Dvaput je dvaput (nastavak).
U davno objavljenom tekstu govorio sam o sigurnosnom
postupku koji se naziva "provjera u dva koraka" ili na engleskom
"two-step verification" (Dvaput je dvaput). Ukratko riječ je
o dodatnom kanalu komunikacije kojim se traži dodatna potvrda u slučaju
promjene na osnovnom računu. I dalje vjerujem da je ovo korisno no nedavno sam
uočio i ozbiljnu sigurnosnu prijetnju koju ovaj postupak donosi.
Kada je korisno?
Najveća prednost dodatnog kanala očituje se u slučaju
gubitka lozinke. Velik broj računa koje danas korisnik ima, kao i uvjerenje
"nema šanse da zaboravim", razlog su za svakodnevne glavobolje. Zbog zaboravljene
lozinke mnogi ne mogu do svog računa pa onda slijedi resetiranje lozinke. Pri
tome provjera preko dodatnog kanala jako olakšava stvar. Zbog toga je ova
tehnika danas dostupna na većini računa, a u nekim slučajevima njeno korištenje
je obavezno.
Dodatni kanal koristit će se i prilikom pristupa vašem
računu sa drugog uređaja. Na primjer, ako isti račun unesete na mobitel ili
drugo računalo dobit će te o tome obavijest. Kao dodatni kanal može se koristiti
elektronička pošta ili mobitel (SMS). Ako je vaš mobitel podešen da vas obavijesti
o primitku ovakve poruke trenutno ćete saznati za pristup do računa. Tako
možete odmah početi borbu za povrat kontrole na računu ako vam ga je netko
preuzeo. Odnosno, spriječiti pokušaj u slučaju da se dodatni kanal koristi za
potvrdu.
U čemu je problem?
Naravno, postoji i druga strana medalje. Sve je zapravo
počelo kad je jedan kolega ustvrdio da je tako račun dvostruko sigurniji.
Usporedio je to s postavljanjem dodatne brave na ulazna vrata. Ovo me navelo na
razmišljanje i shvatio sam da je u krivu. Bolja usporedba je ugradnje dodatnih
vrata pri čemu svaka vrata imaju jednu bravu. Pri tome je jasno da je za
provalu dovoljno savladati samo jednu bravu. U pravilu je dovoljno da vam netko
provali jedan od kanala pa da se probije i do drugog računa.
Na primjer, Windows 10 za punu funkcionalnost traži da kao
korisničko ime (login)
koristite Microsoft račun. Pri tome će automatski podesiti program za poštu da
koristi tu adresu pa će ona postati poznata svima kojima ste pisali. Koristeći
tu adresu zlonamjerni korisnik može na drugom računalu kreirati korisnika s
vašim podatcima. Naravno, za to mu treba i lozinka no ukoliko je provalio vaš
sigurnosni kanal, može jednostavno zatražiti promjenu lozinke i putem
sigurnosnog kanala potvrditi promjenu. Time je ostvario puni pristup svim vašim
podatcima u "oblaku" (WiFi lozinke, spremljeni dokumenti, kopije fotografija
i tko zna što još). Dok vi shvatite što se dogodilo i ispravite stvar vaši
osobni sadržaji već su ukradeni, a možda i svima dostupni na Internetu.
Sigurnost ili slabost?
Dakle, ne možemo tvrditi da je sigurnost dvostruko veća.
Zapravo dodatna provjera može biti i dodatna slabost. Sjetimo se da je
svojevremeno na Yahoo mail-u provaljeno preko 3 milijarde računa.
No dvostruka provjera donosi i brojne prednosti i u nekim
slučajevima vas dodatno štiti. Stoga je važno dobro podesiti sve postavke
sigurnosti i paziti što čuvate u "oblaku" kako biste izbjegli
ozbiljne neugodnosti u slučaju provale.