Dvostupanjska provjera, odnosno provjera u dva faktora jedna je od najupražnjenijih digitalnih sigurnosnih mjera današnjice. Pitanje je, doduše - koliko je ona učinkovita
Stigli smo u vremena kada lozinka nije dovoljna doza zaštite prosječnog online profila. Digitalna era uzima sve veći zamah, što znači da ljudi sve više svakodnevnih aktivnosti provode u prisustvu online usluga. Bankarstvo je odavno prigrlilo digitalno poslovanje, pošta sve pakete može pratiti putem online obrasca, dok birokraciju stare škole polako ali sigurno zamjenjuju digitalne baze podataka.
Upravo zato nipošto ne smijemo biti zatečeni činjenicom da i cyber-kriminal uzima sve veći zamah. Digitalna generacija kriminalaca cilja na naše privatne profile, želi se domoći naših privatnih podataka, uzeti brojeve naših kartica te nas, ukratko, opljačkati. Upravo zbog tog razloga uvedene su dodatne mjere zaštite koje pored lozinki koriste i specijalne metode zaštite koje se oslanjaju na više čimbenika od kombinacije slova i brojeva.
Kad lozinka nije dovoljna
Najpopularnija među njima je provjera u dva faktora odnosno 2FA - metoda koja kombinira klasični pristup jedinstvenim imenom i lozinkom te ih kombinira sa dodatnim faktorom u vidu otiska prsta, USB 'ključem', dodatnim sigurnosnim softverom ili SMS porukom. Potonja metoda ispostavila se kao najslabijom zaštitnom metodom u nekoliko slučajeva poput onog gdje je rudaru Bitcoina prevarant došao do telefonskog broja i preusmjerio sigurnosnu poruku na svoj uređaj. U trenu kada je žrtva postala svjesna prijevare, sve je bilo gotovo - digitalni lopov odšetao je sa 150.000 dolara u kriptovaluti.
Slabost SMS poruka leži u staromodnim sustavima za preusmjeravanje poziva koje telekomunikacijske kompanije koriste još od sedamdesetih godina prošlog stoljeća. Uz odgovarajuću opremu počinitelj može 'uhvatiti' poruku koja je bila namjenjena osobi koja se pokušava prijaviti u svoj online račun te se prijaviti umjesto njega.
Ljudski faktor
Pored tehnoloških propusta najslabija točka provjere u dva faktora je prilično ljudski. Brojni slučajevi kao glavne krivce za propust uzimaju osoblje korisničke podrške koji su podlegli lažnih zahtjevima za povrat ili izmjenu osobnih podataka. Dvostruka provjera SMS-om toliko je slaba da je njezinu eliminaciju razmatrao i Google. Na žalost, velik broj korisnika ne koristi dvostruki faktor provjere, a taj broj bi se dodatno povećao kada bi ih stranice prisiljavale da instaliraju dodatne aplikacije ili na specijalni način formatiraju USB stickove.
Apple je ovome doskočio u sklopu svojih operativnih sustava koji umjesto SMS-a jednokratnu šifru šalju na drugi vlasnikov uređaj, no mnogi drugi operativni sustavi ne koriste ovu metodu. Stručnjaci čak razmatraju korištenje posebnih jednokratnih QR kodova koje uređaj mora uslikati kamerom pri svakom logiranju. Naravno, pravilo smanjenja interesa proporcionalnog porastu kompliciranosti metode vrijedi i ovdje, što nas dovodi do vrlo neminovnog i prilično neugodnog zaključka da 2FA nije toliko učinkovit koliko ljudi misle.
Što je sljedeće?
Naravno, gledano iz svakodnevne perspektive korisnika koji na računu nema 200.000 dolara u Bitcoinu ili Etheru, situacija nije toliko grozna. Prilično je očito da će, zaista želi provaliti u vaš račun, snalažljivi lopov to učiniti, imali vi provjeru u dva, četiri ili dvadeset faktora. Problem je što se, kao takav, ovaj sustav može zaobići te da kompanije užurbano rade na novoj univerzalnoj zaštiti profila koja će biti dostupna i nekomplicirana, a ujedno i robusna i sigurna. Čini se, prema svemu sudeći, da ispred sebe imaju prilično puno posla.