Dobrze Ci radze Sebastian Zawadzki Smartbees

Spis treści

W tym artykule omówię logowanie z dwuetapową weryfikacją SMS i przedstawię korzyści z jego stosowania.

Rosnąca liczba ataków hakerskich sprawiła, że obecnie dużo mówi się o bezpieczeństwie w sieci. Oszuści niemal codziennie wymyślają nowe metody przestępstw online i tylko czekają na chwilę nieuwagi lub luki w zabezpieczeniach, aby móc wykorzystać dane użytkowników. Twoje również. Jest wiele sposobów, aby temu przeciwdziałać, a jednym z nich jest dwuetapowa weryfikacja SMS (2FA).

Co to jest dwuetapowa weryfikacja SMS?

Dwuetapowa weryfikacja SMS (uwierzytelnianie dwuskładnikowe, 2FA) polega na użyciu dwóch niezależnych metod podczas logowania do swojego konta bądź systemu. Do korzystania z takiego rozwiązania potrzebujesz hasła, które ustaliłeś podczas rejestracji oraz telefonu komórkowego, na który zostanie przesłane jednorazowe hasło dostępu.

2FA znacząco poprawia Twoje bezpieczeństwo w sieci, ponieważ minimalizuje ryzyko włamania na konto. Smartfon najczęściej masz pod ręką, a do jego odblokowania możesz użyć odcisku palca, skanu twarzy lub kodu PIN, co dodatkowo podwyższa ochronę.

Warto dodać, że poza metodą SMS istnieje również kilka innych sposobów na weryfikację dwuskładnikową:

  • wiadomość e-mail – zasada działania jest taka sama, jak w przypadku SMS. Na swoją skrzynkę pocztową dostajesz kod, który następnie kopiujesz w odpowiednie pole,
  • powiadomienie push – polega na otrzymaniu notyfikacji na smartfona i autoryzacji działania poprzez wciśnięcie odpowiedniego przycisku,
  • specjalne aplikacje – coraz więcej firm decyduje się na tworzenie narzędzi, które generują jednorazowy kod dostępu. Wystarczy zainstalować je na swoim smartfonie. Przykład? Chociażby Google Authenticator. 

Dlaczego warto wdrożyć weryfikację dwuetapową SMS na stronie?

Polacy są coraz bardziej świadomi konsekwencji wycieku danych. Niestety, jak wynika z raportu przygotowanego przez CBM Indicator, z weryfikacji dwuskładnikowej korzysta zaledwie ok. 50% ankietowanych. Czym jest to spowodowane? Być może faktem, że wpisanie dodatkowego hasła zajmuje więcej czasu. Te kilka sekund więcej może jednak uratować Cię przed znacznie większymi problemami niż tylko strata czasu. 

Według raportu Barometr Cyberbezpieczeństwa 2024 phishing jest najczęściej spotykaną metodą wyłudzania danych w internecie. Ofiarami tej metody są zarówno osoby indywidualne, jak i korporacje, dlatego coraz częściej organizuje się szkolenia, jak nie dać się nabrać na metody phishingowe. Skala problemu jest szokująca. Raport Bolster wskazuje, że w samym tylko 2023 roku liczba witryn phishingowych przekroczyła 13,4 mln. 

Bolster report phishing
Wzrost aktywności phishingu od 2020; źródło: raport 2024 State of Phishing & Online Scams

Phishing zaczyna się od wykradzenia danych, np. w wyniku luki w zabezpieczeniach strony. To wtedy przestępcy mogą dotrzeć do Twojego numeru telefonu, poznać adres e-mail i wysyłać wiadomości z niebezpiecznymi linkami. Mogą też spróbować użyć Twojego hasła na innych stronach. 

Weryfikacja dwuetapowa bardzo przydaje się w takich sytuacjach. Nawet w przypadku wpisania poprawnego hasła, oszuści będą musieli wpisać również kod, który trafi na Twój telefon i zaalarmuje o problemie. To jeszcze nie powód do paniki. W takiej sytuacji najlepiej szybko zmienić hasło logowania i upewnić się, że masz dostęp do swojego konta, a dane na stronie nie uległy naruszeniu. 

Uwaga!

Pamiętaj, aby nie stosować tego samego hasła do logowania w różnych witrynach. 

Każdej firmie powinno zależeć na bezpieczeństwie użytkowników. Wdrażając weryfikację dwuskładnikową, zwiększasz zaufanie wśród potencjalnych klientów, a to może mieć przełożenie na lepsze wyniki finansowe. Nikt przecież nie chce podejmować współpracy z kimś, kto nie dba o dane swoich partnerów, prawda?

Weryfikacja dwuetapowa to również uniwersalność i wygoda. Rozwiązanie można stosować nie tylko przy próbach logowania, ale również np. przy autoryzacji transakcji czy zmianach na koncie klienta. Co więcej, weryfikacja SMS jest dosyć łatwa do wdrożenia za sprawą wysokiej dostępności rozwiązań API. Możesz np. skorzystać z SMSAPI. 

Kiedy dwuetapowa weryfikacja SMS będzie przydatna?

Dwuskładnikowa weryfikacja SMS przydaje się właściwie zawsze. Są jednak sytuacje, w których jest wręcz niezbędna. Oto niektóre z nich:

  • logowanie do kont wrażliwych – dane logowania do platform e-commerce czy serwisów społecznościowych są szczególnie ważne. W niepowołanych rękach mogą stanowić poważne zagrożenie dla bezpieczeństwa czy finansów,
  • resetowanie hasła – chcesz upewnić się, że nikt bez Twojej wiedzy nie zmieni hasła dostępu i nie zablokuje dostępu do konta? W takiej sytuacji skorzystaj z weryfikacji dwuskładnikowej,
  • ważne zmiany na koncie – jeśli Klient chce zmienić np. dane karty płatniczej w e-commerce, 2FA okaże się bardzo pomocne,
  • autoryzacja transakcji –  ustawienie weryfikacji SMS przy dokonywaniu zakupów przez Twój system uchroni Klientów przed nieautoryzowanymi transakcjami,
  • zmiany w systemach – jeśli jesteś administratorem witryny internetowej, ustawienie weryfikacji dwuskładnikowej SMS może dodatkowo zabezpieczyć dostęp do systemów zarządzania treścią itp.

To oczywiście nie jedyne miejsca i sytuacje, gdzie logowanie za pomocą SMS może okazać się przydatne. Z pewnością jednak należą do kluczowych, ponieważ przechowują wrażliwe dane, których kradzież może okazać się brzemienna w skutkach. 

Jak wdrożyć uwierzytelnianie dwuskładnikowe SMS na swojej stronie?

Wdrożenie weryfikacji dwuetapowej SMS wymaga przede wszystkim odpowiedniego przygotowania i paru dodatkowych kroków. Przejdźmy je razem. 

  1. Wybierz dostawcę interfejsu API do wysyłania SMS-ów. Na przykład SMSAPI.
  2. Po rejestracji uzyskaj klucz API, identyfikator konta i token uwierzytelniający.
  3. Możesz teraz przejść do wdrożenia odpowiedniego kodu integrującego rozwiązania API.
  4. Stwórz interfejs dla użytkownika – dodaj odpowiednie pola przy logowaniu/rejestracji, takie jak nr telefonu i kod SMS.
  5. Pamiętaj o zaszyfrowaniu danych użytkowników. Zwróć szczególną uwagę na numery telefonów i jednorazowe kody dostępu SMS. 
  6. Przeprowadź testy oraz, w razie potrzeby, dokonaj koniecznych poprawek.

Część techniczną masz już za sobą. Aby dodatkowo zachęcić użytkowników do skorzystania z tego rozwiązania, możesz przygotować instrukcję w formie PDF lub umieścić na stronie mini poradnik. To z pewnością pomoże niezdecydowanym. Pamiętaj, że już samo umożliwienie użytkownikom dwuskładnikowej weryfikacji wpływa na stopień ich zaufania do Twojej witryny. Szczególnie w przypadku sklepów internetowych lub serwisów przechowujących wrażliwe dane. 

Uwierzytelnianie dwuskładnikowe SMS na przykładzie Drupala

Jak więc w praktyce wygląda wdrożenie weryfikacji dwuetapowej na stronie? Pokażę Ci to na przykładzie systemu zarządzania treścią Drupal. Dzięki architekturze API-First, Drupala można z łatwością zintegrować z różnymi zewnętrznymi systemami, w tym do wysyłki SMS. Najprostszym rozwiązaniem jest instalacja, a następnie konfiguracja gotowego modułu (wtyczki). Najlepiej skorzystać z rozwiązań dostępnych na oficjalnej stronie SMSAPI lub na stronie CMSa (drupal.org). 

To właśnie tam znajdziesz moduł TFA SMSAPI, stworzony przez zespół Smartbees. Rozwiązanie znacząco ułatwia integrację Drupala z SMSAPI, zachęcając tym samym właścicieli stron do skorzystania z dwuskładnikowej weryfikacji SMS. Rozszerzenie oferuje prostą konfigurację i intuicyjny interfejs. A co najlepsze – jest całkowicie darmowe. 

Skąd wziął się pomysł na moduł? Drupal to bardzo wszechstronny system, który dzięki swojej skalowalności i modularności znalazł zastosowanie m.in. w budowaniu stron uniwersyteckich, korporacyjnych czy nawet platform e-commerce. Tego typu wdrożenia wymagają szczególnej ochrony. Choć CMS oferuje zaawansowane funkcje pod tym kątem, bezpieczeństwa nigdy za wiele. Warto dlatego zaopatrzyć się w dodatkową ochronę. Zapewnienie weryfikacji dwuskładnikowej może pomóc Ci w zdobyciu zaufania potencjalnych klientów już w pierwszym kontakcie z Twoją firmą czy sklepem. 

Drupal 2FA SMS Smartbees
Uwierzytelnianie dwuskładnikowe SMS w module TFA SMSAPI – interfejs użytkownika; źródło: Smartbees

Kiedy weryfikacja dwuskładnikowa SMS może nie być efektywna?

Logowanie dwuskładnikowe z wykorzystaniem funkcji SMS efektywnie chroni przed atakami w sieci. Trzeba jednak pamiętać o podstawowych zasadach bezpieczeństwa, jeśli zdecydujesz się na użycie tej metody podczas korzystania ze strony i sklepów internetowych.

  • Aktualny numer telefonu – z pozoru rzecz bardzo trywialna. Jeśli jednak zmienisz numer telefonu i nie zaktualizujesz go w ustawieniach konta, możesz mieć kłopoty z zalogowaniem się,
  • niezabezpieczenie telefonu – każdy z nas może zgubić telefon. Wtedy przydaje się funkcja blokady za pomocą kodu PIN, biometrii lub hasła. W takich sytuacjach niepowołane osoby nie będą w stanie odczytać SMSa z kodem,
  • ignorowanie powiadomień – jeśli to nie Ty próbowałeś wejść na konto, a mimo to otrzymałeś SMSa z jednorazowym hasłem dostępu, zareaguj. Zignorowanie ostrzeżenia może być nieprzyjemne w skutkach,
  • korzystanie z publicznych numerów – użycie tymczasowego lub publicznego numeru telefonu zdecydowanie nie jest polecanym rozwiązaniem w tego typu sytuacjach, ponieważ inne osoby mogą z łatwością uzyskać dostęp do Twojego konta. 

Podsumowanie

Weryfikacja dwuskładnikowa SMS może być jednym z Twoich najpotężniejszych sprzymierzeńców, jeśli chodzi o utrzymanie bezpieczeństwa danych na stronie lub w sklepie internetowym. Jeśli tylko masz taką możliwość jako użytkownik, powinieneś rozważyć skorzystanie z niej. Natomiast z punktu widzenia właściciela witryny, wdrożenie 2FA pozwoli Ci nie tylko lepiej chronić dane użytkowników, ale także wzbudzić ich zaufanie od pierwszego wejścia na stronę. 

Dobrze Ci radził

Sebastian ZawadzkiTech Lead w Smartbees

Tworzeniem stron zajmuje się od najmłodszych lat. Zaczynał od zbudowania forum internetowego, a dziś obsługuje zaawansowane strony korporacyjne i platformy e-commerce.