Orange blog: Dwuskładnikowe uwierzytelnianie w Mój Orange

Uwierzytelnianie dwuskładnikowe (2 Factor Authentication, 2FA) to w dzisiejszych czasach nieodłączny element autoryzacji do serwisów internetowych. Dotychczas brakowało go w serwisie i aplikacji Mój Orange. Wkrótce to zmienimy. Jeśli czytacie bloga to wiecie, że hasła są moim „konikiem”. Choć najbardziej wolałbym, żeby ich nie było, a jeśli już być muszą – wsparcie hasła dodatkowym składnikiem to w mojej opinii kwestia obowiązkowa.
Dlaczego?
Jakiś czas temu opublikowałem duży artykuł o 2FA, więc po dłuższy opis zapraszam tam. A teraz w skrócie o co chodzi z 2FA:
– wpisujemy login i hasło
– po ich wpisaniu widzimy monit o podanie dodatkowego składnika, tj. jednego z poniższych:
a) pseudolosowego kodu z aplikacji
b) kodu z SMS-a
c) podpięcie klucza sprzętowego
Po co to wszystko?
Po to, żeby w przypadku, gdy nasz login i hasło wpadną w ręce złoczyńców – czy to przez naszą niefrasobliwość, czy przez wyciek danych – zły człowiek będzie się musiał obejść smakiem, bo bez dostępu do naszego telefonu (pierwsze dwie pozycje), czy klucza sprzętowego, nie zaloguje się na nasze konto.
2FA w Mój Orange, czyli zaktualizuj numer telefonu
Tyle o tym 2FA trąbisz, a do tej pory w Mój Orange go nie było! To prawda. Ale teraz już będzie. Nawet jeśli spytacie w komentarzach dlaczego wcześniej go nie było, nie odpowiem. Bo nie wiem – to rola tęższych głów, niż zwykłego bezpieczniaka. W przypadku Mój Orange 2FA będzie oparte na kodach SMS. Stąd rozsyłane jakiś czas temu do Was wiadomości tekstowe, przypominające o aktualizacji numeru telefonu. Wiem, było to męczące. Ale bez prawidłowego numeru telefonu, do którego nie macie dostępu, niedługo już nie będziecie mogli się zalogować na swoje konto. Mniejszym złem jest przypomnieć zapominalskim, niż sprawić, że się nie zalogujecie. Póki więc macie jeszcze czas, wejdźcie na swoje konto na www.orange.pl lub w aplikacji Mój Orange, po zalogowaniu, w menu Więcej/Ustawienia/Zabezpieczenia/Autoryzacja SMS. W momencie, gdy uruchomimy dla wszystkich 2FA w Mój Orange – nie zalogujecie się bez wpisania kodu z wiadomości SMS.
Czy można to wyłączyć?
Można, jak najbardziej. Jeszcze jak! Ale… po co? Jeśli logowaliście się kiedyś na swoje konto w Orange, czy to na stronie, czy przez aplikację, wiecie jak wiele informacji o Was można tam znaleźć.
A jak wygląda Wasze hasło?
Czy jest silne? Czy nie używacie go w innych serwisach/aplikacjach? A może w powiązaniu z adresem e-mail, który tam używacie, już kiedyś wyciekło? Sami przyznacie, że jest sporo argumentów „za”. A jakieś przeciw? Jestem w stanie wyobrazić sobie jeden. Będziecie mieć krok więcej przy logowaniu – trzeba będzie wpisać kod. W mojej opinii ta zmiana to coś, nad czym nie ma nawet potrzeby się zastanawiać. Cieszę się, że udało się doprowadzić to przedsięwzięcie do końca i mam nadzieję, że niewielu z Was zdecyduje się na wyłączenie czegoś, co w istotny sposób poprawia bezpieczeństwo. Upewnijcie się czy macie wpisany dobry numer telefonu i cieszcie się większym bezpieczeństwem swoich danych. Dla bezpieczniaka niewiele rzeczy jest piękniejsze, niż świadomość głupiej miny złodzieja, gdy po wpisaniu wykradzionych loginu i hasła, widzi: Teraz wpisz kod z SMS

Źródło: blog Orange Polska (Michał Rosiak)