W serwisie wFirma – serwis umożliwiający prowadzenie księgowości firmy (opartej na Księdze Przychodów i Rozchodów, np. jednoosobowa działalność gospodarcza) za pośrednictwem serwisu internetowego – pojawiła się opcja dwuetapowego/dwuskładnikowego logowania/uwierzytelnienia. Duży plus, bo znacznie podnosi to bezpieczeństwo danych, które – zaryzykuje, że – często są ważniejsze, niż „wiadomości e-mail od cioci”, gdzie taką autoryzację mam od dawna… ;-)

wFirma i dwuskładnikowe/dwuetapowe logowanie

O uwierzytelnieniu dwuskładnikowym (w przypadku wFirma nazywa się to dwuetapowe logowanie) pisałem niejednokrotnie, i za każdym razem zachęcam do aktywacji takiej formy zabezpieczenia jeśli tylko jest dostępna.

Autoryzacja dwuskładnikowa, to w sporym skrócie dodatkowy element autoryzacji – najczęściej jednorazowy i często generowany dynamicznie – który podajemy podczas logowania (oprócz loginu i hasła). W takim przypadku, nawet gdy ktoś wejdzie w posiadanie relatywnie stałych elementów zabezpieczających dostęp do naszego konta (login i hasło) to będzie musiał podać jeszcze jeden element/składnik – jednorazowe hasło. Nawet jak zostanie ono przechwycone razem z loginem i hasłem, to jak wskazuje nazwa – nic to „osobie nieuprawnionej” nie da, bo przy następnym logowaniu/po kilkunastu sekundach hasło jednorazowe będzie inne.

Najczęściej spotyka się chyba 4 warianty weryfikacji:

• Papierowe kody jednorazowe – z przyczyn ekonomicznych i technologicznych szczególnie popularne „kiedyś”, teraz najczęściej jest to awaryjna metoda dostępu w przypadku gdy z jakichś przyczyn nie możemy skorzystać z innej metody. Oczywiście zdarzają się jeszcze miejsca gdzie jest to podstawowa metoda, ale…
• Token sprzętowy – specjalne urządzenie, często w formie „breloczka z wyświetlaczem”, na którym co jakiś czas (zazwyczaj 20-30 sekund) zmieniają się cyfry. Kiedyś metoda dość popularna, zwłaszcza dla „droższych usług” (zamiast papierowych kodów jednorazowych). Teraz w dużej mierze wyparta – jeśli chodzi o usługi masowe – przez inne metody.
• Jednorazowe kody/hasła SMS – chyba najpopularniejsza obecnie forma, zwłaszcza w przypadku usług „masowych”, np. serwis transakcyjny w banku. Na zdefiniowany wcześniej numer telefonu w odpowiednim momencie przychodzi SMS z jednorazowym kodem, którym zatwierdzamy operację.
• Token programowy – działa podobnie jak token sprzętowy, tj. co zdefiniowany czas (zazwyczaj 20-30 sekund) generuje inny ciąg znaków. Rożnica względem tokena sprzętowego jest taka, że podobnie jak w przypadku jednorazowych haseł SMS „nośnikiem” dla specjalnego programu jest telefon, który i tak większość z nas ma zazwyczaj przy sobie. Zaletą względem kodów SMS jest choćby brak konieczności dostępu do sieci GSM, czy możliwość konfiguracji tokena na kilku urządzeniach – to dla nas, dla dostawcy usługi – nie ma kosztów wysyłki SMSów.

W serwisie wFirma wybrali wariant ostatni, czyli token programowy – co chyba jest obecnie optymalnym rozwiązanie…

Włączenie dwuetapowego logowania w wFirma

By aktywować dwuetapowe logowanie w serwisie wFirma wystarczy przejść do odpowiedniej opcji w ułatwieniach konta:

• Ustawienia > użytkownik > Globalne > Dwuetapowe logowanie

Podczas aktywacji należy zeskanować kod QR który pojawi się na ekranie odpowiednią aplikacją (więcej o nich za chwilę) i potwierdzić kodem który zostanie przez aplikację wygenerowany:

Od tego momentu podczas każdego logowania oprócz loginu i hasła będzie trzeba podać dodatkowy kod, wygenerowany przez aplikację:

Niby więcej roboty przy logowaniu, a jednak…

Nie wiem czy tak miało być, czy to „wypadek przy pracy” – ale mam nadzieję, że tak zostanie. Przed aktywacją dwuskładnikowego logowania po pewnym czasie „braku aktywności” w systemie następowało automatyczne wylogowanie, i by kontynuować prace trzeba było się ponownie zalogować.

Po aktywacji dwuskładnikowego logowania przez kilak już godzin system trzyma moją sesję (w zaufanej przeglądarce), co akurat jest pewnym plusem. Podczas logowania nie widziałem opcji w stylu:

Ufaj temu urządzeniu przez xx dni

Stąd moja obawa, że kilkukrotnie w ciągu dnia (oczywiście tylko wtedy gdy „księguje” ;-)) będę musiał sięgać po telefon/token…

Logowanie po wylogowaniu

Niestety nie obyło się bez małej wpadki – klikam „wyloguj”, a następnie „zaloguj” i w tym momencie następuję automatyczne zalogowanie do systemu, co w przypadku komputerów na których chcemy się zalogować „na chwile” jest „pewnym niedopatrzeniem”, bo teoretycznie uniemożliwia skuteczne wylogowanie się z systemu (może wystarczy wyczyścić ciasteczka, ale nie sprawdzałem).

Właśnie zgłosiłem problem, więc podejrzewam, że jest spora szansa, że problem zniknie zanim przeczytacie ten wpis ;-)

Problem został naprawiony, teraz przy wylogowaniu następuje czyszczenie ciasteczek, a tym samym do ponownego zalogowania nie wystarczy już kliknąć „zaloguj” ;-)

Jaki program?

Jeśli chodzi o tokeny programowe, to jest kilka do wyboru, ja korzystam z 2:

Google Authenticator

Poza dedykowanymi aplikacjami, to była pierwsza uniwersalna aplikacja która zagościła na moim telefonie z systemem Android. Prosta, czytelna – ale ma jeden minus: brak synchronizacji/kopii zapasowej (przynajmniej bez roota ;-)). Gdy zmienimy telefon i ponownie zainstalujemy aplikację wszystkie serwisy/tokeny musimy ułatwić jeszcze raz… Przy 2-3 kontach może to nie problem, ale przy większej ilości to już zabawa nawet na kilka godzin, a do tego czasem trzeba przebrnąć przez odpowiednie procedury związane z odzyskiwaniem dostępu do konta bez kodu z tokena.

Oczywiście brak synchronizacji można uznać też za zaletę, która podnosi w pewien sposób bezpieczeństwo, ale bez przesady… ;-)

Aplikację na urządzenia z systemem Android pobierzecie z Google Play

Authy

Aplikacja która zagościła na moim telefonie przy okazji aktywacji dwuskładnikowej autoryzacji w Cloudflare. Szybko zaczęła również pełnić funkcję zapasowej aplikacji do generowania kodów, a z czasem stała się podstawową…

Niewątpliwą zaletą aplikacji jest synchronizacja między wieloma urządzeniami – gdy dodamy nowe konto na jednym urządzeniu pojawi się ono na pozostałych. Sprawdzi się to również w przypadku gdy zajdzie potrzeba dodania dodatkowego/nowego urządzenia. Oczywiście cała procedura wydaje się dość dobrze przemyślana, tak by nie godziło to w bezpieczeństwo :-)

Choć ostatnio aplikacja złapała małego minusa za zmianę w wyglądzie/obsłudze wielu kont… Było zdecydowanie lepiej, zwłaszcza, gdy mamy więcej niż 3-4 konta…

Aplikację na urządzenia z systemem Android pobierzecie z Google Play

Inne systemy

Aplikacje zgodne z Google Authenticator są dostępne również na inne platformy, ale nie korzystam więc nie chcę jakiejś konkretnej aplikacji polecać…