Dwustopniowa weryfikacja na Facebooku – doradzamy, jak skuteczniej chronić konto

W kończącym się roku mieliśmy do czynienia co najmniej z kilkoma wyciekami danych z ogromnych serwisów społecznościowych. Z konsekwencjami musiał się zmierzyć nawet sam Mark Zuckerberg – dzięki bazie wyciekłej przed laty i stosowaniu jednego hasła w wielu serwisach, dokonano skutecznego włamania do jego kont w serwisach społecznościowych. W takich sytuacjach zalecana jest oczywiście zmiana hasła, istnieje jednak także inna skuteczna możliwość dodatkowego zabezpieczenia swoich kont za pomocą dwustopniowej weryfikacji tożsamości. W tym artykule można dowiedzieć się, jak dodatkową warstwę zabezpieczeń uruchomić i wykorzystywać na Facebooku.

Dwustopniowa weryfikacja, z której korzystać można między innymi na Facebooku, jest także nazywana wielopoziomowym, wieloskładnikowym czy wieloczynnikowym uwierzytelnianiem lub logowaniem. Często stosuje się także skrót 2FA od Two Factor Authentication. Niezależnie od nazewnictwa, mechanizm działania zabezpieczenia pozostaje niezmienny: oprócz wykorzystywania do logowania nazwy użytkownika i hasła, konieczne jest także podanie kolejnej informacji, najczęściej dostarczanej innym kanałem. W przypadku serwisów internetowych czy aplikacji mobilnych, wygodnym rozwiązaniem jest kod wysyłany SMS-em, który użytkownik podaje po wprowadzeniu poprawnego loginu i hasła. Oczywiście 2FA ma wiele wariantów i drugim stopniem może być na przykład skan linii papilarnych.

Uruchomić dwustopniową weryfikację można zarówno w przeglądarkowej wersji, jak i aplikacji mobilnej. Aby to zrobić konieczne jest przejście do ustawień konta, a następnie do podkategorii Bezpieczeństwo. Tam znajduje się pozycja Zatwierdzenie logowania. Należy kliknąć tę pozycję, a następnie zaznaczyć pole przy Wymagaj kodu logowania w przypadku dostępu do konta z nieznanych przeglądarek. Jeżeli wcześniej użytkownik nie podał Facebookowi swojego numeru telefonu, to może zrobić to teraz, aby możliwe było korzystanie z kodów wysyłanych SMS-em. Może jednak także wybrać inne metody dostarczania drugiego składnika.

W tym celu konieczne jest wykorzystanie zewnętrznego generatora kodów lub wygenerowanie aż dziesięciu kolejnych kodów, które można na przykład wydrukować i wykorzystać, gdy z jakichś powodów niemożliwe lub niepożądane jest przesyłanie SMS-a. Oczywiście drukowanie kodów zabezpieczających logowanie nie brzmi szczególnie bezpiecznie, niemniej potencjał dwustopniowej weryfikacji tkwi właśnie tym, że same kody, podobnie jak login czy hasło są bezużyteczne, zaś dostęp do konta możliwy jest tylko po podaniu wszystkich składników. Po uruchomieniu weryfikacji, na skrzynkę mailową otrzymamy potwierdzenie.

Jak dwustopniowa weryfikacja tożsamości sprawuje się w praktyce, najlepiej ocenić w scenariuszu logowania z aplikacji mobilnej Facebooka, którą znaleźć można w naszej bazie. Po jej zainstalowaniu i pierwszym uruchomieniu, użytkownik zostanie poproszony o podanie adresu e-mail lub nazwy użytkownika oraz hasła, co stanowi pierwszy składnik. Po wprowadzeniu poprawnych danych, nie będzie jednak jeszcze możliwe korzystanie z serwisu. Zamiast tego pojaw się komunikat o wymaganiu zatwierdzenia logowania, co widać na zrzutach poniżej

W drodze powinien być już SMS z kodem, chyba użytkownik określił inne metody dostępu. Warto także zwrócić uwagę, że w tym samym czasie, jeśli użytkownik zalogowany jest na innym urządzeniu, na przykład w przeglądarkowej wersji serwisu, na Facebooku pojawi się powiadomienie o nowej próbie logowania. Aby poprawnie zalogować się do Facebooka na aplikacji mobilnej, wystarczy wpisać w aplikacji kod otrzymany SMS-em. Podobnie sytuacja prezentuje się przy logowaniu z innego komputera czy przeglądarki.

Po próbie zalogowania się z nieznanej przeglądarki, Facebook także poprosi o podanie 6-cyfrowego kodu. Nie należy się jednak spodziewać SMS-a – administracja założyła, że w takim scenariuszu użytkownik najczęściej ma utrudniony dostęp do sieci i prosi o podanie kodu z generatora, o którym pisaliśmy w kontekście drukowania kodów. Nie oznacza to jednak, że weryfikacja za pomocą SMS-a nie jest możliwa. Wystarczy kliknąć na Potrzebujesz innego sposobu uwierzytelniania, by uzyskać dodatkowe możliwości.

Wśród nich znajdziemy nie tylko kod SMS, ale także przez rozmowę telefoniczną. Maszyna Facebooka zadzwoni na podany wcześniej numer, by dzięki syntezatorowi mowy podać kolejny kod, umożliwiający logowanie. Syntezowany głosu mówi „mówi” w języku angielskim. Możliwe jest także zatwierdzenie logowania powiadomieniem wyświetlanym w innym urządzeniu, np. smartfonie. W momencie logowania z pulpitowej przeglądarki znów otrzymamy bowiem powiadomienie, które pozwala potwierdzić, że za próbą logowania stoi właściciel konta. Po udanym logowaniu, możliwe jest zapamiętanie przeglądarki.

Logowanie z wykorzystaniem dwóch czynników stanowi dziś dodatkową warstwę zabezpieczeń, którą należy łączyć z rozsądną polityką wobec haseł i bezpieczeństwa w ogóle. Zachęcamy do wykorzystywania tej metody, szczególnie w czasach, gdy do mnóstwa innych serwisów wykorzystywane są właśnie dane logowania z Facebooka.