Dvoufázové ověření přístupu

Kombinací kvalitního hesla ruku v ruce s používáním správce hesel jste svoji bezpečnost na internetu výrazně zvýšili a jak jsme si uváděli v úvodní kapitole, jste v 1 % nejlépe zabezpečených uživatelů. Pokud to ale s bezpečností myslíte doopravdy vážně, je třeba používat i druhou úroveň ověření přístupu. Může se totiž stát, že někdo Vaše heslo třeba odpozoruje při zadávaní na klávesnici. Našim cílem je tedy používat takovou úroveň autentifikace, že ani po ztrátě hesla se do Vašeho účtu nikdo nenabourá.


To, co znáte z prostředí elektronického bankovnictví, tz. jednorázová hesla doručovaná SMS zprávami, jsou přesně tím, co zabezpečení Vašich účtů dramaticky zvýší. Říká se tomu dvoufázové ověření přístupu (2-step verification). Kromě uživatelského jména a hesla se pro přístup vyžaduje ještě jeden stupeň ověření. Existuje celá řada způsobů jak ověření druhé úrovně získat, počínaje hardwarovými tokeny YubiKey (https://www.yubico.com/) a konče SMS zprávami s jednorázovými hesly. My se zaměříme na řešení formou SMS zpráv a také pomocí aplikace Google Authenticator.


Budete pravděpodobně překvapeni, kolik webových stránek a aplikací podporuje dvoufázové ověření přístupu. Na této stránce vidíme kompletní průběžně aktualizovaný seznam webů a aplikací s podporou dvoufázového ověření (a to buď formou SMS nebo Software Implementation = Google Authenticator). Z dlouhého seznamu vyberu jen ty nejznámější weby:


  • Dropbox

  • Google

  • Apple (včetně iCloud)

  • Microsoft (včetně Skype)

  • Lastpass

  • eBay

  • Facebook


Jaký typ doručení kódu si vybrat? SMS použijeme v případě, že nevlastními chytrý telefon. Nevýhodou doručení pomocí SMS je fakt, že jsme vázáni na přítomnost mobilního signálu. Pokud ale vlastníme chytrý telefon (Android, iPhone nebo Blackberry), nejlepší volbou je aplikace Google Authenticator, která funguje i v místech, kde není mobilní signál.


Další často kladenou otázkou je - "Nebude to příliš otravné, psát při každém přihlášení ještě jeden ověřovací kód?" Díky tomu, že si můžeme počítač označit za důvěryhodný, budeme na takovémto stroji zadávat kód jen jednou za měsíc. 


Scénář použití může být následující:

  • počítač doma (vlastní notebook) - označím za důvěryhodný

  • počítač v kabinetě - označím za důvěryhodný

  • počítač v internetové kavárně - neoznačím za důvěryhodný

  • počítač u známého - neoznačím za důvěryhodný


Ve výsledku tak mohu zadávat heslo jen několikrát za týden (když zrovna nepracuji na svém soukromém či pracovním notebooku).


Nastavení dvoufázového ověření pomocí SMS (SMS jsou Vám doručovány zdarma) nebo Google Authenticatoru pro jednotlivé poskytovatele.





Co mám dělat, pokud ztratím telefon a nemohu kódy získat? Existuje několik způsobů, jak problém vyřešit, které se liší poskytoval od poskytovatele. My se podíváme na možnosti, které nabízí Google:

1. Použijete sadu záložních jednorázových kódů, které jste si vytiskli nebo někde bezpečně šifrovaně uložili při aktivaci dvoufázového ověření.

2. Připojíte se z důvěryhodného počítače (těch, které jste si označili jako důvěryhodné) a dvoufázové ověření dočasně vypnete.

3. Počkáte na novou SIM kartu s původním tel. číslem

4. Vyplníte formulář pro ověření účtu (tuto cestu volte jen jako krajní možnost, trvá několik dní a budete muset odpovědět na celou řadu otázek tak, aby Google mohl ověřit, že jste skutečně majiteli účtu).

Pokud používáte Google Apps pro vzdělání, můžete požádat přímo administrátora školní domény, ať Vám dvoufázové ověření dočasně vypne.

Správce hesel/password managerGoogle účet a nastavení zabezpečení



Comments