Uwierzytelnianie dwuskładnikowe - bezpieczeństwo

mobiDziennik-Blog
Uwierzytelnianie dwuskładnikowe

Świadomość tego, jak ważne jest odpowiednie zabezpieczenie swojej poczty, logowania do programu, czy dziennika elektronicznego nadal jest bardzo niewielka. Tylko w 2018 r. blisko 700 mln osób padło ofiarą cyberprzestępstwa, a ponad bilion danych zostało wykradzionych z różnych portali1. Dlatego w tym artykule chcemy przypomnieć, jak powinno wyglądać mocne hasło i jak uwierzytelnianie dwuskładnikowe może pomóc w zabezpieczeniu naszych (i nie tylko naszych) danych.

Co jest największym problemem?

Włamaniom na nasze konta najczęściej winne są zbyt proste hasła stosowane przez użytkowników portali społecznościowych, poczty czy sklepów internetowych. Dodatkowo jedno hasło jest często wykorzystywane w wielu miejscach, ze względu na przyzwyczajenie i problemy z zapamiętaniem.

ile czasu potrzeba na złamanie hasła

Mimo licznych akcji uświadamiających nadal najczęściej stosowane hasła w Internecie to:

- 123456

- 123456789

- qwerty

- 12345678

- 111111

Natomiast bezpieczne hasło powinno zawierać:

- co najmniej 12 znaków,

- duże i małe litery,

- cyfry i znaki specjalne (np. *, &, $ itp.).

Nasza infografika wskazuje, jak zwiększenie ilości znaków, przy haśle składającym się z samych tylko liter wpływa na wzrost bezpieczeństwa hasła.

Duża odpowiedzialność nauczyciela i dyrektora

Wprowadzenie dzienników elektronicznych z pewnością przyniosło dużą korzyść zarówno rodzicom, jak i nauczycielom. Zdecydowana większość rodziców jest zadowolona z faktu, że oceny ich dzieci wyświetlają się im na bieżąco i nie muszą na nie czekać do kolejnej wywiadówki. To bardzo ważne również ze względu na to, że można monitorować postępy naszego dziecka i od razu zareagować widząc, że opuściło się w nauce. Opiekun otrzymuje też informacje o frekwencji, a więc nie ma mowy, żeby wagarowanie nie zostało szybko wykryte. Nauczycielom dziennik elektroniczny umożliwił rezygnację z papierowych dzienników i bezpieczne wpisywanie ocen, zapowiedzi sprawdzianów i zadań domowych, ważnych wydarzeń, informacji o zachowaniu uczniów. Zapewnia też kontakt z rodzicami bez obaw, że uczeń zapodzieje kartkę i wiadomość nie dotrze do adresata. To oczywiście tylko niektóre z atutów takiego rozwiązania, po wszystkie zajrzyj na stronę mobiDziennika.

Jednak w związku z przeniesieniem wszelkich istotnych informacji do sieci na nauczycielu i dyrekcji spoczywa duża odpowiedzialność za dane swoich uczniów i ich rodziców. Kradzież danych z sieci jest prostsza, niż kradzież papierowego dziennika, a dodatkowo daje złodziejowi większe możliwości (dostęp do archiwalnych danych, dzienników innych klas itp.).

Jakie mogą być konsekwencje włamania na konto nauczyciela czy dyrektora? Niech za przykład posłuży post opublikowany w styczniu 2020 r. na jednej z grup użytkowników popularnego dziennika elektronicznego:

Włamanie na konto wychowawcy

Tu „łupem” młodego hackera padły oceny i frekwencje jego i kolegów. Jednak to nie jedyne dane, które mogą ucierpieć.

Jakie dane mogą zostać wykradzione w przypadku włamania na konto?

Jeżeli dojdzie do włamania na konto dyrektora lub nauczyciela, to osoba niepowołana może uzyskać dostęp do informacji takich jak:

- oceny

- dane osobowe uczniów i rodziców (pesele, adresy zamieszkania uczniów, telefony i adresy rodziców)

- dane wrażliwe uczniów np. kto chodzi na religie, kto posiada orzeczenie lekarskie

- dane o frekwencji uczniów

- dostęp do wszystkich uwag i korespondencji z rodzicami

W przypadku dyrektora widoczne są informacje dotyczące całej szkoły, w przypadku nauczyciela - konkretnych klas, które uczy.

Jak może dojść do takiej sytuacji?

Do kradzieży hasła może dojść w bardzo wielu sytuacjach. Wystarczy, że uczeń wezwany do odpowiedzi podejrzy lub nagra komórką moment logowania się nauczyciela do dziennika. Może również zainstalować prosty program przechwytujący klawiaturę komputera. Czasem winne jest wspomniane już proste hasło, którego odgadnięcie nie wymaga dużej filozofii. Tak było i w tym przypadku, co pokazuje zamieszczony powyżej screen. Nauczyciel nie zastosował się do zasad tworzenia mocnego hasła, czego konsekwencją było jego przechwycenie przez młodego informatyka.

Niezależnie od tego, w jakich okolicznościach doszło do włamania na konto, jak najszybciej po wykryciu tego faktu należy podjąć konkretne kroki. Zgodnie z obowiązującym Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) administrator danych osobowych, czyli dyrektor szkoły zobowiązany jest w ciągu 72 godzin od stwierdzenia incydentu zgłosić naruszenie do odpowiedniego urzędu. Powinien również niezwłocznie poinformować o wycieku danych każdą osobę, której dane osobowe i dane wrażliwe znajdują się w systemie. W szczególności są to wszyscy rodzice i uczniowie. Kary nakładane przez urząd na instytucje w przypadku nieprzestrzegania tych procedur są ogromne.

Jak zabezpieczyć się dodatkowo – uwierzytelnianie dwuskładnikowe

Czy istnieje metoda na radzenie sobie z takimi zagrożeniami? Poza wspomnianym już wcześniej silnym hasłem, dodatkowe zabezpieczenie może stanowić uwierzytelnianie dwuskładnikowe, które jako jedyny dziennik elektroniczny ma aktualnie w swojej aplikacji mobiDziennik bielskiej firmy WizjaNet.

Na czym polega uwierzytelnianie dwuskładnikowe (tzw. silne uwierzytelnianie)? Na dodatkowym potwierdzeniu, że na dane, nowe urządzenie chcesz zalogować się Ty, a nie jakaś niepowołana osoba. Najczęściej stosowanym drugim składnikiem uwierzytelnienia jest sms lub kod wysłany na Twój telefon lub maila, podanie PIN-u lub ewentualnie odpowiedź na tajne pytanie.

To bardzo skuteczna metoda ochrony danych, dlatego w trzecim kwartale 2019 r. została wprowadzona przez wszystkie banki w Polsce (obowiązek ten nałożyła na nie unijna dyrektywa PSD2)3. Opcję tę można (i warto) również włączyć obecnie m.in. na Facebooku, Instagramie, Twitterze, Allegro, w Gmailu i usługach Google.

mobiDziennik – jak to działa?

Jeżeli nie masz włączonego uwierzytelniania dwustopniowego to, bez względu na to, gdzie chcesz skorzystać z dziennika elektronicznego, po wpisaniu swojego loginu i hasła od razu zalogujesz się na swoje konto i będziesz mieć dostęp do wszystkich danych.

Logowanie w dzienniku elektronicznym mobiDziennik

Po włączeniu opcji uwierzytelnienia dwuskładnikowego za każdym razem, gdy będziesz logować się na nowym urządzeniu, po podaniu loginu i hasła zostaniesz poproszony o jego autoryzację w telefonie.

anuluj autoryzację w aplikacji mobilnej

Dopiero po potwierdzeniu, że to faktycznie Ty zamierzasz się zalogować, zostaniesz przekierowany do swojego konta w mobiDzienniku. Dzięki temu dane, do których masz dostęp będą bezpieczne, a za każdym razem, gdy ktoś niepowołany będzie próbował dostać się na Twoje konto na nowym urządzeniu, dostaniesz o tym powiadomienie. Wówczas jest to sygnał, żeby zmienić hasło na nowe.

Korzystanie z mobiDziennika na publicznym komputerze

Z pewnością nieraz zdarza Ci się korzystać z mobiDziennika na publicznym komputerze, do którego dostęp mają również inne osoby. Może to mieć miejsce np. w kafejce internetowej, bibliotece, ale również w sali lekcyjnej, w której zajęcia prowadzą także inni nauczyciele, a uczniowie uruchamiają prezentacje na szkolnym komputerze. Pamiętaj wówczas, aby po zakończeniu sesji usunąć urządzenie z zaufanych. Uniemożliwi to ponowne logowanie bez autoryzacji, a Twoje dane pozostaną bezpieczne.

panel autoryzacji urządzeń