Podstawiony link, chwilowy brak ostrożności i haker wchodzi w posiadanie Twych danych. Ważnych danych, jak te do logowania w takim czy innym serwisie. A potem strach i nerwowe odkręcanie całej tej sytuacji. Chyba że masz klucz sprzętowy USB. Zobacz, jak dobrze chroni przed phishingiem.

Phishing. Plagą współczesnego internetu

Nie łudźmy się – internet nie jest bezpieczną przestrzenią służącą wyłącznie zdobywaniu informacji, prowadzeniu firmy i wzajemnym obrażaniu się w komentarzach w ramach rzekomej wymiany poglądów. To także obszar, w którym działają wszelkiej maści hakerzy oraz złodzieje danych.

Phishing

A wyłudzić można od ludzi sporo – dane teleadresowe, numer PESEL, numer konta, dane do logowania w serwisach społecznościowych i poczcie e-mail, jak również dostęp do bankowości elektronicznej. Rzecz jasna nikt z własnej woli nie ujawni tych informacji publicznie. Przestępcy uciekają się więc do podstępów, podstawiając pod nos rzekomo legitne serwisy będące kopiami łudząco podobnymi do oryginałów.

To właśnie jest phishing, czyli łowienie danych na przynętę w postaci trefnej strony logowania. Na pierwszy rzut oka niczym nie różni się ona od tej, którą widzieliśmy już dziesiątki razy. W rzeczywistości pozwala ona złodziejom podejrzeć login i hasło w czasie rzeczywistym.

I kiedy wykonujesz jedną czynność, oni logują się do prawdziwego serwisu (poczty lub banku), by zresetować hasła i pozbawić Cię dostępu do innych stron, podjąć pieniądze, wziąć pożyczkę, zrobić zakupy – nie sposób przewidzieć, do czego jeszcze mogą się posunąć.

Ponieważ nieostrożność (połączona z pośpiechem) może przytrafić się każdemu, warto sięgnąć po wsparcie charakteryzujące się niezawodnością i niedające się oszukać. Oczywiście chodzi o klucze sprzętowe.

Phishing

Klucze sprzętowe – co czyni je tak skutecznymi?

Sekret oraz skuteczność klucza sprzętowego tkwi w zaawansowanych kodach mających korzenie w zaawansowanej kryptografii klucza publicznego. Informacja pozwalająca zalogować się do serwisu powstaje w wyodrębnionej części klucza i nie jest przekazywana na zewnątrz. Nie wychodzi poza sektor, w którym powstała. Jednocześnie nie sposób otworzyć i zmodyfikować samego klucza, bo nie pozwala na to jego konstrukcja.

Klucze U2F wymuszają wprowadzenie loginu i hasła, dopiero potem następuje autoryzacja dostępu. Tymczasem klucze FIDO2 wyeliminowały ten etap – potrzebny (i zarazem niezbędny) jest sam klucz. On zajmuje się wszystkim i wszystko to wykonuje w tajemnicy przed światem, w swym kryptograficznym wnętrzu.

Na tym jednak nie koniec. Klucze sprzętowe potrafią rozpoznać, czy witryna, do której masz zamiar się zalogować i autoryzować dostęp, jest prawdziwa, czy tylko łudząco ją przypomina. Gdy masz do czynienia z wierną kopią, klucz powstrzyma Cię przed autoryzacją dostępu. Więc nawet jeśli wprowadzisz login i hasło, a przestępcy je odczytają, nadal nie będą mogli się zalogować.

Zabraknie finalnego czynnika, czyli autoryzacji ze strony klucza sprzętowego. Ten broni dostępu m.in. do:

  • Facebooka, Twittera, YouTube’a, Amazonu
  • kont Google i Microsoft
  • przeglądarki Chrome, Firefox, Safari, Edge i Opera
  • systemów operacyjnych Linux, Windows, MacOS, Android i iOS
  • serwisów w rodzaju Dropbox, PushCoin, SalesForce, OnApp, FastMail
  • narzędzi takich jak GitHub, GitLab, CentOS, fedora, GnuPG, debian

Autoryzację przeprowadzasz na kilka sposobów:

  • umieszczając klucz sprzętowy w porcie USB (może to być klasyczne USB lub USB-C)
  • korzystając z biometrii, tzn. dotknięcia metalowej płytki dla potwierdzenia zgodności odcisku palca
  • zbliżeniowo, czyli z wykorzystaniem NFC w smartfonie albo w laptopie

Dlaczego warto mieć sprzętowy klucz zabezpieczeń?

Na pewno znasz przypadki dziwnych wiadomości wysyłanych Messengerem przez znajomych, czemu towarzyszą często jeszcze dziwniejsze zachowania na koncie Facebook. Być może obiło Ci się o uszy, że ktoś stracił dostęp do poczty e-mail, a zaraz potem zresetowane zostały hasła do różnych serwisów. To wszystko ma swój początek w kradzieży danych dostępowych.

Równie prawdopodobna jest historia o kimś, kto stracił laptopa lub smartfon – zgubił, bądź został okradziony – a potem odchodził od zmysłów na myśl o tym, co stanie się z zawartością dysku oraz danymi zapamiętanymi w formularzach logowania.

Klucze sprzętowe potrafią odciąć dostęp już na etapie systemu operacyjnego, wymuszając autoryzację przy logowaniu. Na wypadek, gdyby przepadł sprzęt włączony i zalogowany, można ustawić autoryzację uruchomienia przeglądarek internetowych. A gdyby i tego było mało, ochraniasz kluczem logowanie do serwisów wymienionych powyżej. Posiadacze kont pocztowych innych niż Gmail muszą na siebie uważać.

Czy klucze sprzętowe działają z bankowością elektroniczną?

W roku 2022 każda redakcja napisałaby, że klucze sprzętowe USB nie działają z bankowością elektroniczną w Polsce i trzeba wykazać się szczególną ostrożnością przy odwiedzaniu linków kierujących do serwisu bankowego.

Rok 2023 przyniósł arcyciekawą zmianę dotychczasowego podejścia. Po sieci lotem błyskawicy rozeszła się wieść, że bank ING jako pierwszy deklaruje chęć przystąpienia do grona serwisów z autoryzacją dostępu przy użyciu klucza sprzętowego. Wciąż czekamy na pełne wdrożenie, jak również na podobny ruch ze strony pozostałych banków, choć jest to zapewne kwestia czasu. Do tego momentu musimy sami dbać o ochronę kont bankowych, bo na tym odcinku elektronicznego frontu mamy jeszcze lukę.

Przed czym nie chroni klucz sprzętowy USB?

Nie, on nie chroni przed każdym zagrożeniem. To nie jest magiczny artefakt o cudownych, wszechstronnych właściwościach, lecz wysoko wyspecjalizowany sprzęt zaprojektowany w jednym celu. Nie uchroni Cię przed pobraniem wirusa, trojana, czy innego złośliwego oprogramowania. Na swoim obszarze odznacza się 100-procentową skutecznością, ale ochrona przed wirusami jest mu obca. O tym nie wolno zapominać.

Bogaty wybór kluczy sprzętowych czeka w sklepie internetowym TechLord

TEMATY:
Najświeższe artykuły