Uwierzytelnienie dwuetapowe 2FA czyli „bezpieczne” korzystanie z serwisów bitcoinowych i nie tylko

2016-02-04 Bezpieczeństwo

2FA (Two-factor authentication) czyli uwierzytelnienie dwuetapowe to technologia, której świadomy powinien być każdy użytkownik serwisów bitcoinowych oraz wszelkich innych serwisów […]

2FA (Two-factor authentication) czyli uwierzytelnienie dwuetapowe to technologia, której świadomy powinien być każdy użytkownik serwisów bitcoinowych oraz wszelkich innych serwisów oferujących usługi finansowe.

 

 

2FA (Two-factor authentication) czyli uwierzytelnienie dwuetapowe to technologia, której świadomy powinien być każdy użytkownik serwisów bitcoinowych oraz wszelkich innych serwisów oferujących usługi finansowe.

 

2FA wymusza na nas dodatkową weryfikację przy logowaniu lub wypłacaniu środków z serwisów operujących naszymi pieniędzmi. Każdy użytkownik bankowości internetowej korzysta z tej metody w postaci haseł jednorazowych wysyłanych smsem lub generowanych przez tokeny sprzętowe, gdyż tam 2FA jest wymuszane na użytkowniku. W przypadku większości serwisów bitcoinowych takich jak giełdy czy portfele online, 2FA jest tylko opcją, którą użytkownik może, ale nie musi wybrać.

 

Tu pojawia się problem, gdyż jeśli coś jest opcją wielu użytkowników z czystego lenistwa bądź niewiedzy pomija tak bardzo ważną kwestię dodatkowego zabezpieczenia 2FA.

 

Banki dawno już doszły do wniosku, że największym niebezpieczeństwem dla użytkownika jest….sam użytkownik. Jest to stwierdzenie jak najbardziej słuszne. Nawet osoby zaawansowane informatycznie i w pełni świadome niebezpieczeństwa, nierzadko padają ofiarą hackerów i złodziei. W wielu przypadkach nie jest to bezpośrednio ich wina a luk w oprogramowaniu na które nie mają wpływu.

 

Trzeba koniecznie zdawać sobie sprawę, że sam login i hasło nie wystarczą. Dane do logowania mogą z łatwością zostać wykradzione poprzez różnego rodzaju wirusy i trojany. Tu warto też dodać, że w wielu przypadkach nie pomoże nam nawet antywirus, gdyż zanim sygnatura nowego wirusa/trojana trafi do bazy sygnatur programów antywirusowych, może on rozprzestrzenić się na setki tysięcy komputerów. Program antywirusowy zablokuje zagrożenie tylko wtedy gdy je zna, lub gdy wirus/trojan zachowuje się tak jak znane zagrożenia.

 

Program antywirusowy jest więc, dobrym zabezpieczeniem, ale nie gwarantuje 100% bezpieczeństwa!

 

Trzeba zdawać sobie też sprawę, że wirusy/trojany dostają się do komputerów poprzez luki w najbardziej znanym oprogramowaniu takim jak flash, java czy przeglądarki internetowe. Nawet najbardziej doświadczeni informatycy nie mogą czuć się w 100% bezpieczni.

 

Tu z pomocą przychodzi nam 2FA. Sama idea polega na tym, że wymusza na użytkowniku weryfikację w postaci hasła na 2 różnych urządzeniach. Najczęściej jest to telefon komórkowy/tablet. Nawet jeśli hacker posiada hasło i login z naszego komputera, będą to dane dla niego bezużyteczne jeśli nie będzie miał również dostępu do naszego urządzenia mobilnego. Szansa, że hacker będzie miał dostęp do naszych dwóch urządzeń jest bardzo mała.

 

2FA na poczcie email nie wystarczy!

 

Praktycznie wszystkie giełdy bitcoinowe (jak i serwisy oferujące portfle online) przy wypłacie środków wymagają potwierdzenia zlecenia wypłaty poprzez pocztę email. Wielu użytkowników giełd bitcoinowych jest przekonana, że skoro mają 2FA na poczcie to są bezpieczni, gdyż nawet jeśli hacker będzie znał nasz login i hasło, nie będzie mógł wypłacić środków z naszego konta bez dostępu do poczty, która jest chroniona przez 2FA. Hackerzy znaleźli również sposób i na to.

 

Hacker który będzie miał dostęp do naszego konta na giełdzie, a nie będzie miał dostępu do naszej poczty, nie może wypłacić naszych środków, ale może wystawić zlecenia kupna i sprzedaży.

 

Wiele giełd bitcoinowych oprócz rynku BTC/PLN oferuje jeszcze inne bardziej płytkie rynki altcoinów.

Jeżeli hacker na swoim koncie wystawi ofertę sprzedaży np. LTC po dużo zawyżonej cenie, a na przejętym koncie dokona zakupu swojej oferty z naszych środków, uzyska korzyść finansową.

 

Przykład:

 

Załóżmy, że 1LTC kosztuje 10zł. Hacker wystawia ofertę sprzedaży ze swojego konta na 100LTC po 100zł. Mając dostęp do naszego konta, hacker może wymusić kupno swojej oferty o wartości 10000zł. Oczywiście, operacja taka będzie kosztowała więcej niż 10000zł , gdyż przed ofertą hackera będą jeszcze oferty użytkowników, jednak to dla hackera nie jest ważne. Hacker inwestując 1000zł w LTC, poprzez przejecie naszego konta zyska 9900zł które następnie zamieni na BTC i wypłaci z giełdy.

 

Ofiara zaś zostanie z niewielką ilością LTC których wartość będzie dużo niższa niż początkowa wartość konta. W ten sposób hacker będący w posiadaniu loginu i hasła do naszego konta, ale bez możliwości wypłaty, gdyż nie będzie miał dostępu do naszej poczty, będzie mógł wyczyścić nam nasze konto.

 

Dlatego 2FA na poczcie nie wystarczy! Koniecznie ustawmy 2FA na samej giełdzie!

 

Proces konfiguracji 2FA jest bardzo prosty i wymaga od nas dosłownie 3 minut naszego czasu. Praktycznie wszystkie giełdy bitcoinowe oferują tego typu zabezpieczenie. Najczęstszym 2FA jest Google Authenticator. Do konfiguracji wystarczy kilka kroków.

 

  1. Instalujemy Google Authenticator na urządzeniu mobilnym
  2. Wybieramy konfiguruj konto oraz skanuj kod kreskowy, jeśli nie mamy programu do skanowania kodów kreskowych, aplikacja poprosi o jego instalację
  3. Skanujemy kod kreskowy który podaje nam serwis
  4. Przepisujemy kod widoczny przez 60 sekund w aplikacji do odpowiedniej rubryki w serwisie.

 

To wszystko! Jeśli mamy więcej niż jedno urządzenie mobilne warto kod kreskowy zeskanować na przynajmniej 2 urządzeniach (telefon i tablet) w przypadku gdybyśmy zgubili jedno z urządzeń. Możemy też zapisać klucz prywatny i publiczny na kartce aby później móc przywrócić nasze ustawienia aplikacji.

 

Pamiętajmy też, że również 2FA nie zabezpieczy nas w 100%. Metody hackerów są coraz bardziej wyrafinowane. 2FA nic nam nie da jeśli trojan/wirus podmieni nam adres BTC lub konto bankowe do wypłaty (ostatnio popularna metoda okradania kont bankowych znana z tradycyjnej bankowości). Zawsze zachowujmy więc najwyższą czujność.

 

Dobrą praktyką jest również używanie drugiego komputera wyłącznie do operacji finansowych, najlepiej z systemem operacyjnym linux którego zupełnie nie musimy znać. Wystarczy, że uruchomimy przeglądarkę internetową, co jest tak proste jak w systemie windows. Można również pokusić się o system linuxowy na pendrive czy przynajmniej na maszynie wirtualnej. Więcej na ten temat znajdziecie w poradnikach na bitcoin.pl.

 

Na koniec trzeba zaznaczyć, że podstawowe zasady bezpieczeństwa dotyczą wszelkich serwisów oferujących usługi finansowe, nie tylko bitcoinowych. Większość metod okradania użytkowników Bitcoina jest znana i popularna z tradycyjnej bankowości internetowej. Bitcoin staje się coraz bardziej popularny dlatego celem hackerów coraz częściej stają się, już nie tylko użytkownicy tradycyjnych serwisów finansowych, ale również sami użytkownicy serwisów bitcoinowych.

 

Fotografia na licencji Creative Commons:Flickr.com

Tagi
2FA bezpieczeństwo bitcoin btc giełdy giełdy Bitocin uwierzytelnienie dwuskładnikowe zabezpieczenia

Newsletter

Najważniejsze newsy i insiderskie informacje prosto na Twój email.

>

Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności.

bitbay rejestracja na gieldzie gielda geco one
rozlicz kryptowaluty

Redakcja Bitcoin.pl ostrzega:
Uważaj na oszustów. Dbaj o bezpieczeństwo.