Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

My wycieków się nie boimy — bo nasze konta dobrze chronimy!

Ostatnie wycieki nagich zdjęć z serwerów Apple'a, czy kradzież 5 mln haseł z Google dają użytkownikom do myślenia - kto tak naprawdę jest odpowiedzialny za te wycieki? Sama firma - za niedostateczne zabezpieczenie poufnych informacji, czy użytkownicy - za słabe zabezpieczenie swoich kont? Jest to kwestia dyskusyjna, jednak fakt faktem że same serwisy internetowe oferują nam dodatkowe zabezpieczenia z których nie korzystamy... a powinniśmy. Jednym z takich dodatkowych warstw ochronnych jest:

Weryfikacja dwuetapowa

Proste rozwiązania są najskuteczniejsze :)
Wyobraźmy sobie taką sytuację: do Internetu wyciekła baza z danymi logowania do serwisu Facebook. Okazuje się niestety że i nasze konto padło ofiarą wycieku. Na dodatek nasz nieprzyjaciel pobiera tą bazę danych i loguje się na nasze konto. W normalnych warunkach to wystarczy - wpisuje adres mailowy i hasło, i nasze konto stoi otworem.
I teraz w tym momencie odzywa się weryfikacja dwuetapowa - prosi nas abyśmy podali jednorazowy kod wysłany na nasz telefon. Teraz aby nasz nieprzyjaciel przejął nasze konto musi zdobyć dane logowania i telefon komórkowy.

Aktywacja weryfikacji dwuetapowej

Google

Na początek należy zalogować się kontem, które ma zostać zabezpieczone. Po udanym logowaniu przechodzimy na stronę www.google.com/settings/security. W panelu konfiguracyjnym klikamy na Skonfiguruj.
Po potwierdzeniu chęci zabezpieczenia konta należy podać numer telefonu na który mają przychodzić kody weryfikacyjne, a także wybrać sposób ich dostarczenia.
Następnie należy potwierdzić numer telefonu, kodem który zostanie nam przysłany (w zależności od wybranej metody dostarczania kodów, będzie to połączenie telefoniczne bądź wiadomość tekstowa)
Następnie możemy wybrać czy komputer z którego dokonywano aktywacji zabezpieczenia ma być zaufany. Zaufany komputer to taki, do którego nie trzeba wpisywać kodów bezpieczeństwa przy logowaniu do konta.
Po aktywacji zabezpieczenia warto jest także przejść na stronę https://accounts.google.com/b/0/SmsAuthSettings#devices, w celu wygenerowania kodów zapasowych. Jest to 10 kodów weryfikacyjnych, które należy wydrukować i przechować w bezpiecznym miejscu na wypadek kradzieży/utraty telefonu komórkowego. W ten sposób nie damy zablokować sobie konta.

Facebook

Logujemy się na nasze konto, po czym przechodzimy pod adres https://www.facebook.com/settings?tab=security&section=approvals&a.... Zaznaczamy opcję Wymagaj kodu zabezpieczającego w przypadku dostępu do konta z nieznanych przeglądarek, i przechodzimy do kreatora konfiguracji weryfikacji dwuetapowej.
Po zapoznaniu się ze wszystkimi informacjami dot. kodów zabezpieczeń możemy przystąpić do wpisania naszego numeru telefonu. Niestety, na dzień dzisiejszy nie mamy możliwości wyboru dostarczania kodów jednorazowych za pomocą połączenia telefonicznego.
Następnie przyjdzie do nas wiadomość z pierwszym kodem służącym do potwierdzenia numeru. Wpisujemy go do formularza i klikamy Potwierdź. W ostatnim oknie kreatora zaznaczamy jeszcze opcję Nie, dziękuję. Wymagaj kodu od zaraz i nasze zabezpieczenie jest już w pełni gotowe do działania. Od teraz przy logowaniu z każdego nieznanego urządzenia (czyli takiego z którego logujemy się na konto po raz pierwszy) będzie trzeba przeprowadzić autoryzację dwuetapową.

Microsoft

Logujemy się na konto Microsoft (przez witrynę live.com, a następnie przechodzimy na stronę https://account.live.com/proofs/Manage, i klikamy w Set up two-step verification.
Na początku zapoznajemy się z informacjami, które serwuje nam konfigurator, a następnie wybieramy metodę weryfikacji tożsamości. W tym wpisie zainteresujemy się metodą z użyciem telefonu komórkowego, po czym wpisujemy nasz numer telefonu i wybieramy metodę dostarczania kodów zabezpieczeń. Do wyboru jest połączenie telefoniczne oraz wiadomość tekstowa.
Następnie proces wygląda podobnie jak w przypadku konta Google. Potwierdzamy numer telefonu, za pomocą czteroznakowego kodu i weryfikacja dwuetapowa zostanie aktywowana na naszym koncie. Kreator poda nam również klucz przywracania konta, który również należy wydrukować i zachować w bezpieczny miejscu.

Apple

Na początku należy przejść na stronę https://appleid.apple.com/account/manage/security, i wpisać nasze odpowiedzi na pytania pomocnicze (te które ustaliliśmy przy konfiguracji konta). Następnie klikamy w link Get started... pod usługą Two-Step Verification.. Przywita nas okno kreatora w którym dwa razy pod rząd wybrać Continue, po to aby po raz kolejny kliknąć Get started.
Po tym uroczystym przywitaniu nas, możemy przejść do konfiguracji usługi. Pierwszym etapem jest dodanie numeru telefonu, który ma być wykorzystywany do weryfikacji.
Następnie wymagane jest potwierdzenie numeru telefonu, za pomocą jednorazowego kodu wysłanego na ten numer. Następnie Apple daje nam (podobnie jak Microsoft) klucz przywracania który należy wydrukować i przechować w bezpiecznym miejscu. Jest on potrzebny do odzyskania dostępu do konta w razie utraty dostępu do telefon. Apple dodatkowo wymaga aby numer ten... przepisać do następnego okna formularza, dlatego niezależnie od naszej woli klucz i tak musimy przepisać na kartkę (kopiowanie nie działa).
Na końcu potwierdzamy chęć aktywacji weryfikacji dwuetapowej i od tej pory nasze konto jest dodatkowo chronione za pomocą nowego zabezpieczenia.

Przy okazji, przypominam o tym że niedawno została uruchomiona nowa wersja portalu alan207.eu.org!

 

internet bezpieczeństwo porady

Komentarze

0 nowych
  #1 30.09.2014 21:32

Już pisałem, 2FA jest niepraktyczne. Jak niby mam to ustawić w kliencie pocztowym zainstalowanym w systemie??

msnet   18 #2 30.09.2014 22:41

Używam weryfikacji dwuetapowej "od zawsze", tzn.jak tylko się gdzieś pojawiła. Oprócz kont Microsoft, Google i Facebook, używam takiej weryfikacji także na koncie u Nortona. Zaletą trzech pierwszych jest to, że używają jednego standardu przy weryfikacji dwuetapowej, dlatego do generowania kodów używam tylko jednej aplikacji - tej od Microsoftu. Niestety w przypadku Nortona muszę korzystać z innej apki.

Autor edytował komentarz.
JarekMk   8 #3 30.09.2014 22:51

@msnet: podzielisz się nazwą? Wrzucę na leciwym 8s :)

msnet   18 #4 30.09.2014 22:56
Fizyda   8 #5 01.10.2014 00:05

Jakoś się do tego nie mogę przekonać, nie dość że mają moje dane to jeszcze mam im podawać numer telefonu... Poza tym jeśli tak łatwo wyciekają hasła to czemu nie numery telefonów, a te też można sprzedać różnym call center i będą wydzwaniać potem non stop z nową ofertą na toster do którego dostanę kołdrę gratis, albo z zaproszeniami na pokazy gdzie każda para dostaje czajnik w prezencie za samo przyjście, a do nabycia będzie wspaniały zestaw garnków w rewelacyjnej cenie ...

Może bym się przekonał do weryfikacji dwuetapowej gdyby nie to że to jest za pomocą telefonu komórkowego ...

IT-Fun   6 #6 01.10.2014 06:57

@Fizyda Szczerze przyznam że nie słyszałem jeszcze o przecieku numeru telefonów, a tym bardziej o masowej sprzedaży numeru do callcenter. Jeżeli masz jednak takie obawy to DualSIM i jedną kartę mieć do weryfikacji ;)

  #7 01.10.2014 08:49

@Fizyda: Nie rozumiem Twojego oburzenia. Rejestrując się w takich serwisach jak Google czy facebook i tak podajesz swój telefon. Także włączając dwustopniową weryfikację nie udostępniasz jakiś dodatkowych danych. Sam od dawana korzystam z takiej formy zabezpieczenia i nie mam ŻADNYCH! telefonów od telemarketerów z ofertami czajników etc. Zamiast obawiać się wycieku numeru telefonu z serwisu google czy facebook polecam nie wysyłać głupich sms do radia czy telewizji na konkursy...

BTW skoro nie telefon to jaką Ty widzisz alternatywę dla dwustopniowej weryfikacji?

arlid   14 #8 01.10.2014 09:54

Ciekawe :) Fajny wpis. Bezpieczeństwo podstawą.

ichito   11 #9 01.10.2014 09:55

"My wycieków się nie boimy..."
A powinniście jednak...2-etapową weryfikację udało się obejść np. u Apple i na eBayu...natomiast wg raportu Kaspersky Lab
"Firmy z branży handlu elektronicznego przywiązują najmniejszą wagę do ochrony operacji finansowych - 16% z nich twierdzi, że nie zamierza wdrażać specjalnych rozwiązań zabezpieczających przed oszustwami online, a tylko 38% rozważa inwestycję w takie narzędzia.

Ogólnie, 30% firm obsługujących przepływ pieniędzy w internecie nie zapewnia i nie planuje zapewniać ochrony na urządzeniach klientów podczas transakcji, mimo że jest to najsłabszy punkt w łańcuchu bezpieczeństwa i może być przyczyną utraty pieniędzy przez klientów oraz utraty zysków i reputacji przez firmy. 28% firm nie widzi potrzeby instalowania oprogramowania do ochrony przed oszustwami na urządzeniach mobilnych klientów, podczas gdy 30% firm nie próbuje zabezpieczyć przed takimi zagrożeniami nawet własnej infrastruktury informacyjnej. Taka nonszalancka postawa wobec ochrony płatności może prowadzić do negatywnych opinii ze strony klientów: wielu klientów oczekuje, że firmy z branży finansowej przejmą odpowiedzialność za zabezpieczenie ich wszystkich urządzeń, a 40% badanych jest przekonanych, że firma zrekompensuje im stracone środki. "

http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=2312

Jesteście wśród tych 40%?

Autor edytował komentarz.
  #11 01.10.2014 11:18

@alan207: Taaaaa nie słyszałeś o przecieku bo się nimi nie chwalą a jak już przeciek a poza tym ujmijmy to tak wyciek danych ...
Druga karta... Dual SIM i doładowuj ją ... nie dziękuję...

Fizyda   8 #12 01.10.2014 11:34

@alan207: Muszę przyznać że też nie słyszałem, może dlatego że tylko największe firmy to wykorzystują, ale chyba trzeba przyznać że skoro tak łatwo wyciekają nagie fotki, adresy email i hasła do nich to z telefonami nie powinno być problemu :)
Może chwilowo nie są one, aż tak łakomym kąskiem, ale wraz z rozpowszechnianiem się tego sposobu logowania myślę że zaczną ;).

ANONIM (niezalogowany): Nie wysyłam takowych sms'ów i nie mam problemu z takimi natrętami, dlatego chciałbym aby tak zostało ;).
Nie oburzyłem się również napisałem tylko co ja o tym myślę, nic więcej.
Nie mam swojego numeru telefonu ani na Google ani na Facebooku, nie wiem czy coś się zmieniło ale podczas rejestracji nie było obowiązku podawania tego.

  #13 01.10.2014 13:35

@alan207: Nie ? to jest norma. Handel nr tel, w budynku radia Zet w Wwa jest taka firemka, która zajmuje się infoliniami / smsami gdzie naciągają na minuty, miałem tam dorabiać w czasie Euro w PL, i na rozmowie o pracę, "szef" odebrał telefon, przeprosił i w rozmowie "dobra dasz nam 2k numerow, dostaniesz od nas 1k "pewniaków", faceci będą oglądać piłke, a baby nudzić to będą dzwonić na wróżki itp."

kwpolska   5 #14 01.10.2014 20:00

Po co przez telefonię komórkową?! Znacznie wygodniej jest ustawić Google Authenticator. Szybciej i wygodniej, a równie bezpiecznie.

IT-Fun   6 #16 02.10.2014 18:51

@Analny
Dla aplikacji które nie wykorzystują systemu weryfikacji dwuetapowej możesz ustawić tzw. "hasła do aplikacji" - znajdziesz je w ustawieniach konta :)

arlid
Dokładnie - bezpieczeństwo naszej internetowej tożsamości jest najważniejsze!

ichito
Nawet jeżeli jest możliwe obejście weryfikacji dwuetapowej, to i tak jest ona dodatkową warstwą bezpieczeństwa. A celebrytki od wycieku Apple'a nie miały włączonej weryfikacji :)

@Anonim
Wystarczy raz kupić kartę SIM, po 5 złotych i nie trzeba jej doładowywać

@eo00
Mnie jeszcze nie spotkał żaden SPAM rozprowadzany przez telefony komórkowe. Ale jest tak zapewne dlatego że chronię swój numer i podaję tylko w uzasadnionym przypadku. Nigdy "ot tak!".

IT-Fun   6 #17 03.10.2014 21:12

Wpis został uaktualniony o instruktaż dla konta Apple.