Jak włączyć dwuetapową weryfikację? Przypominamy, jak to zrobić

Haker ciągle publikuje nowe maile, według niego pochodzące ze skrzynki Michała Dworczyka. Przez to ujawnione zostały prywatne adresy najważniejszych w kraju polityków – w tym samego premiera. Z udostępnionych zrzutów wynika, że dyskusje na temat kluczowych dla państwa spraw prowadzone były nie za pośrednictwem służbowych kont. Na środę zaplanowano niejawne posiedzenie Sejmu spowodowane właśnie cyberatakami.

O ile oczywiście informacje są prawdziwe. Niewykluczony jest scenariusz, że to element dezinformacji: część opublikowanych treści jest prawdziwa, ale zawierają też sfabrykowane wiadomości lub fakty. Jeśli ktoś w ten sposób nas rozgrywa, robi dobrą robotę, wprowadzając chaos w mediach. Dlatego lepiej z olbrzymim dystansem podchodzić do screenów, które hulają po sieci.

Mając to w pamięci, nie wolno zapominać o wpadce, jaką jest samo podejrzenie wycieku. Świadczy ono o braku podstawowych informacji na temat cyberbezpieczeństwa. „Sam jestem politykiem i nie mam poczucia, że jestem dobrze przeszkolony w kwestii cyberbezpieczeństwa” – zauważył w rozmowie z CyberDefence24.pl Paweł Poncyljusz, poseł Koalicji Obywatelskiej.

Prywatne adresy mailowe polityków założone były na skrzynkach Gmaila i Wirtualnej Polski. Ten drugi portal od kilku miesięcy ma możliwość włączenia dwuskładnikowej weryfikacji (Gmail ma to od niepamiętnych czasów). Firma zaznacza, że „systemy pocztowe WP są całkowicie bezpieczne, a informacje czy insynuacje jakoby miało dojść do włamania na konta WP  są całkowicie nieprawdziwe”. Zdaniem Wirtualnej Polski Michał Dworczyk w momencie zdarzenia nie korzystał z systemu uwierzytelniania dwuskładnikowego.

Nieważne, czy jesteś politykiem, osobą publiczną czy zwykłym szarym Kowalskim - uwierzytelnianie dwuskładnikowe dosłownie może uratować twoje poufne dane czy konta. Podkreślamy to od dawna, ale jak widać, ciągle nie stało się to naszym nawykiem.

Jak działa dwuetapowa weryfikacja? Po wpisaniu tradycyjnego hasła, które niestety zawsze może wyciec albo zostać przejęte na skutek phishingu (wystarczy zalogować się na fałszywej stronie, podszywającą się pod prawdziwą), należy potwierdzić się jeszcze dodatkowym kodem. Ten może przyjść w SMS-ie na podany numer telefonu albo pojawić się w aplikacji, z której korzystamy na drugim urządzeniu. Istnieją też specjalne klucze USB, będące fizycznym odpowiednikiem podawania dodatkowego kodu.

Oczywiście nadal może zdarzyć się tak, że przestępca pozna nie tylko niezbędne hasła, ale też ukradnie telefon, jednak to raczej w praktyce mało prawdopodobny i realny scenariusz. Właśnie dlatego dwuetapowa weryfikacja sprawia, że haker, nawet znając nasze hasło, niewiele zdziała.

Michał Dworczyk – a także wielu innych polityków – to najlepsze przykłady na to, że nie wszyscy przekonali się do tej metody weryfikacji. To błąd. Dlatego nie popełniajcie błędów znanych ludzi i czym prędzej zabezpieczcie tak swoje konta. Podpowiadamy, jak to zrobić.

Facebook to najlepszy dowód na to, że cały proces jest bardzo prosty. Wchodzimy w ustawienia, następnie wybieramy „bezpieczeństwo i logowanie”, gdzie znajdziemy sekcję „uwierzytelnianie dwuskładnikowe”. Tam nie tylko możemy wpisać numer telefonu, na który przyjdzie kod SMS, ale skorzystać z innych opcji weryfikacji:

Podobnie sprawa wygląda dla usług Google. Opcję włączenia dwuetapowej weryfikacji znajdziemy w ustawieniach. W następnych krokach możemy wybrać telefon przypisany do naszych kont, który służyć będzie do potwierdzania tożsamości. Można też dodać dodatkową metodę weryfikacji – może to być kod SMS albo rozmowa telefoniczna.

Dla chcących mieć jeszcze większą gwarancję, Google przygotował dodatkowe zabezpieczenia:

Wielu nie rozumie fenomenu Twittera, ale akurat dla polityków, publicystów i innych osób publicznych związanych z polityką to istotna platforma. Także podatna na ataki, o czym przekonał się Marek Suski. Dlatego tym bardziej należy ją odpowiednio zabezpieczyć.

Wchodzimy w ustawienia, potem „bezpieczeństwo i dostęp do konta”, by wybrać „bezpieczeństwo”. Zobaczymy takie okienko:

Musimy wybrać, w jaki sposób chcemy weryfikować swoje konto. Może to być wiadomość SMS, aplikacja uwierzytelniająca albo klucz zabezpieczający.

Jak widać, na wielu portalach cały proces przebiega podobnie. Praktycznie nie ma dziś popularnego serwisu, który nie korzystałby z tego typu metod weryfikacji. Jeśli nie chcecie być jak Michał Dworczyk – choć podkreślmy, że ciągle nie wiemy, co tak naprawdę przejęli przestępcy i czy publikowane przez nich treści są prawdziwe – natychmiast z nich skorzystajcie.