loader image
Close
  • Use case
    • Bankowość i Finanse
    • eCommerce i Retail
    • Telekomunikacja i Dostawcy Mediów
    • Administracja
    • Opieka Zdrowotna
    • Technologie i Informatyka
  • Rodzaje aktywności
    • Współdzielenie kont i udostępnianie urządzeń
    • Uwierzytelnianie pracowników
    • Bezsprzętowe MFA/2FA dla klientów
    • Praca Zdalna
    • Zgodność z regulacjami PSD2, SCA
    • System antyfraudowy
    • Wykrywanie botów i zdalnych pulpitów
  • Rozwiązania
    • Biometria behawioralna
    • Device Fingerprinting
    • PureSecure
    • MobileSecure
  • Strefa wiedzy
    • Onepagery
    • Prezentacje
    • E-book
    • Webinary
    • Video
  • Aktualności
    • Blog
    • Teksty eksperckie
  • Firma
    • O nas
    • O grupie
    • Polityka Prywatności
    • Projekt Unijny
  • Kontakt
  • Use case

    Bankowość i finanse

    eCommerce i Retail

    Telekomunikacja i Dostawcy Mediów

    Administracja

    Opieka Zdrowotna

    Technologie i Informatyka

    Współdzielenie kont i udostępnianie urządzeń

    Uwierzytelnianie pracowników

    Bezsprzętowe MFA/ 2FA dla klientów

    Praca zdalna

    Zgodność z regulacjami PSD2, SCA

    System antyfraudowy

    Wykrywanie botów i zdalnych pulpitów

  • Rozwiązania

    Biometria behawioralna

    Device Fingerprinting

    PureSecure

    MobileSecure

  • Strefa wiedzy

    Onepgery

    Prezentacje

    E-book

    Webinary

    Wideo

  • Aktualności

    Blog

    Teksty eksperckie

  • Firma

    O nas

    O grupie

    Polityka prywatności

    Projekt unijny

  • Kontakt
  • Polski
    • Polski
    • English

  • Use case

    Bankowość i finanse

    eCommerce i Retail

    Telekomunikacja i Dostawcy Mediów

    Administracja

    Opieka Zdrowotna

    Technologie i Informatyka

    Współdzielenie kont i udostępnianie urządzeń

    Uwierzytelnianie pracowników

    Bezsprzętowe MFA/ 2FA dla klientów

    Praca zdalna

    Zgodność z regulacjami PSD2, SCA

    System antyfraudowy

    Wykrywanie botów i zdalnych pulpitów

  • Rozwiązania

    Biometria behawioralna

    Device Fingerprinting

    PureSecure

    MobileSecure

  • Strefa wiedzy

    Onepgery

    Prezentacje

    E-book

    Webinary

    Wideo

  • Aktualności

    Blog

    Teksty eksperckie

  • Firma

    O nas

    O grupie

    Polityka prywatności

    Projekt unijny

  • Kontakt
  • Polski
    • Polski
    • English

Wiedza

Metody uwierzytelniania – które są bezpieczne?

Skanowanie tęczówki oka, rozpoznawanie twarzy, uwierzytelnianie dwuskładnikowe – wszędzie tam, gdzie użytkownik jest narażony na ataki próbujące wykraść jego dane, próbuje się wprowadzać dodatkowe zabezpieczenia, czyli metody uwierzytelniania. Samo hasło w dzisiejszych czasach nie wystarcza – nawet te silne (choć zwiększają bezpieczeństwo) mogą zostać wykradzione. Czym są w takim razie metody uwierzytelniania i czy są one bezpieczne?

Metody uwierzytelniania tożsamości

Samo uwierzytelnianie jest procesem, w którym dana aplikacja czy strona internetowa weryfikuje, czy osoba próbująca uzyskać dostęp do konta jest faktycznie tą osobą, za którą się podaje. Jest to najczęściej dodatkowy etap weryfikacji, następujący po wpisaniu loginu i hasła. Dane te mogą zostać wykradzione, dlatego stosuje się uwierzytelnianie tożsamości, aby utrudnić hakerom przejęcie kontroli nad cudzym kontem. Najpopularniejszymi obecnie metodami weryfikacji są:

  • Uwierzytelnianie dwuskładnikowe.
  • Biometria – odcisk palca, skanowanie tęczówki, rozpoznawanie twarzy.

Czy są to metody bezpieczne? Z pewnością dzięki ich wykorzystaniu ryzyko utraty dostępu do danego konta jest mniejsze, ale istnieją też pewne niedoskonałości, które te systemy wykazują.

Metody uwierzytelniania - które są bezpieczne

Uwierzytelnianie dwuskładnikowe

Koncepcja uwierzytelniania dwuskładnikowego zakłada wykorzystanie do procesu weryfikacji dwóch niezależnych czynników, do których dostęp teoretycznie powinien mieć tylko właściciel konta. Może to być:

  • Wiedza użytkownika (hasło, PIN, pytanie weryfikacyjne).
  • Własność użytkownika (smartfon, klucz cyfrowy, karta bankowa, dowód osobisty).
  • Cechy fizyczne użytkownika (linie papilarne, wygląd twarzy, siatkówka oka).

Najczęściej elementy wiedzy użytkownika, czyli to, czego nikt poza nim nie powinien wiedzieć, paruje się z wykorzystaniem do weryfikacji jego własności czy indywidualnych cech fizycznych. Bardzo popularnym rozwiązaniem jest dziś wykorzystanie smartfona do weryfikacji dwuetapowej. Po wpisaniu danych logowania do konta za pomocą SMS, e-mail lub specjalnej aplikacji otrzymujemy na nasz telefon dodatkowy kod, który jest niezbędny do zalogowania. Ta metoda pozwala nawet w przypadku zdobycia przez osoby trzecie danych logowania do konta zablokować próbę włamania. Jeśli otrzymamy na swój telefon powiadomienie o aktywności, której nie wykonaliśmy, natychmiast podejmijmy kroki w celu zablokowania dostępu. Warto natychmiast zmienić hasło i pamiętać, aby było ono unikalne.

Uwierzytelnianie numerem telefonu – zagrożenia

Każdy medal ma dwie strony, i niestety w tym przypadku jest podobnie. W dzisiejszych czasach dostęp do czyjegoś telefonu oznacza dostęp do większości jego danych, dlatego tak ważne jest, aby chronić swój telefon. Z pomocą smartfona można zresetować większość haseł czy nawet wykonać transakcję wykorzystując BLIK – co może prowadzić do bardzo nieprzyjemnych konsekwencji, jeśli urządzenie wpadnie w niepowołane ręce.

Uwierzytelnianie za pomocą smartfona jest też wykorzystywane przez… samych hakerów. To duży problem zwłaszcza w przypadku profili w mediach społecznościowych czy kont Google – jeśli nie wykorzystujemy do logowania się weryfikacji numerem telefonu, hakerzy po wykradzeniu danych logowania mogą dodać swój numer do konta. Wtedy próby resetowania hasła przez właściciela kończą się tym, że SMS-y weryfikacyjne przychodzą do przestępcy i odzyskanie konta jest bardzo trudne.

Innym zagrożeniem jest tzw. klonowanie kart sim. Jest to metoda wykorzystywana przez oszustów najczęściej do przejęcia kontroli nad kontem bankowym ofiary. Przestępcy, posługując się fałszywymi dowodami osobistymi, wyrabiają w salonach duplikat danej karty SIM. Dzięki możliwości dysponowania numerem telefonu właściciela mogą oni przechwycić kody SMS, które potwierdzają transakcję. Gdy przestępcy przełączają się na numer telefonu ofiary, urządzenie właściciela wyłącza się lub zaczyna realizować nieplanowaną aktualizację. Uniemożliwia ona korzystanie ze smartfona – w tym czasie dokonywany jest przelew na rachunek przestępców. Oczywiście potrzebny jest także login i hasło do konta bankowego ofiary, które hakerzy zdobywają za pomocą złośliwego oprogramowania czy phishingu.

Biometria stosowana do weryfikacji

Inną metodą uwierzytelniania jest biometria, czyli wykorzystywanie indywidualnych cech fizycznych właściciela. Może to być skan siatkówki oka, linii papilarnych czy twarzy, aby zweryfikować tożsamość osoby, próbującej uzyskać dostęp do danego konta czy urządzenia. Czy jest to bezpieczne? Nie zawsze – choć faktycznie skan linii papilarnych jest trudny do podrobienia, to logowanie za pomocą skanu twarzy jest stanowczo odradzane. Niektóre urządzenia miały problem z odróżnieniem zdjęcia od realnej twarzy właściciela, przez co można było je w prosty sposób oszukać.

Od tradycyjnej biometrii skuteczniejsza jest biometria behawioralna, która analizuje czynniki aktualnie niemożliwe do podrobienia, takie jak sposób pisania na klawiaturze czy ruch myszki właściciela. Biometria behawioralna to przyszłość rozwiązań opartych o uwierzytelnianie użytkownika – jej wykorzystanie realnie zwiększy bezpieczeństwo i pozwoli zredukować liczbę udanych ataków hakerskich.


Człowiek używający laptopa
Czy unikalne zachowania użytkownika mogą zostać podrobione przez hakerów?
Poprzedni aktykuł
Antywirus na Androida - czy warto
Antywirus na Androida - czy telefon potrzebuje dodatkowej ochrony?
Następny artykuł

Digital Fingerprints © Copyright 2022
Created by <code-One>

Use Case

Bankowość i finanse
eCommerce i retail
Telekomunikacja i dostawcy mediów
Administracja
Opieka zdrowotna
Technologia i informatyka

Rozwiązania

Biometria behawioralna
Device Fingerprinting
PureSecure
MobileSecure
O nas
O grupie
Projekt unijny
Polityka prywatności
Kontakt

Digital Fingerprints S.A. ul. Żeliwna 38, 40-599 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 128 828,76 zł – opłacony w całości, NIP: 525-260-93-29

Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.

Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.

Zarządzaj zgodami plików cookie
Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zobacz preferencje
{title} {title} {title}