Jak použít vícefaktorové ověřování pro správné zabezpečení svých účtů?

Přístup, který se v současnosti používá k online zabezpečení, a který se označuje výrazy dvoufaktorové, dvoufázové, nebo také vícefaktorové ověřování (zkráceně 2FA), představuje takový mechanismus pro zabezpečení, při němž se kromě hesla navíc vyžaduje zadání číselného kódu. Tento přístup se obecně vyžaduje při přístupu k nějaké online službě ze zařízení, z něhož jste se ještě nikdy nepřihlásili.

Zmiňovaný číselný kód se obvykle odesílá do vašeho mobilního telefonu. Z toho vyplývá, že pokud se kdokoliv dostane k vašemu heslu, se stejně k vašemu online účtu nedostane, pokud nebude mít současně fyzický přístup i k vašemu mobilnímu telefonu (a současně nebude vědět, jak jej odemknout).

Autor: Depositphotos

Přihlašování k vašemu účtu u služby, která toto vícefaktorové ověřování vyžaduje, je tedy poněkud komplikovanější, nicméně se ukazuje, že úroveň zabezpečení, kterou s sebou přináší, je skutečně výrazné, a proto není divu, že je řada technologických společností začalo vyžadovat.

Loni se tak zavedlo povinné vícefaktorové ověřování u služeb poskytovaných firmami Google a Amazon Ring. Současně je vícefaktorové ověřování ve výchozím nastavení zapnuto i u většiny služeb firmy Apple. Rovněž jsem si všiml, že vícefaktorové ověřování ve svých aplikacích a na internetových stránkách selektivně vynucuje i firma Amazon, která navíc při přihlášení na novém zařízení posílá textovou zprávou odkaz, na který je třeba klepnout.

Co se týče úrovně zabezpečení, pak určitě nelze pochybovat o přínosu tohoto způsobu ověřování, na druhou stranu přístup ke způsobu provádění vícefaktorového ověřování nemusí být z vaší strany pouze pasivní. Řada služeb využívá totiž vícefaktorové ověřování pouze v podobě zasílání ověřovacího kódu do mobilního telefonu, což je sice lepší než nic, bohužel je tento způsob náchylný k takovým potenciálně nebezpečným útokům, jako je například SIM hijacking. (Například v USA se Federální úřad pro komunikaci (FCC) začíná tímto problémem zabývat až teprve nyní). Navíc pokud telefon ztratíte nebo vám ho ukradnou, určitě přivítáte, pokud budete mít pro vícefaktorové ověření k dispozici nějakou záložní metodu.

Pokud tedy chcete vícefaktorové ověřování brát vážněji, je nejvyšší čas se seznámit se všemi možnostmi, které tento způsob nabízí:

Použijte aplikaci určenou pro ověření (tzv. authenticator)

Většina online služeb nabízí při ověřování kromě klasického zasílání ověřovacích kódů pro vícefaktorové ověření na mobilní telefon i možnost použít aplikaci pro ověření (tzv. authenticator), který v mobilním telefonu generuje číselné kódy. Tato aplikace pro ověření se pak synchronizuje s příslušnou online službou, a to obvykle naskenováním jednorázového QR kódu. Od tohoto okamžiku stačí při přihlašování do příslušné online služby z nového zařízení zadat číselný kód vygenerovaný touto aplikací.

Google Authenticator

Autor: PCWorld

Například firmy Google i Microsoft nabízí pro přihlašování ke svým službám vlastní aplikace pro ověření, které navíc fungují s celou řadou online služeb, nicméně já osobně dávám přednost aplikaci Authy. Je zdarma, a co je důležitější, můžete ji nainstalovat do více zařízení najednou. Aplikaci Authy mám nainstalovanou ve svém iPhonu, dále ve svém mobilním telefonu s operačním systémem Android, v iPadu, ve stolním počítači s operačním systémem Windows, v notebooku s operačním systémem Windows a konečně i v počítači Mac Mini, což jinými slovy znamená, že kódy pro vícefaktorové ověřování mám vždy v dosahu.

Toto pohodlí však s sebou nese určitý kompromis: jde o to, že při instalaci aplikace Authy na nové zařízení je třeba zadat vlastní ověřovací kód, který aplikace Authy posílá prostřednictvím textové zprávy. Tento kompromis ale aplikace Authy do jisté míry potlačuje dvěma způsoby: V první řadě v okamžiku, kdy chcete získat v novém zařízení přístup k zálohám, musíte rovněž zadat heslo, a v druhé řadě můžete instalaci aplikace Authy do nových zařízení kdykoliv zakázat. Chcete-li tuto možnost opět zapnout, budete potřebovat fyzický přístup k zařízení, kde je již aplikace Authy nainstalována.

Pokud máte sklon zapomínat hesla, pak bych se na aplikaci Authy až tak docela nespoléhal, protože v případě ztráty hesla aplikaci Authy neobnovíte. V každém případě platí, že pokud chcete mít co možná nejjednodušší přístup ke kódům pro vícefaktorové ověřování z mnoha zařízení včetně počítače, pak je aplikace Authy z tohoto pohledu takřka nepřekonatelná.

Místo SMS zprávy používejte e-mail nebo aplikaci pro vícefaktorové ověřování

Pokud jste někdy při přihlašování do služby Gmail na novém zařízení viděli ve svém mobilním telefonu zprávu, která se vás dotazuje, zda se právě pokoušíte přihlásit, pak vězte, že se jedná o způsob vícefaktorového ověřování, které využívá existující přihlášení na jednom zařízení k přihlášení na jiném zařízení. Podobně vám některé služby mohou při přihlašování na novém zařízení zasílat ověřovací kód e-mailem.

Oba výše popisované přístupy jsou v každém případě lepší než získávání kódů prostřednictvím textových zpráv – minimálně z toho pohledu, pokud můžeme počítat s tím, že máte svoje vaše zařízení i e-mailový účet zabezpečeno samo o sobě. Navíc můžete tento způsob ověřování nastavit společně s aplikací pro ověřování, jako je například právě aplikace Authy. Když máte tedy povoleno vícefaktorové ověřování, získáte tímto způsobem více možností, jak se do svých účtů dostat.

Přístupové kódy můžete mít i vytištěné nebo je mít na bezpečnostním klíči

Pokud chcete mít skutečnou jistotu, že se ke svým online účtům přihlásíte skutečně kdykoliv, umožňují některé služby navíc vytisknout záložní kódy nebo použít pro účely vícefaktorového ověřování v zařízení bezpečnostní klíč USB.

V loňském roce jsem si například nastavil pro přístup ke svým účtům Gmail, Microsoft, Twitter a Stripe bezpečnostní klíč Yubico, takže pokud se budu potřebovat přihlásit na novém zařízení, stačí namísto aplikace Authy jen připojit hardwarový klíč. Pokud chcete vědět, u kterých služeb můžete klíč Yubico použít, pak se podívejte na příslušnou internetovou stránku firmy Yubico.

Externí USB klíč pro ověřování

Autor: Depositphotos

Pokud je to možné, přihlaste se pomocí služby Google nebo Apple

Když už si dáte tu práci se zabezpečením účtu Google nebo Apple, určitě nebude od věci zvážit jejich použití pro přihlašování na jiných webech, které tuto funkci podporují. Já osobně například často používám na všech internetových stránkách, které to nabízejí, přihlašování pomocí účtu Google, protože díky tomu nemusím vytvářet další heslo a současně mám jistotu, že dané internetové stránky mají nastavenu stejnou úroveň zabezpečení jako můj účet Google.

Vlastní konfigurace vícefaktorového ověřování

V tomto odstavci se dostávám k poněkud složitější problematice: Jde o to, že ne každá aplikace nebo online služba funguje se všemi možnostmi ověřování, které jsem právě popsal. Některé nemusí podporovat fyzické bezpečnostní klíče nebo ověřování pomocí e-mailu. Jiné nemusí poskytovat jako záložní metodu klíče, které si vytisknete. A některé další pak mohou nabízet pouze dvoufaktorové ověřování pomocí zasílání textových zpráv, popřípadě vícefaktorové ověřování vůbec nenabízet.

To samozřejmě neznamená, že byste se měli v takových případech vícefaktorovému ověřování zcela vyhnout. Místo toho byste měli používat pro přístup ke každému ze svých účtů vždy ty nejlepší dostupné možnosti přihlášení, a to počínaje těmi, na kterých jsou uložena vaše nejdůležitější data. Pokud jsou možnosti vícefaktorového ověřování pro danou službu omezené nebo nedostupné, je o to důležitější spoléhat se na silná hesla – nejlépe generovaná správcem hesel.

Tak co, jste připraveni se s vícefaktorovým ověřováním poprat? Pak věnujte pozornost následujícím rychlým způsobům nastavení vícefaktorového ověřování v aplikacích Google, Microsoft, Yahoo, Amazon, Facebook, Twitter, LinkedIn a Apple. Dobrý seznam návodů pro nastavení vícefaktorového ověřování na dalších webech s možností vyhledávání naleznete i na internetových stránkách aplikace Authy.