawet w przypadku utraty czy kradzieży telefonu nikt nie będzie w posiadaniu naszegych danych logowania więc nie będzie mógł go wykorzystać.

Uzytkownik jest również zabezpieczony w odwrotnej sytuacji. Nawet gdy złodziej uzyska dostęp do haseł poprzez sieć internetową, dzięki dwuczynnikowej autoryzacji nie będzie w stanie złamać drugiego zabezpieczenia a otrzymując SMS-a szybko wyłapiemy próbę logowania się osób trzecich na nasze konto.

Jak uruchomić uwierzytelnianie dwuetapowe SMS?

Jeżeli zależy Ci na uruchomieniu dodatkowego składnika logowania do Panelu Klienta SMSAPI – odpowiednią opcję znajdziesz w ustawieniach konta, w zakładce Bezpieczeństwo. Aktywacje autoryzacji SMS będziesz musiał potwierdzić aktualnym hasłem oraz… otrzymanym kodem weryfikacyjnym.

Funkcję SMS Authenticator możesz także wykorzystać w swoim systemie! Zapraszamy do lektury naszej Dokumentacji (rozdział 16. SMS Authenticator), w któej dokładnie opisujemy, jak to zrobić.

Bezpieczeństwo danych w Twoim serwisie to najbardziej podstawowy przywilej odwiedzającego. Od niego zależy poziom zaufania Twoich klientów do korzystania z witryny i Twojej oferty. Czy to sklep internetowy, portal informacyjny czy sieć społecznościowa – przechowujesz dane, które możesz chronić skuteczniej za pomocą uwierzytelniania dwuczynnikowego z użyciem SMS. Wsparcie użytkowników w bezpiecznym korzystaniu z witryny to już nie tylko opcja, co powinność właściciela strony. Stay safe!

Zostańmy w kontakcie!

Zapisz się do newslettera i otrzymuj informacje o najnowszych wpisach.

Wyrażam zgodę na przetwarzanie przez LINK Mobility Poland sp. z o.o. moich danych osobowych w postaci imienia, nazwiska i adresu do e-mail w celu przesyłania mi informacji marketingowych dotyczących produktów i usług oferowanych przez LINK Mobility Poland sp. z o.o.. za pomocą środków komunikacji elektronicznej.