W obliczu coraz częstszych cyberataków, w szczególności phishingu, gdzie szczególnie łatwo o utratę danych, dostawcy usług starają się zdobyć zaufanie klientów oferując możliwie najbezpieczniejsze standardy dostępu. Nie inaczej postąpiło Xiaomi, które wdraża dwuetapową weryfikację logowania w MIUI 10.
Zgodnie z informacjami, udostępnionymi przez Google, szacuje się, że użytkownicy, którzy włączyli na swoich kontach dwuetapową weryfikację są skutecznie bronieni przed 100% ataków zautomatyzowanych, 96% wykorzystujących phishing oraz 76% ataków ukierunkowanych na konkretny cel. Wszystko to było możliwe dzięki weryfikacji logowania poprzez kod SMS wysyłany na zaufany numer telefonu.
Google: weryfikacja dwuetapowa skuteczną metodą na ochronę konta
Wykorzystanie dwuetapowej weryfikacji istotnie czyni atak zautomatyzowany nieskutecznym. Nawet zakładając, że zabezpieczenia danej strony zostały skompromitowane i wyciekły dane logowania użytkowników, w dalszym ciągu nie daje to dostępu do kodów autoryzujących. Podobnie sprawa wygląda w przypadku phishingu. Zakładając logowanie na podstawionej stronie użytkownik podaje login i hasło, jednak nie dostanie żadnej odpowiedzi z narzędzia zabezpieczającego, bowiem to musi zostać wzbudzone prawdziwym logowaniem. Nawet przy błyskawicznym czasie reakcji hakera pojawią się opóźnienia, które powinny zaalarmować nieświadomego użytkownika.
Xiaomi postanowiło jednak nie posługiwać się autoryzacją kodami SMS. W zamian za to, do MIUI 10 została dodana funkcja autoryzacji logowania. Działa to nieco podobnie, jak w ekosystemie Apple. Próba logowania na nowym urządzeniu przyniesie skutek w postaci wysłania ostrzeżenia na wszystkie dotychczas uwierzytelnione sprzęty. Tutaj jednak zaczynają się różnice. Posiadacz konta Mi Account dostanie bowiem do wyboru, podczas konfiguracji zabezpieczeń, czy do autoryzacji nowego logowania wystarczy jego zatwierdzenie kliknięciem na zaufanym urządzeniu, czy podanie kodu. O ile ta pierwsza opcja jest szybsza, o tyle pełne bezpieczeństwo zapełnia wyłącznie drugi wariant. Dzieje się tak dlatego, że to ten sam użytkownik musi wprowadzić kod logowania na nowym sprzęcie.
Lepiej późno niż wcale, to pierwsze słowa, które przychodzą do głowy po przeczytaniu informacji o najnowszych zamierzeniach Xiaomi w kwestii bezpieczeństwa. Należy bowiem pamiętać, że nieautoryzowane logowanie nie tylko sprowadzi zagrożenie wycieku danych zgromadzonych w Mi Cloud – podanie loginu i hasła do konta Mi Account wymagane jest również do wysłania prośby o odblokowanie bootloadera w danym urządzeniu. Konsekwencje uzyskania kontroli nad smartfonem mogą być bardzo dotkliwe.
*Na zdjęciu tytułowym Xiaomi Mi 8 Pro (pod linkiem znajdziecie jego recenzję przygotowaną przez Kasię)
Źródło: XDA-Developers