Cum poți să-ți ții datele în siguranță fără parole complicate

Este ora 11:43, iar în loc de mailul pe care trebuia să-l trimiți către un client ai în fața ochilor o fereastră care-ți spune, într-o engleză stâlcită, că toate datele din contul tău de mail au fost criptate și că trebuie să plătești o sumă de bani ca să le primești înapoi. Pe ușa biroului tocmai intră administratorul de sistem, a cărui față nu arată tocmai veselă. Pur și simplu nu pricepi ce ți s-a întâmplat.

Dar daunele sunt mult mai mari decât ți-ai imaginat la început. Nu doar că nu mai poți folosi mailul, dar cineva ți-a modificat și parolele de acces la conturile de social media pe care le foloseai, iar acum postează obscenități pe Facebook sub numele tău. Iar când vrei să te uiți la colecția de fotografii din ultimii cinci ani pe care o salvasei online, nu mai există nimic acolo. Întreaga ta viață digitală este pusă sub semnul întrebării.

Într-un târziu, afli că totul a început cu un cont de email spart din cauză că parola ta nu era doar slabă, dar nici nu-ți luasei măsuri de siguranță suplimentare. De ce nu le-ai luat? Pentru că pare a fi un proces prea complicat. Dar este chiar atât de complicat?

Ce ar trebui să folosim pe lângă parolă ca să fim în siguranță

Parolele noastre – minuțios alese și dificil de ținut minte – sunt păzitorii vieții noastre online. De câte ori ai dat o parolă cuiva, pe câte foi ai scris parola, ca apoi s-o ascunzi în portofel? De câte ori ai suspectat faptul că cineva s-a logat în contul de mail, sau de Facebook, și ți-ai schimbat apoi parola?

Trebuie să fie o modalitate mai bună de a dovedi unui serviciu online că ești posesorul real al unui cont, ceva mai personal decât o simplă parolă.

Nu doar că această soluție există, dar ai și folosit-o deja. Ea se numește multi-factor authentication (autentificare în pași multipli). Este procedura prin care treci când scoți bani de la un bancomat: îți autentifici identitatea folosind un obiect pe care-l ai, cardul bancar, împreună cu un secret pe care-l știi, codul PIN. Ai trecut prin acest ritual de sute de ori. Există variante ale acestui ritual pentru conturile tale online.

De exemplu, vei folosi amprenta (factor de autentificare biometric) pentru a face plăți prin telefonul mobil sau pentru a intra într-un cont de mail. În acest caz, combini telefonul și amprenta într-un sistem cu autentificare în doi pași (two-factor authentication). Iar acest tip de autentificare este mult mai sigur decât simpla parolă.

De cele mai multe ori, autentificarea în doi pași îți cere să prezinți ceva ce cunoști (combinația de nume de utilizator și parolă) și ceva ce posezi (telefonul). Astfel, al doilea pas de autentificare poate fi, după caz, un cod primit prin SMS, o notificare primită pe telefon pe care trebuie să apeși, un cod numeric obținut de la o aplicație sau un dispozitiv fizic etc.

Ar trebui să-ți activezi acest tip de autentificare în doi pași? Experții în securitate spun că este vital să o faci dacă mare parte din viața ta este petrecută online.

Two-factor authentication este cea mai simplă și eficientă modalitate de a te asigura că, în eventualitatea în care parolele tale ajung să fie aflate sau ghicite de către oameni cu rea intenție, conturile tale online rămân strict în posesia ta. Microsoft susține că, „în baza studiilor efectuate, conturile de utilizator au cu 99.9% mai puține șanse să fie compromise dacă sunt securizate cu multi-factor authentication”.

În ciuda reputației bune pe care această măsură de securitate o are, este în continuare foarte puțin folosită și înțeleasă. Un studiu efectuat în iunie, 2019, de către Pew Research Center în America a concluzionat faptul că doar 2% din cei 4.272 de americani adulți participanți au răspuns corect la cele zece întrebări despre măsuri de securitate.

Este inutil să faci o parolă complicată sau să o schimbi des

Cu cât o parolă devine mai complicat de reținut, cu atât cresc șansele să o uităm sau să o notăm pentru a preveni pierderea ei. Uneori, calitatea unei parole alese de utilizator nici nu contează, dacă un hacker reușește să obțină baza de date cu datele de autentificare ale site-ului (mai ales în cazul în care site-ul nu stochează parolele criptat). Poți verifica dacă adresa ta de e-mail a făcut parte dintr-un astfel de atac de securitate, și, dacă regăsești adresa de e-mail pe listă, este indicat să schimbi parola folosită. Însă, dacă folosești autentificarea în doi pași, acest lucru nu mai este la fel de important, nici strict necesar – deși rămâne în continuare o bună practică de urmat.

Orice formă de two-factor authentication alegi să folosești, conturile tale online devin mai sigure. Dacă o persoană rău intenționată reușește să-ți obțină parola, trebuie să obțină, cumva, acces și la al doilea factor de autentificare, lucru care, de obicei, este imposibil.

Cele mai comune patru tipuri de two-factor authentication vin la pachet cu avantaje și dezavantaje.

SMS

Autentificarea în doi pași prin SMS este cea mai comună. În momentul activării, utilizatorul va primi, prin SMS, un cod numeric (de obicei de 6 cifre) pe care trebuie să îl introducă după ce adresa de e-mail și parola au fost confirmate. Acest factor de autentificare leagă numărul de telefon al utilizatorului de contul său – în alte cuvinte, face numărul de telefon vizibil companiei care deține contul utilizatorului.

Aplicație software (Authenticator)

Alternativa la SMS este autentificarea printr-o aplicație software, de obicei numită Authenticator. Cele mai comune aplicații de acest tip sunt Google Authenticator, Microsoft Authenticator și Authy. Acestea pot fi instalate atât de smartphone-uri Android cât și iOS.

Codul numeric folosit pentru autentificare este generat în permanență de către aplicația de smartphone. În momentul logării, utilizatorul deschide aplicația și copiază codul numeric asociat site-ului pe care dorește să se autentifice. Acest coduri se regenerează periodic și durata lor de valabilitate e indicată de o animație de tip ceas. Dacă un cod a fost greșit, utilizatorul îl poate reintroduce doar atâta timp cât el mai este valabil (adică, cât timp încă mai apare în aplicație – odată scurs timpul de valabilitate, el va fi înlocuit de un alt cod).

Notificări

Pentru a evita tastarea unui cod numeric la fiecare logare, poți folosi two-factor authentication prin notificări. În timp ce autentificarea prin SMS și cea prin aplicație software (Authenticator) sunt valabile pentru majoritatea site-urilor, autentificarea prin notificări este mai rar oferită ca posibilitate de către site-uri și servicii online.

Autentificarea prin notificări evită atacurile de tip phishing, deoarece utilizatorul nu introduce al doilea factor în site-ul pe care se loghează. Notificarea este trimisă de site către smartphone, iar utilizatorul aprobă intenția de a se loga. În continuare, smartphone-ul trimite către site confirmarea că utilizatorul se află în posesia dispozitivului și a aprobat autentificarea.

Chei electronice de securitate

Cheile de securitate, numite și universal second factor, sunt o modalitate nouă de autentificare. În momentul de față, cheile de securitate cu o reputație bună sunt puține la număr. În general, se recomandă achiziționarea unui UbiKey. La fel ca în cazul autentificării prin notificări, nu toate site-urile oferă posibilitatea folosirii unei chei electronice.

Cheia electronică funcționează foarte similar cu two-factor authentication prin notificări. În funcție de modelul cheii, aceasta poate fi citită prin USB, pe calculator sau laptop, sau prin Bluetooth sau NFC, pe smartphone. Rolul pe care îl juca anterior smartphone-ul care primește notificarea este acum calculatorul în care este introdusă cheia electronică, sau smartphone-ul cu care cheia e citită.

Indiferent de varianta de autentificare în doi pași aleasă, este indicat ca acest mecanism de protecție să fie activat pentru toate conturile online care îl permit. Dacă utilizatorul alege să folosească smartphone-ul pentru a primi coduri numerice prin SMS, să le genereze într-o aplicație sau să primească notificări, securitatea smartphone-ului devine, la rândul său, foarte importantă. E indicat ca acest dispozitiv să fie protejat, de asemenea, cu o parolă sau cu amprentă.

Code for Romania urmărește folosirea imensului potențial transformativ al tehnologiei pentru binele public. Din 2016, livrează pro bono aplicații software cu impact social, care ajută comunitățile să crească și simplifică interacțiunea dintre cetățean și instituții.

Luna aceasta, ENISA (The European Union Agency for Network and Information Security) a ales să aducă în vizor un subiect extrem de actual, dar despre care, datorită „greutății” lui, este greu de „ingerat”, și anume cybersiguranța. Prilej cu care Alexandra Ștefănescu, Security Officer Code for Romania, scrie o serie de materiale menite să ajute la o mai bună înțelegere a fenomenului.