Decyzja Twittera, aby wyłączyć dwuskładnikowe uwierzytelnienie SMS niepłacącym użytkownikom, wywołała sporo emocji. Dla jednych to skrajna nieodpowiedzialność, dla innych – poniekąd zaleta, bo akurat ta metoda dwuetapowej weryfikacji jest co najmniej wątpliwa. Jakie są lepsze?
Uwierzytelnianie SMS będzie tylko dla abonentów Twitter Blue. o ile ktoś nie zapłaci, albo zostanie bez dodatkowego zabezpieczenia, albo będzie musiał postawić na inne narzędzie autoryzacji. I zdaniem całkiem sporej grupy specjalistów od bezpieczeństwa w sieci, nie jest to aż tak zła wiadomość.
W dwuetapowej weryfikacji chodzi o to, aby logować się do serwisu nie tylko hasłem. Dziś powinien to być dla nas standard, który chroni konto przed ewentualnym wyciekiem danych. choćby gdy cyberprzestępcy wykradną kombinację, to nie zalogują się bez kodu SMS (co Twitter chce wyłączyć) albo innej metody weryfikacji.
Najczęściej polecanym sposobem uwierzytelniania dwuskładnikowego jest klucz U2F
To osobny sprzęt podłączany do komputera przez USB (choć może też pracować z telefonami, przez moduł NFC), który na pierwszy rzut oka wygląda jak pendrive. Jego zadaniem jest jednak możliwość potwierdzenia tożsamości danego użytkownika. dzięki jednego klucza można logować się do wielu serwisów, które oferują taką metodę weryfikacji.
Twitter do nich należy. Stosowną opcję włączmy w Ustawieniach – Bezpieczeństwo i dostęp do konta – Bezpieczeństwo – Dwustopniowa weryfikacja logowania. Następnie wybieramy opcję Klucz zabezpieczający.
Podobnie sprawa wygląda na Facebooku (Ustawienia – Bezpieczeństwo i logowanie – Uwierzytelnianie dwuskładnikowe):
Jak i Google’u (Bezpieczeństwo – Logowanie się w Google – Weryfikacja dwuetapowa):
Jeśli nie klucz UF2, to aplikacja Google Authenticator
Googłe Authenticator działa podobnie do kodów SMS, tyle iż zamiast nich to aplikacja generuje kody. Co ważne, działa choćby wtedy, gdy nie mamy połączenia z internetem.
Konfiguracja jest bardzo prosta: wystarczy zeskanować kod QR podany w serwisie, a potem wpisać wygenerowany w aplikacji Googłe Authenticator kod. PIN będziemy podawać także przy logowaniu, potwierdzając w ten sposób swoją tożsamość.
