Hasła jednorazowe są bardzo wygodne, ponieważ eliminują potrzebę zapamiętywania szczegółów dotyczących logowania. Jednak czy aby na pewno są bezpiecznym rozwiązaniem?
W dzisiejszych czasach przeciętny użytkownik internetu posiada kilkanaście kont internetowych, z których każde chronione jest hasłem. Jeśli dbasz o swoje bezpieczeństwo, na pewno dobrze wiesz, że hasła nie powinny się powtarzać. Jako, że zapamiętanie ich wszystkich może być problematyczne, wielu z nas pomaga sobie tzw. menadżerem haseł.
Jednak wydarzenia z ostatnich kilku miesięcy pokazały, że nie wszystkie menadżery haseł są całkowicie bezpieczne. Niektóre narzędzia do zapamiętywania haseł okazały się bowiem niewystarczającym zabezpieczeniem przed cyber-atakami.
Jednym z trendów, który w ostatnim czasie stopniowo nabiera tempa jest korzystanie z jednorazowych haseł. Zapomnij o zapamiętywaniu loginu do każdego internetowego konta. Dzięki hasłom jednorazowym, kody zabezpieczające wysyłane są do Ciebie za każdym razem, gdy chcesz zalogować się do danej usługi.
Jeśli więc potrzebujesz uzyskać dostęp do swojego konta, możesz to zrobić, klikając w link otrzymany za pośrednictwem wiadomości e-mail lub SMS – bez konieczności wprowadzania zbędnych haseł.
Przykładem witryny, która jako pierwsza kilka miesięcy temu wprowadziła jednorazowe hasła może być np. znana strona Yahoo!
Całkiem niedawno, funkcję jednorazowych haseł zaczęły stosować również serwisy do prowadzenia blogów. Według nich jednorazowe hasła są bezpieczniejsze niż tradycyjne sposoby weryfikacji użytkownika, co tłumaczą na swoim blogu:
Może wydawać się to sprzeczne z intuicją, ale w rzeczywistości system haseł jednorazowych jest bezpieczniejszy niż tradycyjne hasła. W większości przypadków, jeśli haker odgadnie lub złamie tradycyjne hasło, uzyskuje dostęp do Twojego konta aż do momentu, gdy zmienisz swoje hasło. Czasami okres ten może być bardzo długi (np. gdy jesteś na wakacjach i nie masz dostępu do Internetu), a Ty możesz nawet nie wiedzieć, że ktoś ma dostęp do Twoich danych. System haseł jednorazowych posiada więc następujące zalety:
– Jesteś informowany automatycznie, gdy ktoś próbuje się zalogować na Twoje konto.
– Link do logowania wygasa po krótkim czasie.
– Link do logowania może być użyty tylko raz.
Czy są jakieś wady?
Jednorazowe hasła są doskonałym sposobem na uniknięcie wielu, często spotykanych problemów związanych z korzystaniem z tradycyjnych haseł, takich jak np.:
- Proste do odgadnięcia hasła
- Wielokrotne używanie tego samego hasła w różnych portalach
- Zapisywanie haseł
- Brak ostrzeżenia, gdy ktoś inny ma dostęp do Twojego hasła/konta
System nie jest jednak bezbłędny.
Szyfrowanie – wysłany link, zapewniający nieograniczony dostęp do konta powinien być oczywiście zaszyfrowany. Jednak nie jest to zawsze możliwe, a przesyłanie go w postaci zwykłego tekstu w wiadomości email lub SMS może być główną luką w zabezpieczeniach.
Degradowanie zabezpieczeń – potencjalnym słabym punktem jednorazowych haseł, szczególnie w realizacji medium, jest fakt, że bezpieczeństwo danego konta zależy od bezpieczeństwa Twojej poczty e-mail lub wiadomości SMS.
Jeśli więc korzystasz z haseł jednorazowych, ale Twoje konto e-mail zabezpieczone jest słabym hasłem (jak to robi wiele osób), pamiętaj, że taka ochrona nie ma sensu. Twoje hasło do poczty e-mail powinno być jednym z najsilniejszych haseł, ponieważ stanowi ono klucz do całej reszty kont. Jednorazowe hasła sprawiają, że jest to jeszcze bardziej istotne.
Przekierowanie (opcja „Przekaż dalej”) – oczywiście jest to mało prawdopodobne, ale przy obecnych rozwiązaniach każdy, kto posiada link, jest w stanie uzyskać dostęp do Twojego konta. Jeśli przez przypadek przekażesz wiadomość e-mail dalej albo wkleisz link w złym miejscu, możesz narazić swoje bezpieczeństwo.
Przydatnym rozwiązaniem jest weryfikacja, czy dany link został otworzony z odpowiedniego konta e-mail. Takiego typu link to dodatkowe, skuteczne zabezpieczenie.
Alternatywy jednorazowych haseł
To, czy zechcesz zabezpieczyć swoje konta internetowe hasłami jednorazowymi zależy tylko od Ciebie. Jeśli jednak szukasz innego sposobu na zwiększenie ochrony swojego konta, godne polecenia jest podwójne uwierzytelnianie.
Podwójne uwierzytelnianie jest prawdopodobnie najprostszym sposobem na uniknięcie nieautoryzowanego dostępu do Twojego konta, a dodatkowo nie jest bardzo ryzykowne. Więcej informacji o dwustopniowej weryfikacji znajdziesz tutaj.
Jeśli znasz inne, niekonwencjonalne sposoby na zabezpieczenie swojego konta, z chęcią podyskutujemy o nich w komentarzach!
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj najlepszy antywirus Avast Ultimate. Jeden antywirus zapewni ochronę wszystkim Twoim urządzeniom.
Ciekawy artykuł i godny stosowania ,Pozdrawiam
Wykorzystuję token w dostępie do mojego banku. Czy istnieje możliwość przypisania tego tokena do zrealizowania dostępu do jakiegoś innego mojego konta?
hasła jednorazowe dostaję z banku, gdy mam potwierdzić jakąś akcje, np. wysłanie przelewu;
jak to jest z ich bezpieczeństwem według Ciebie?
sam artykuł uważam za przydatny ale jakby za ubogi 🙂
pozdro
Marek
@JERZY
Nie ma takiej możliwości, token może być powiązany z tylko jednym kontem/usługą.
@MAREK
Są bezpieczne, hasła jednorazowe sms to dobra forma zabezpieczeń bo oprócz kodu masz tam również szczegóły operacji jakiej ten konkretny kod dotyczy i w razie problemów możesz operację przerwać. Ponadto są nikłe szanse, że ktoś zdobędzie równocześnie twój login, hasło i jeszcze telefon żeby odebrać smsa z kodem.
hasła jednorazowe są na pewno bezpieczniejsze od zwykłych haseł ale czy na pewno bezpieczne w 100% moim zdanie nie ponieważ dobry haker może nas przekierować na spreparowana stronę która może wyglądać tak samo jak np. jedna ze stron bankowych i co w tym przybadku zamiast wysłać jednarozowego hasła do prawdziwej witryny dajemy nasze hasło hakerowi który może zalogować sie na nasze konto banko itd bez naszej wiedzy
Dlatego ciągle pouczamy żeby zwracać uwagę na takie podstawy jak adres URL, status sesji HTTPS (kłódka i poprawny certyfikat) żeby wpisywać hasła na poprawnej stronie, a nie fałszywej 🙂 Inna sprawa, że hasła jednorazowe jak mówi nazwa są jednorazowe. Nawet jak haker dostanie to hasło to nic z nim nie zrobi bo ma one czasową ważność. 26457812 to aktualny stan mojego Battlenet Authenticatora, wygasa za 37s, to własnie jego zaleta – jest jednorazowe i ważne na tyle krótko, że nawet jak wypłynie to jest bezużyteczne. Żeby się poprawnie włamać na ten przykładowy Battle.net potrzebujesz mój login (adres mail), hasło (14… Dowiedz się więcej »
Ciekawy artykul i godny stosowania ,Pozdrawiam
Wykorzystuje token w dostepie do mojego banku. Czy istnieje mozliwosc przypisania tego tokena do zrealizowania dostepu do jakiegos innego mojego konta?
hasla jednorazowe dostaje z banku, gdy mam potwierdzic jakas akcje, np. wyslanie przelewu;jak to jest z ich bezpieczenstwem wedlug Ciebie?sam artykul uwazam za przydatny ale jakby za ubogi :)pozdroMarek
@JERZYNie ma takiej mozliwosci, token moze byc powiazany z tylko jednym kontem/usluga.@MAREKSa bezpieczne, hasla jednorazowe sms to dobra forma zabezpieczen bo oprocz kodu masz tam rowniez szczegoly operacji jakiej ten konkretny kod dotyczy i w razie problemow mozesz operacje przerwac. Ponadto sa nikle szanse, ze ktos zdobedzie rownoczesnie twoj login, haslo i jeszcze telefon zeby odebrac smsa z kodem.
hasla jednorazowe sa na pewno bezpieczniejsze od zwyklych hasel ale czy na pewno bezpieczne w 100% moim zdanie nie poniewaz dobry haker moze nas przekierowac na spreparowana strone ktora moze wygladac tak samo jak np. jedna ze stron bankowych i co w tym przybadku zamiast wyslac jednarozowego hasla do prawdziwej witryny dajemy nasze haslo hakerowi ktory moze zalogowac sie na nasze konto banko itd bez naszej wiedzy
Dlatego ciagle pouczamy zeby zwracac uwage na takie podstawy jak adres URL, status sesji HTTPS (klodka i poprawny certyfikat) zeby wpisywac hasla na poprawnej stronie, a nie falszywej :)Inna sprawa, ze hasla jednorazowe jak mowi nazwa sa jednorazowe. Nawet jak haker dostanie to haslo to nic z nim nie zrobi bo ma one czasowa waznosc.26457812 to aktualny stan mojego Battlenet Authenticatora, wygasa za 37s, to wlasnie jego zaleta – jest jednorazowe i wazne na tyle krotko, ze nawet jak wyplynie to jest bezuzyteczne.zeby sie poprawnie wlamac na ten przykladowy Battle.net potrzebujesz moj login (adres mail), haslo (14 znakow, duze, male… Dowiedz się więcej »