Heslo zastarává víc a víc. Bezpečnostní experti proto doporučují používat moderní dvoufaktorové ověřování (Two-Factor Authentication - 2FA). Tato metoda je v praxi bezpečnější než hesla, která lze často uhodnout, nebo se mohou dostat do nesprávných rukou a pak být zneužita.
2FA má však také háček: tato technika je založena na dvou různých faktorech. První faktor se obvykle skládá z uživatelského jména a hesla, jak tomu bylo doposud. Druhým faktorem je pak kód vygenerovaný na druhém zařízení, který je rovněž nutné zadat při přihlašování. Pouze s oběma faktory dohromady se lze úspěšně přihlásit. Ale právě v tom spočívá ten problém. Pokud z jakéhokoli důvodu ztratíte přístup k druhému faktoru, nemůžete se již k propojené službě přihlásit.
Většina poskytovatelů služeb to ví, a proto nabízí i alternativní možnost, abyste se mohli ověřit i v případě, kdy například ztratíte svůj chytrý telefon. Až dosud mnoho uživatelů podceňovalo riziko zablokování účtu po přechodu na 2FA. Při aktivaci dvoufaktorového ověřování přehlíželi možnost vytištění nouzových kódů nebo nastavení jiné 2FA metody. Někteří poskytovatelé na tuto možnost také dostatečně důrazně neupozorňují a uživatele nevarují.
Potvrzení ve dvou krocích: po aktivaci 2FA je přihlášení například do služby Google možné pouze pomocí dvou faktorů. | Zdroj: Google
Pak se totiž může stát, že si účet zablokujete. Přesně to se také stalo mě, autorovi článku, s mým účtem na Googlu: Jen na chvíli jsem povolil známému, aby se přihlásil k mému účtu na Googlu na jeho počítači a stáhl si několik fotografií. Abych to mohl udělat, musel jsem se odhlásit. Když jsem se chtěl později znovu přihlásit, potřeboval jsem také bezpečnostní token, který byl uložen jako druhý faktor. Ten už jsem ale nemohl najít. Google sice pro tyto případy nabízí záložní kódy, ale já jsem si je neuložil. Zbývala tedy jediná možnost, a to nechat heslo resetovat. To však obvykle trvá několik dní. Měl jsem nakonec štěstí a token jsem našel. Od tohoto incidentu se ujišťuji, že mám pro všechny účty chráněné pomocí 2FA připravený i nouzový plán. Jak to udělat se dozvíte v tomto článku.
Bezpečné přihlášení
Pokaždé, když se přihlásíte na web nebo jinou online službu, tak se musíte ověřit. Obvykle existuje několik způsobů, jak to provést.
Hesla
Každý zná a používá hesla. Je s nimi ale problém. Buď jsou příliš jednoduchá a snadno zapamatovatelná, ale pak nejsou bezpečná. Nebo jsou složitá a bezpečná, ale těžko zapamatovatelná. Proto mnoho lidí používá jednoduchá hesla, bohužel často i stejná pro více služeb. Navíc hesla lze poměrně snadno zkopírovat, ukrást nebo uhodnout.
Správci hesel jako Keepass, LastPass a Bitwarden slibují v tomto směru nápravu. Zajišťují totiž, abyste mohli mít pro každou službu individuální a složité heslo. Pak si stačí zapamatovat pouze jedno hlavní heslo do správce hesel. To však nic nemění na skutečnosti, že každé z těchto hesel se může v případě některého z nesčetných úniků dostat do rukou kyberzločinců a může být zneužito ke krádeži dat.
Dvoufaktorové ověřování
Nastavení pomocí QR kódu: nejpohodlnějším způsobem je nastavit aplikaci Authenticator v mobilním telefonu pomocí QR kódu. | Zdroj: Authenticator
Naproti tomu při použití metody 2FA se používají dva faktory. Obvykle jde o něco, co byste měli znát jen vy, například vaše heslo, a něco, co máte jen vy, například váš chytrý telefon. Například ke svému účtu na Googlu se můžete přihlásit pouze tehdy, když máte k dispozici oba tyto faktory. Proto případný podvodník na druhé straně světa, který se dostal k vašim přístupovým údajům prostřednictvím krádeže dat, pak nemá zároveň přístup k vašemu smartphonu, a proto se nemůže na váš účet dostat.
Pokud je to možné, měli byste jako metodu ověřování zvolit aplikaci, jako je Authy, a nainstalovat ji do druhého zařízení, například do tabletu nebo smartphonu. Metoda posílání SMS je méně bezpečná, protože SMS lze přesměrovat na jiná zařízení.
Přihlášení bez hesla
Různé způsoby ověření: jako druhý faktor můžete použít aplikaci nebo ověřovací kód získaný přes e-mail nebo SMS. Pokud tuto možnost nemáte, pomůže záložní kód. | Zdroj: Outlook.office.com/přihlašovací obrazovka
Společnost Microsoft od loňského roku hodně propaguje takzvané „přihlašování bez hesla“. V podstatě se jedná o variantu dvoufaktorového ověřování. Microsoft v tomto případě jako na druhý faktor spoléhá na aplikaci Authenticator. Pokud se chcete přihlásit k účtu Microsoft, otevřete tuto aplikaci a ověříte se pomocí otisku prstu, PIN kódu nebo výběrem určitého řetězce.
Bezpečné používání 2FA
Záložní kódy ve službě Googlu: internetový gigant nabízí možnost vygenerování deseti kódů, které byste si rozhodně měli bezpečně uložit a v případě nouze použít pro přihlášení. | Zdroj: Account.google.com
Mnoho služeb nyní nabízí 2FA – tedy dvoufaktorové ověřování při přihlašování. Nemůžeme se zde věnovat všem. Ukážeme vám proto pět příkladů, jak systém v principu funguje a jak si můžete vytvořit nouzový plán.
Microsoft
Společnost Microsoft umožňuje jako druhý faktor vedle hesla použít druhou e-mailovou adresu, telefonní číslo nebo aplikaci. Chcete-li povolit dvoufaktorové ověřování pro svůj účet u Microsoftu, přihlaste se pomocí jména a hesla na adrese account.microsoft.com. Klikněte na „Zabezpečení | Rozšířené možnosti zabezpečení“ a dostanete možnost přidat k účtu alternativní e-mailovou adresu. Vyplňte ji a klikněte na tlačítko „Další“. Přijde vám na ni kód, který v následujícím kroku zadáte.
Služba vás poté odhlásí a jako první bezpečnostní kontrolu vyžaduje zadání alternativní e-mailové adresy. Nyní opět obdržíte kód, který na webové stránce zadáte. Poté si do chytrého telefonu nainstalujte aplikaci Authenticator, která je vám v dalším kroku nabídnuta. Za tímto účelem otevřete v mobilním telefonu internetový prohlížeč a zadejte do něj adresu aka.ms/authapp. Stránka vás přesměruje do obchodu s aplikacemi ve vašem zařízení.
Po instalaci otevřete aplikaci Authenticator, poté se vraťte do prohlížeče otevřeného v počítači a klikněte na tlačítko „Další“. Následně se na stránce zobrazí QR kód, který pomocí aplikace Authenticator v mobilním telefonu naskenujete kliknutím na ikonu „+“ a tlačítkem „Naskenovat QR kód“. Po kliknutí na tlačítko „Hotovo“ v prohlížeči budete odhlášeni a znovu přesměrováni na přihlášení.
Následně ještě zapněte k vašemu účtu dvoufaktorové ověřování. V části „Zabezpečení“ opět klikněte na „Rozšířené možnosti zabezpečení“ a v části „Další zabezpečení“ najdete i „Dvoustupňové ověřování“, kde kliknete na „Zapnout“. Postupujte podle pokynů průvodce a dostanete se do fáze, kdy se vám zobrazí kód. Pokud byste někdy potřebovali obnovit přístup ke svému účtu, tento kód vám při tom pomůže. Proto si ho vytiskněte a uložte na bezpečné místo. Až nastavení dokončíte, budete se už ke svému účtu přihlašovat pomocí dvou faktorů.
Pokud o druhý faktor přijdete, tedy v tomto případě o chytrý telefon s aplikací, jedinou možnost jak se dostat k účtu, představuje právě vytištěný kód.
Pokud se vám to stane a ztratíte přístup ke smartphonu, vraťte se na stránku account.microsoft.com. Klikněte na „Přihlásit se | Další | Přihlásit“ a následně na „Momentálně nemůžu použít aplikaci Microsoft Authenticator | Nemám je“ a zobrazí se žádost o vyplnění kódu pro obnovení účtu. Zadejte ho a klikněte na „Použít kód pro obnovení“. Aby se zajistilo, že tuto metodu nezneužije někdo nepovolaný, budete muset vyčkat zhruba 30 dní, než společnost Microsoft účet opět uvolní.
Chcete-li aktivovat dodatečnou ochranu u svého účtu na Googlu, nejprve se přihlaste. Následně klikněte na svůj profilový obrázek vpravo nahoře a vyberte „Spravovat účet Google | Zabezpečení | Dvoufázové ověření | Začínáme“. Zadejte heslo a jako druhý faktor pro přihlášení najdete pod „Zobrazit další možnosti“ volbu „Výzva od Googlu“ a jako druhý faktor tedy použijete svůj telefon. Funguje to i na iPhonu, pokud si tam nainstalujete aplikaci Googlu. Případně můžete zvolit méně bezpečný postup, kdy obdržíte SMS s kódem. Následně potvrďte „Zapnout“, a zapnete tak dvoufázové ověřování.
Nyní si ale nezapomeňte vytvořit nouzové kódy. Google je nazývá „Záložní kódy“. Proto se v prohlížeči vraťte na položku „Dvoufázové potvrzení“ a přejděte dolů na položku „Záložní kódy“. Po zadání hesla klikněte na „Získejte záložní kódy“ a vytiskněte si seznam deseti kódů a uložte je na bezpečné místo. Každý z kódů lze použít k přihlášení k účtu Google bez druhého faktoru pouze jednou.
Paypal
Druhým faktorem byste si měli zabezpečit také platební služby, jako je Paypal. Přihlaste se ke službě a klikněte na ikonu ozubeného kola pro nastavení a potom na „Zabezpečení | Dvoustupňové ověřování“. Vybrat si můžete buď použití kódu z textové zprávy, použití bezpečnostního klíče, nebo použití ověřovací aplikace, což je patrně nejvhodnější varianta. Zvolte ji a klikněte na „Nastavit“. V prohlížeči se zobrazí QR kód a klíč. Dobrou volbou pro ověřovaní je mobilní aplikace Authy, nebo Google Authenticator.
Nainstalujte si ji do svého smartphonu a spusťte ji. Poté klepněte na položku „Naskenovat QR kód“. Naskenujte kód zobrazený na webové stránce PayPalu a potvrďte „Přidat účet“. Do prohlížeče zadejte kód, který se zobrazí v aplikaci pro ověřování. Vzhledem k tomu, že služba Paypal nenabízí možnost záložních kódů, nastavte si pro zabezpečení ještě další způsob ověřování. Za tímto účelem klikněte ve správě dvoustupňového ověřování na možnost „Přidat zařízení“ a vyberte možnost „Použít kód z textové zprávy“. Potvrďte volbu „Nastavit | Další“ a vyplňte číslo mobilního telefonu a zadejte zaslaný kód.
Seznam
Byli jste to vy? Pro přihlášení do služeb Seznamu nepotřebujete kromě hesla jednorázový kód, ale přihlášení musíte povolit v mobilní aplikaci Seznam.cz. | Zdroj: Android/aplikace Seznam.cz
Dvoufázové ověření si můžete nastavit i u svého účtu na Seznamu. Jinak totiž hrozí, že ten, kdo by získal vaše heslo, získá i úplnou kontrolu nad účtem a mohli byste tak přijít o kontakty, e-maily a další údaje. K aktivaci dvoufaktorového ověřování budete potřebovat váš telefon a v něm aplikaci Seznam.cz, kde můžete vaše účty u Seznamu zabezpečit. Seznam tedy nepodporuje standardní aplikace pro dvoufaktorové ověřování, ale musíte si pořídit jeho aplikaci.
Stáhněte si tedy aplikaci Seznam.cz do svého chytrého telefonu a spusťte ji. Dostaňte se pomocí ikony tří pruhů vpravo dole do „Nastavení“ a následně do části „Soukromí a bezpečnost“, kde najdete „Správa dvoufázového ověřování účtů“. Na další stránce klikněte na „Přejít k aktivaci zabezpečení“. Následně se přihlaste ke svému účtu a klikněte na „Zapnout“.
Seznam vám nenabídne možnost vytisknout si nouzové kódy, ale vyplnit můžete Záchranné telefonní číslo. To slouží k obnovení přístupu k účtu, když zapomenete heslo nebo nebudete mít přístup k ověřovacímu zařízení. Vyplňte tedy telefonní číslo a klikněte na „Pokračovat“. Na telefon vám pak přijde ověřovací kód. Tím je dvoufaktorové ověřování aktivováno. Pokud se pak na počítači budete chtít přihlásit ke svému účtu na Seznamu, budete muset v mobilní aplikaci potvrdit, že jste to vy, a přihlášení povolit.
Amazon, Ebay a další
Dvoufaktorové ověřování si můžete aktivovat i u celé řady dalších účtů. Například u Amazonu to jde snadno pomocí mobilní aplikace Authy a přes naskenovaný QR kód. Jako záložní metodu si pak můžete nastavit zasílání SMS kódů.
Online služba Ebay také nabízí dvoufaktorové ověřování, ale poněkud odlišným způsobem. 2FA je totiž možné pouze pomocí vlastní aplikace Ebay a prostřednictvím SMS. Přihlaste se ke svému účtu Ebay a dostaňte se do nastavení. Zde najdete nabídku bezpečného přihlašování.
