Browsed by
Tag: security

Co je a jak používat dvoufaktorovou autentizaci

Co je a jak používat dvoufaktorovou autentizaci

Dneska tu mám jeden mininávod z oblasti bezpečnosti. Text měl být původně jen pár odstavci v jiném článku, ale nakonec se mi to dost rozrostlo, takže vydávám jako samotatný návod.

Ačkoli jsem o 2FA začal původně psát v kontextu zabezpečení kryptoburz, je 2FA autentizace ideální nástroj pro zabezpečení také například emailových účtů (například Gmail či další), nebo LastPassu, Skrillu, Coinbase či dalších služeb. Osobně používám 2FA naprosto všude, kde to jde.

Ani sebelepší a sebebezpečnější služba totiž není sama o sobě zárukou bezpečnosti.  Je potřeba si svůj účet pořádně zabezpečit. A tím nemyslím jen nepoužívat hesla jako 123Password a podobně. Samozřejmostí by mělo být unikátní heslo pro každou službu (ideálně pomocí LastPass, které hesla generuje i ukládá), ale ani to nemusí stačit.

Proto to nejlepší, co pro svůj účet můžete udělat, je začít využívat také dvoufaktorovou autentizaci. To znamená, že na přihlášení nestačí jen uživatelské jméno a heslo, ale ještě pak nějaká další externí informace, kterou prokáže, že jste to opravdu vy. (Takže pak ani krádež hesla či celého LastPass účtu s Vašimi hesly by nijak nevadila, jelikož bez 2FA se dovnitř prostě nedostanou).

Bohužel se nyní hojně využívá a chybně označuje jako dvoufaktorová autentizace SMS kód. To ovšem 2FA není. Problém totiž je, že se SIM karta dá snadno zkopírovat a kód poslat kamkoli. Na to teď například doplatil  i nějaký Američan, co žaluje AT&T operátora, jelikož mu tak někdo díky kopii SIM karty (kterou získal diky vydávání se za něj) ukrad $24.000.000 v jeho kryptoměnách.

No, takže SMS klíč rozhodně ne. To co je ideální je generátor náhodných kódů. Tyto kódy generuje nějaké zařízení a generuje stejné kódy jako služba, kterou máte takto zabezpečenou. Generátor je synchronizován pouze s Vašim zařízením, navíc je zaheslovaný Vaším heslem. Takže se nikdo jiný nemůže za Vás vydávat a napáchat tak nějaké škody na Vašich účtěch.

První rozšířená aplikace na 2FA přihlašování byl Google authentizátor. Bohužel, ačkoli je to aplikace od Googlu, neumí se zálohovat ani synchronizovat na jiná zařízení. Takže když ztratíte nebo se Vám rozbije mobil, máte problém. Sice né neřešitelný, ale dost to komplikuje život (o tom dále).

Naštěstí je tu o dost vymazlenější aplikace s názvem Authy. Ta umí přesně to stejné, co Google autentizátor, ale navíc to umí zálohovat do cloudu, zabezpečit vše heslem a synchronizovat na více zařízeních. Takže přesně to, co byste od takové aplikace očekávali.

Aplikaci si nejpre nainstalujte na Váš mobil a zvolte si bezpečnostní heslo. Pod tímto heslem budou zašifrována Vaše data a toto heslo musíte zadat na všech zařízeních, kde budete chtít mít ke generátoru přístup.

Po instalaci pak můžete rovnou přejít k registraci služby, na které jde 2FA zapnout. Jako ukázku jsem si vybral můj účet na BitMEXu, ale samotné zapnutí a využívání je velmi podobné i kdekoli jinde.

V sekci Security najděte položu Enable Two-Factor Auth. Na výběr jsou většinou dva typy 2FA. Tím jedním je Google Authenticator, tzn formát, o kterém zde píšu. A tím druhým pak Yubikey. To je samostatné zařízení, které rovněž generuje kódy. Jen má trochu jiný generátor, takže spolu s Google Authenticatorem nejsou kompatabilní.

Po vybrání Google Authenticator se Vám ukáže nějaká takováto tabulka. Samozřejmě bude službu od služby trochu jiná, ale podstata zůstavá.

Důležité jsou tu tři věci. Tím prvním je čárový kód, který pomocí Authy aplikace vyfotíte. Tím se spáruje webová služba s Vaším generátorem, takže budou obě schopné generovat stejné klíče a tím ověřit, že jste to opravdy Vy.

Než ovšem čárový kód nascanujete, zapiště si někam na super-bezpečné místo kód uvedený v horní části obrazovky. Tento kód totiž obsahuje stejné informace jako čárový kód. A pokud by se Vám například poškodily data v Authy, pomocí tohoto kódu jste schopni znovu telefon (nebo jiné zařízení) spárovat s generátorem kódu.

Další variantou pak je vytisknout celou obrazovku včetně čárového kódu a někam bezpečně založit. Když píšu bezpečně, znamená to někam, kam se Vám nikdo nedostane. Pokud totiž k tomuto kódu získá kdokoli přístup, dostane se pak kamkoli kam vy.

Takže, pokud máte kód bezpečně zazálohovaný, vyfoťte čárový kód a přidejte si danou aplikaci do Vaší Authy aplikace.

Potvrďtě přidání a na další obrazovce se Vám již zobrazí první vygenerovaný kód. Ten se bude každých cca 30 sekund automaticky měnit.

Takto vygenerovaný kód pak zadejte do dolního boxu na webové stránce. Tím ověříte, že je Váš telefon správně spárován s cílovou službou.

Po zapnutí 2FA Vás obvykle služba odhlásí a donutí Vás znovu přihlásit již za použití 2FA kódu. Jak můžete vidět dole na obrázku, nyní zadávám svůj email, heslo a 2FA token z mobilu.

A tím máte Váš účet zabezpečený. Od teď, i když Vám někdo ukradne Vaše heslo, se do účtu nedostane.

Další velká výhoda 2FA je, že Vás ochrání proti podvodným stránkám, kdy někdo udělá vizuální kopii zabezpečené stránky se snahou z Vás vylákat Váš email a heslo. Ovšem díky 2FA to není takový problém. I když mu totiž zadáte Váš 2FA kód, tak ten platí jen 30 sekund a navíc se dá použít jen jednou. Většina služeb má ale všechny kritické operace chráněné 2FA klíčem. Takže například na burze, i kdyby se Vám dostal do účtu, tak už neprovede žádný výběr nebo převod peněz. Na to by totiž potřeboval už další kód a ten mít nebude.

Jak vidíte, je 2FA opravdu velmi účinný prostředek, jak zabezpečit Vaše účty. Za cenu trochu malého nepohodlí ve formě zadávání 2FA klíče získáte absolutní ochranu před neoprávněným vstupem do Vašich účtů. Navíc 2FA kód většinou nezadáváte vždy, ale jen jednou za čas na novém zařízení, nebo po uplynutí nějaké doby.

Doufám, že dnešní mininávod donutil alespoň pár čtenářů zi 2FA zapnout a začít používat. Pokud ano, měl smysl :).