Dvaput je dvaput (nastavak)

Dvaput je dvaput (nastavak).

U davno objavljenom tekstu govorio sam o sigurnosnom postupku koji se naziva "provjera u dva koraka" ili na engleskom "two-step verification" (Dvaput je dvaput). Ukratko riječ je o dodatnom kanalu komunikacije kojim se traži dodatna potvrda u slučaju promjene na osnovnom računu. I dalje vjerujem da je ovo korisno no nedavno sam uočio i ozbiljnu sigurnosnu prijetnju koju ovaj postupak donosi.

Kada je korisno?

Najveća prednost dodatnog kanala očituje se u slučaju gubitka lozinke. Velik broj računa koje danas korisnik ima, kao i uvjerenje "nema šanse da zaboravim", razlog su za svakodnevne glavobolje. Zbog zaboravljene lozinke mnogi ne mogu do svog računa pa onda slijedi resetiranje lozinke. Pri tome provjera preko dodatnog kanala jako olakšava stvar. Zbog toga je ova tehnika danas dostupna na većini računa, a u nekim slučajevima njeno korištenje je obavezno.

Dodatni kanal koristit će se i prilikom pristupa vašem računu sa drugog uređaja. Na primjer, ako isti račun unesete na mobitel ili drugo računalo dobit će te o tome obavijest. Kao dodatni kanal može se koristiti elektronička pošta ili mobitel (SMS). Ako je vaš mobitel podešen da vas obavijesti o primitku ovakve poruke trenutno ćete saznati za pristup do računa. Tako možete odmah početi borbu za povrat kontrole na računu ako vam ga je netko preuzeo. Odnosno, spriječiti pokušaj u slučaju da se dodatni kanal koristi za potvrdu.

U čemu je problem?

Naravno, postoji i druga strana medalje. Sve je zapravo počelo kad je jedan kolega ustvrdio da je tako račun dvostruko sigurniji. Usporedio je to s postavljanjem dodatne brave na ulazna vrata. Ovo me navelo na razmišljanje i shvatio sam da je u krivu. Bolja usporedba je ugradnje dodatnih vrata pri čemu svaka vrata imaju jednu bravu. Pri tome je jasno da je za provalu dovoljno savladati samo jednu bravu. U pravilu je dovoljno da vam netko provali jedan od kanala pa da se probije i do drugog računa.

Na primjer, Windows 10 za punu funkcionalnost traži da kao korisničko ime (login) koristite Microsoft račun. Pri tome će automatski podesiti program za poštu da koristi tu adresu pa će ona postati poznata svima kojima ste pisali. Koristeći tu adresu zlonamjerni korisnik može na drugom računalu kreirati korisnika s vašim podatcima. Naravno, za to mu treba i lozinka no ukoliko je provalio vaš sigurnosni kanal, može jednostavno zatražiti promjenu lozinke i putem sigurnosnog kanala potvrditi promjenu. Time je ostvario puni pristup svim vašim podatcima u "oblaku" (WiFi lozinke, spremljeni dokumenti, kopije fotografija i tko zna što još). Dok vi shvatite što se dogodilo i ispravite stvar vaši osobni sadržaji već su ukradeni, a možda i svima dostupni na Internetu.

Sigurnost ili slabost?

Dakle, ne možemo tvrditi da je sigurnost dvostruko veća. Zapravo dodatna provjera može biti i dodatna slabost. Sjetimo se da je svojevremeno na Yahoo mail-u provaljeno preko 3 milijarde računa.

No dvostruka provjera donosi i brojne prednosti i u nekim slučajevima vas dodatno štiti. Stoga je važno dobro podesiti sve postavke sigurnosti i paziti što čuvate u "oblaku" kako biste izbjegli ozbiljne neugodnosti u slučaju provale.