Autentificarea rezistentă la phishing, noua frontieră în securitatea conturilor online

Multă vreme, sfatul standard pentru securitatea conturilor a fost simplu: folosește o parolă puternică. Cu litere mari și mici, cifre, simboluri, lungime generoasă și, ideal, o parolă diferită pentru fiecare serviciu. Însă atacurile s-au schimbat, iar infractorii nu mai încearcă să ghicească parola – de multe ori, te păcălesc să le-o dai singur.

Phishingul, amenințarea care ocolește parolele puternice

Primești un email care pare de la bancă, un SMS despre un colet, o notificare falsă de la Microsoft, Google sau Apple. Apeși pe un link, ajungi pe o pagină aproape identică cu cea reală, introduci parola și, eventual, codul primit prin SMS sau generat de aplicația de autentificare. În câteva secunde, atacatorul poate folosi acele date pe site-ul real. Parola poate fi excelentă, lungă și unică, dar dacă o introduci pe o pagină falsă, nu mai contează cât de bine a fost construită.

Autentificarea cu doi factori nu mai este de ajuns

Autentificarea cu doi factori (2FA) a fost introdusă pentru a reduce riscul: chiar dacă cineva îți află parola, mai are nevoie de un cod suplimentar. Însă nu toate metodele 2FA sunt egale. Codurile prin SMS pot fi interceptate sau furate prin atacuri de tip SIM swap. Codurile din aplicații precum Google Authenticator sunt mai bune, dar pot fi introduse pe o pagină falsă. Apar astfel atacurile de phishing în timp real: tu introduci parola și codul pe site-ul fals, iar atacatorul le folosește imediat pe site-ul real. Unele platforme frauduloase acționează ca un intermediar invizibil între tine și serviciul autentic.

Ce este autentificarea rezistentă la phishing?

Autentificarea rezistentă la phishing este o metodă prin care datele necesare accesului nu pot fi reutilizate de atacator pe alt site. Cele mai cunoscute exemple sunt cheile de securitate fizice și passkey-urile bazate pe standarde moderne precum FIDO2 și WebAuthn. În loc să introduci o parolă și un cod care pot fi copiate, dispozitivul tău confirmă criptografic că te autentifici pe domeniul corect.

Diferența este esențială. Când folosești o parolă, transmiți un secret către un site. Dacă site-ul este fals, secretul ajunge la atacator. Când folosești o cheie de securitate sau un passkey, secretul nu este tastat și nu părăsește dispozitivul. Browserul verifică domeniul, iar autentificarea funcționează doar dacă ești pe site-ul legitim. O pagină falsă care imită banca sau contul de email nu poate obține aceeași confirmare.

Cheile de securitate fizice și passkey-urile

Cheile de securitate fizice sunt dispozitive mici, de tip USB, NFC sau Bluetooth, pe care le conectezi sau le apropii de telefon ori laptop la autentificare. Exemple cunoscute sunt YubiKey sau alte chei compatibile FIDO. În momentul autentificării, cheia confirmă că cererea vine de la domeniul corect. Dacă ai ajuns pe un site clonat, cheia nu va valida autentificarea pentru acel domeniu fals.

Passkey-urile duc aceeași idee într-o formă mai comodă pentru utilizatorul obișnuit. În loc să folosești o parolă, autentificarea se face prin biometrie sau PIN pe dispozitiv, iar cheia privată rămâne stocată local. Astfel, chiar dacă ești păcălit să accesezi un site fals, atacatorul nu poate prelua datele de autentificare.

Concluzie: parola puternică nu mai este suficientă

O parolă puternică rămâne importantă, dar nu mai este suficientă pentru conturile care contează. Dacă folosești aceeași parolă pe mai multe site-uri, o breșă la un serviciu mic poate compromite conturi importante. Chiar și cu parole unice și lungi, phishingul rămâne o amenințare reală. Întrebarea nu mai este „am o parolă bună?”, ci „metoda mea de autentificare poate fi folosită pe un site fals?”. Dacă răspunsul este da, contul nu este complet protejat. Soluția vine din metode criptografice precum cheile de securitate și passkey-urile, care fac autentificarea rezistentă la phishing.