[go: up one dir, main page]

We współpracy z Ministerstwem Cyfryzacji, oraz NASK i CERT Polska rozpoczęliśmy kampanię edukacyjną poświęconą zapewnieniu dodatkowego poziomu bezpieczeństwa dzięki weryfikacji dwuetapowej. Zależy nam na zwiększeniu świadomości dotyczącej zagrożeń związanych z przejęciem kont online. Chcielibyśmy również zachęcić do stosowania dodatkowych zabezpieczeń poprawiających bezpieczeństwo użytkowników i użytkowniczek. 

Zeszłoroczne badanie świadomości Polek i Polaków z zakresu cyberbezpieczeństwa przeprowadzone dla Google przez CBM Indicator* wykazało, że o phishingu słyszało 47% z nas, o ataku DDoS 21%, a o ransomware zaledwie 16%.


Obecnie większość naszych codziennych spraw załatwiamy w internecie, np. finansowych lub urzędowych, szukamy rozrywki, robimy zakupy. Niską świadomość zagrożeń próbują wykorzystać cyberprzestępcy. W 2022 roku zespół CERT Polska odnotował ponad 322 tys. zgłoszeń zagrożeń cyberbezpieczeństwa - to wzrost o blisko 178% w porównaniu z rokiem 2021. 

Również agresja Rosji na Ukrainę przyczyniła się do wzmożenia aktywności cyberprzestępców. Z raportu „Fog of War”, przygotowanego przez zespół Google Threat Analysis Group (TAG) i Mandiant (wchodzącego w skład Google Cloud), wynika, że liczba osób w państwach NATO, które doświadczyły ataków w internecie w 2022 roku wzrosła o ponad 300% w porównaniu do roku 2020. 

Dwa składniki, które pomagają w dbaniu o bezpieczeństwo w sieci 

Jednym ze sposobów zwiększenia bezpieczeństwa w internecie jest weryfikacja dwuetapowa. Według wspomnianego badania przeprowadzonego przez CBM Indicator, o tej formie zabezpieczenia słyszało 66% badanych. Niestety korzysta z niego tylko 50% z nas. 

Weryfikacja dwuetapowa, zwana również uwierzytelnianiem dwuskładnikowym, logowaniem dwuetapowym itp., jest prostym zabezpieczeniem, które w wyraźny sposób zwiększa nasze bezpieczeństwo w internecie. Przy logowaniu do naszego konta w banku, na maila lub do innej usługi, oprócz podania loginu i hasła, musimy również uwierzytelnić się przy użyciu telefonu, tabletu lub innego urządzenia. Zazwyczaj na nasz telefon przychodzi dodatkowy, jednorazowy pin, token lub hasło, który następnie musimy wpisać na stronie, na którą chcemy się zalogować. Możemy również korzystać ze specjalnych aplikacji, np. Google Authenticator. 

Mimo że jest to bardzo proste zabezpieczenie, w wyraźny sposób ogranicza ryzyko przejęcia naszych kont.

Wspólna kampania Google, Ministerstwa Cyfryzacji oraz NASK i z CERT Polska 

Kampania ma na celu zwiększenie świadomości dotyczącej zagrożeń związanych z przejęciem kont online i zachęcić do stosowania dodatkowych zabezpieczeń zwiększających bezpieczeństwo użytkowników. 

Kampania edukacyjno-informacyjna, którą przygotowaliśmy wspólnie z Ministerstwem Cyfryzacji oraz NASK i wraz z CERT Polska, jest współfinansowana ze środków Unii Europejskiej. Realizujemy ją w internecie, telewizji, radiu i prasie. 

To nasze kolejne działanie realizowane na rzecz zwiększania cyberbezpieczeństwa. Poza publikacją raportów i badań, uruchomiliśmy w tym roku specjalny program akceleracyjny dla startupów zajmujących się cyberbezpieczeństwem. Do udziału w programie Google for Startups Growth Academy: Cybersecurity wybrano 15 młodych firm, w tym jedną z Polski - krakowski startup Secfense. 

Skąd czerpać wiedzę? 

Wiedzę na temat weryfikacji dwuetapowej powinniście czerpać ze sprawdzonych źródeł. Zespół CERT Polska, działający w strukturach NASK, na potrzeby kampanii uruchomił specjalną stronę www.cert.pl/2etapy. Udostępniono tam dodatkowe materiały na temat weryfikacji dwuetapowej. Dowiecie się z niej, na czym polega to rozwiązanie i jak je uruchomić na popularnych kontach w sieci, takich jak e-mail czy media społecznościowe.


* Badanie zrealizowano na grupie dorosłych polskich respondentów i respondentek (N=1000) i przeprowadzono w dniach od 3 do 17 października 2022 roku, z wykorzystaniem metody CATI. Sumaryczny maksymalny błąd oszacowania nie przekroczył poziomu ±3 proc.



Artur Kuliński, ekspert ds. cyberbezpieczeństwa, Google Cloud

W dzisiejszych czasach hasła mają zasadnicze znaczenie dla bezpieczeństwa w internecie, ale zagrożenia, takie jak phishing, oszustwa i niska cyber świadomość użytkowników, którzy często używają tego samego hasła w wielu miejscach, nadal stanowią dla nich zagrożenie. Google od dawna ma świadomość tych problemów, dlatego stworzyliśmy zabezpieczenia takie jak weryfikacja dwuetapowa i Menedżer haseł Google.

Jednak, aby naprawdę rozwiązać problemy z hasłami, musimy całkowicie wyjść poza nie, dlatego od ponad dekady przygotowujemy grunt pod przyszłość bez haseł.

Dziś, z okazji Światowego Dnia Hasła, ogłaszamy ważne osiągnięcie na tej drodze: planujemy wdrożyć bezhasłową obsługę standardów logowania FIDO w Chrome, ChromeOS i na Androidzie. Apple i Microsoft również ogłosiły, że zaoferują wsparcie dla swoich platform. Dzięki temu logowanie na różnych urządzeniach, stronach i w aplikacjach będzie łatwiejsze – niezależnie od platformy – i nie będzie wymagało wpisywania hasła. 

Jak będzie wyglądała przyszłość bez haseł? 

Logowanie na stronie lub w aplikacji na telefonie będzie wymagało tylko odblokowania telefonu – nie będzie już trzeba podawać hasła do konta. 

Zamiast tego na telefonie zostanie zapisany klucz uwierzytelniający FIDO, który będzie służył do odblokowywania konta. Logowanie za pomocą takiego zaszyfrowanego klucza jest o wiele bezpieczniejsze, ponieważ informacje potrzebne do uwierzytelnienia są przekazywane tylko do konta online danego użytkownika w momencie odblokowania telefonu. 

Z kolei aby zalogować się na stronie na komputerze, wystarczy mieć pod ręką telefon i odblokować go, gdy system o to poprosi. Kiedy już użytkownik to zrobi, kolejnym razem telefon nie będzie mu potrzebny – logowanie będzie się odbywało automatycznie po odblokowaniu komputera. Nawet jeśli stracisz lub zgubisz telefon, klucze uwierzytelniające bezpiecznie zsynchronizują się z nowym urządzeniem, korzystając z kopii zapasowej w chmurze, dzięki czemu nowy telefon będzie od razu działał tak jak poprzedni.




Przygotowujemy się na przyszłość bez haseł od wielu lat 




Wprowadzenie kluczy przybliża nas do bezhasłowej przyszłości, o której myślimy od ponad dekady. Oto podsumowanie innowacji, dzięki którym wprowadzenie tego rozwiązania będzie możliwe.
  • Menedżer haseł Google: W 2008 roku udostępniliśmy pierwszą wersję naszego menedżera haseł, który umożliwia proste i bezpieczne logowanie bez konieczności pamiętania i wpisywania hasła. 

  • Weryfikacja dwuetapowa: W 2011 roku Google był pierwszą firmą, która wprowadziła weryfikację dwuetapową, zapewniając w ten sposób użytkownikom bezpieczeństwo i łatwość logowania. 

  • Klucz bezpieczeństwa dla pracowników Google: W 2012 roku stworzyliśmy kompleksowe rozwiązanie nazwane “Kluczem Bezpieczeństwa”, uniemożliwiające ataki phishingowe na pracowników Google. Po naszej stronie było stworzenie wsparcia dla Chrome, nasz partner Yubico dostarczył urządzenie, a NXP dostarczył chip. Wszyscy stworzyliśmy protokół dla klucza bezpieczeństwa. 

  • Dołączenie do organizacji FIDO Alliance: W 2013 roku firma Google wraz z partnerami rozwojowymi dołączyła do FIDO Alliance – stworzonej kilka miesięcy wcześniej organizacji, której celem jest wprowadzenie otwartego standardu bezhasłowego. 

  • Klucze bezpieczeństwa dla wszystkich: W 2014 roku zaczęliśmy oferować wszystkim użytkownikom klucze bezpieczeństwa oparte na otwartym standardzie FIDO. Tym samym, po raz pierwszy w historii, użytkownicy kont konsumenckich mogli zacząć korzystać z odpornej na phishing metody logowania. 

  • Odporne na phishing konta firmowe: Na początku 2017 roku wprowadziliśmy na kontach firmowych ustawienia umożliwiające administratorowi wymuszenie na kontach użytkowników korzystania z klucza bezpieczeństwa i wyłączenie innych opcji logowania narażonych na ataki phishingowe, takich jak hasła tradycyjne lub jednorazowe (OTP). 

  • Program ochrony zaawansowanej (APP): W kolejnych miesiącach 2017 roku wdrożyliśmy program APP, w ramach którego oferujemy zaawansowane zabezpieczenia, w tym klucze bezpieczeństwa, osobom zajmującym eksponowane stanowiska lub bardziej narażonym na cyberataki. 

  • Klucz bezpieczeństwa Titan: W 2018 roku udostępniliśmy w sklepie Google Store klucz bezpieczeństwa Titan. Produkt jest odpowiedzią na otrzymywane przez nas prośby od osób biorących udział w programie APP i od innych użytkowników Google o stworzenie rozwiązania od początku do końca opracowanego przez Google. Klucze bezpieczeństwa Titan są zgodne ze standardami FIDO i można z nich korzystać na każdej stronie obsługującej logowanie za pomocą klucza bezpieczeństwa. 

  • Wbudowane klucze bezpieczeństwa na urządzenia mobilne: W 2019 roku wprowadziliśmy w Androidzie funkcję wbudowanego klucza bezpieczeństwa. W 2020 roku udostępniliśmy ją także na iPhone’ach. 

  • Ponowne uwierzytelnienie bez podawania hasła: W 2019 roku rozszerzyliśmy obsługę standardu FIDO na Androidzie, aby na każdej stronie było możliwe ponowne zalogowanie się za pomocą PIN-u lub danych biometrycznych, bez podawania hasła. 

  • Przygotowania do przyszłości bez haseł: Rozszerzona obsługa standardu FIDO, którą dziś ogłaszamy, umożliwi wdrożenie na stronach internetowych kluczy uwierzytelniających, o których wspomnieliśmy wcześniej. Udostępnienie obsługi takich kluczy w całej branży w 2022 i 2023 roku pozwoli na stworzenie platformy internetowej, na której w przyszłości nie będzie konieczne korzystanie z haseł. 

Nie możemy się doczekać przyszłości, w której do logowania będziemy używać kluczy uwierzytelniających. Zdajemy sobie sprawę, że musi upłynąć trochę czasu, zanim ta technologia będzie dostępna na wszystkich urządzeniach, tak aby programiści stron i aplikacji mogli ją powszechnie wykorzystywać. W międzyczasie nadal będziemy używać tradycyjnych haseł, dlatego zamierzamy cały czas wprowadzać innowacje w istniejących usługach i pracować nad tym, aby konwencjonalne metody logowania stawały się coraz bezpieczniejsze i łatwiejsze w użyciu.



Sampath Srinivas, PM Director, zespół ds. bezpieczeństwa uwierzytelniania Google i prezes FIDO Alliance




Phishing, czyli sytuacja gdy atakujący próbuje nakłonić użytkownika do przekazania online wrażliwych danych, jest najczęstszym naruszeniem bezpieczeństwa w internecie. Zapobieganie atakom tego typu jest poważnym wyzwaniem zarówno dla firm, jak i dla zwykłych użytkowników. W Google udaje nam się automatycznie blokować większość prób złośliwego logowania na Wasze konta (nawet jeśli atakujący zna nazwę użytkownika lub hasło!), ale pomocna w tym przypadku jest również dodatkowa ochrona.



Weryfikacja dwuetapowa (oznaczana również jako 2SV - Two Step Verification), polegająca na dodaniu kolejnej czynności w procesie logowania, znacznie utrudnia atakującemu uzyskanie dostępu do konta. Mimo że każda jej forma zwiększa bezpieczeństwo w sieci, to zaawansowani napastnicy nadal mogą omijać niektóre z jej postaci, takie jak na przykład kody SMS czy powiadomienia push. Najczęściej odbywa się to poprzez tworzenie fałszywych stron logowania i wykradanie danych uwierzytelniających.


Uważamy, że klucze bezpieczeństwa, oparte na standardach FIDO, jak nasz Titan Security Key to obecnie najsilniejsza i najbardziej odporna na phishing ochrona. Takie fizyczne klucze bezpieczeństwa najskuteczniej chronią Wasze konta przed oszustami, ponieważ wymagają, aby ich fizycznie dotknąć podczas podejrzanych lub nierozpoznanych prób logowania.


Teraz będziecie mieć jeszcze jedną opcję na skuteczną ochronę w sieci, która jest już w Waszych kieszeniach. Od dziś, kluczem bezpieczeństwa, w wersji beta, może być Wasz telefon! Dzięki temu rozwiązaniu dostęp do niezwykle silnej ochrony przed atakami jest o wiele łatwiejszy i wygodniejszy - nie musicie nosić ze sobą żadnych dodatkowych kluczy bezpieczeństwa, wystarczy ten, który macie zawsze przy sobie. Możecie używać tego rozwiązania do ochrony swojego osobistego Konta Google, a także do zabezpieczenia danych przechowywanych na koncie Google Cloud w pracy. Polecamy go także osobom z naszego programu Ochrony zaawansowanej - dziennikarzom, aktywistom, liderom biznesu i zespołom prowadzącym kampanie polityczne, którzy są najbardziej narażeni na ataki online.

Aby zalogować się do Waszych kont Google na komputerach, wykorzystajcie klucz bezpieczeństwa wbudowany w telefonach z Androidem.

Jak uaktywnić swój wbudowany klucz bezpieczeństwa? Wystarczy telefon z systemem Android w wersji 7.0 lub wyższej i komputer z systemem Chrome OS, MacOS X lub Windows 10 z przeglądarką Chrome. Oto jak to zrobić:

  1. Dodajcie swoje konto Google do telefonu z Androidem,
  2. Upewnijcie się, że uaktywniliście na nim weryfikację dwuetapową.
  3. Na komputerze odwiedźcie ustawienia 2SV i kliknijcie „Dodaj klucz bezpieczeństwa”
  4. Wybierzcie swój telefon z Androidem z listy dostępnych urządzeń - i gotowe!

Podczas logowania upewnijcie się, że Bluetooth jest włączony zarówno w telefonie, jak i na urządzeniu, na którym się logujecie. Polecamy również zarejestrowanie zapasowego klucza bezpieczeństwa na Waszym koncie i przechowywanie go w bezpiecznym miejscu, abyście mogli dostać się do konta, jeśli na przykład zgubicie telefon. Dodatkowy klucz pozyskacie od wielu dostawców. Możecie też skorzystać z naszego Titan Security Key.

Najlepsze zabezpieczenie Waszych kont, znajdziecie teraz we własnych kieszeniach.

Arnar Birgisson, Software Engineer & Christiaan Brand, Product Manager, Google https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGPgx6WBoObGYNXl8XuOPQ5Pcop5WQ55TLgUrej9hyh7l5vaY70Upk_ZhLfcVWBe4CyMUJcPTzxyL-u2MnKgzwONFfm6CxnhbJcyKOnI-bFHFuQ-QtpRgCDgSqrx_yM89BqTd53A/s1600/klucz+bezpiecze%25C5%2584stwa_grafika.gif Arnar Birgisson Software Engineer & Christiaan Brand, Product Manager Google