Dvoufaktorová autentizace, dvoufaktorová autorizace, 2FA, dvoufaktor, multifaktorová autentizace, „ta otravná věc když chci poslat peníze a přijde mi SMS“… To jsou jen některé z názvů bezpečnostní metody zajišťující ověření uživatele, kterou byste měli používat minimálně u klíčových služeb, ale spíše a ideálně všude, kde je to možné.

Nejprve ke správnému názvu – dvoufaktorová autentizace je správně, dvoufaktorová autorizace nikoliv. Hodně lidí to plete, ale má to svou logiku.

Autentizace je totiž proces určující skutečnou identitu uživatele. Jinými slovy je to přihlášení, kterým dojde k ověření, identifikaci pravosti identity.

Autorizace je proces povolující uživateli určitou činnost. Jinými slovy jsou to oprávnění, používaná až po samotném přihlášení.

Teď, když máme jasno v terminologii, si můžeme říci, k čemu je to dobré.

Proč heslo nestačí

Pokud se někam přihlašujete (e-mailová schránka, bankovní účet, Facebook…) je potřeba zadat dvě položky – uživatelské jméno (obvykle přezdívka, nebo e-mail) a heslo. Problém s hesly je jednak v tom, že lidé obvykle volí poměrně slabá hesla, druhak je ještě používají pro přihlášení k vícero službám.

A obojí je průšvih. Pokud pak nějaký útočník (může to být klidně jen automatizovaný skript, který na vás narazil náhodou) uhodne vaše heslo, má přístup k Vašemu účtu. A jestliže používáte stejné heslo i někde jinde, jede to pak jako lavina. Hesla samozřejmě zkouší hádat automat a používá k tomu slovník. A věřte, jde mu to dost rychle 🙂 Zabývám se tím třeba v článku o tom, jak slovníkovým útokem hacknout RDP. Stejným způsobem se dá střílet do jakékoliv služby, takže i do vašich účtů. Některé služby sice takový útok zablokují pro příliš mnoho pokusů, ale na to se nedá spoléhat, spousta služeb to vůbec neřeší.

Další problém nastane, když někde unikne databáze hesel. To není žádná zvláštnost, za posledních pár let došlo k únikům milionů hesel (a uživatelských jmen), často v nešifrované (!) podobě, například z těchto serverů:

  • LinkedIn
  • Adobe
  • Dropbox
  • Tumblr
  • SnapChat
  • Neopets
  • Minecraft
  • Volny.cz

TIP: Jestli se na seznamu uniklých a tedy už nejspíše i zneužívaných účtů nachází i váš účet můžete ověřit na stránce Have I Been Pwned?

OK, teď je nám asi všem jasné, že heslo není všemocné. Stejně jako policisté varují, že auto není trezor. Asi už je vám také jasné, že se dostáváme k pointě článku 🙂 .

Jak dvoufaktor či multifaktor funguje

Jak tedy ověřit, že uživatelské jméno i heslo zadává oprávněná osoba a ne útočník? Při dvoufaktoru použijete něco, co má a zná jen oprávněná osoba – často se jedná o mobil s aplikací chráněnou PIN kódem.

Nově se používá i označení multifaktorová autentizace, kde krom jiného zařízení a PINu (zařízení může být ukradeno a pin odkoukán) dojde i k použití biometrických údajů – typicky otisku prstu nebo skenu obličeje. To už je tolik faktorů najednou (hlavně biometrika), že je téměř nemožné je nafixlovat všechny.

Může to vypadat složitě, ale nebojte, doby kdy vám chodily SMS s dlouhými kódy jsou již pryč, použití multifaktoru je otázkou vteřin.

Příklad: Na nějakém PC v kavárně se nutně potřebujete nalogovat do svého mailu, a i když se bojíte nainstalovaného keyloggeru, potřeba přihlásit se je vyšší. Zadáte jméno a heslo, na telefonu vám v mžiku pípne upozornění na příchozí požadavek. Jakmile na něj kliknete, zadáte schválit, oskenuje vám obličej a na PC jste přihlášeni.

V tuhle chvíli je defakto jedno, že někdo keyloggerem odposlechl vaše heslo, protože bez vašeho telefonu a obličeje se beztak k účtu nepřihlásí. Ale potenciálně, pokud to samé heslo používáte na jiném účtu, který dvou(multi)faktorem chráněn nemáte, mohl by jej útočník zneužít tam. Nad tím se chvíli zamýšleli (nejen) v Microsoftu a tak je napadlo heslo úplně vypustit. Zní to šíleně? Ale vůbec!

Paswordless – přihlašování bez hesla

Je to novinka, ale za mě vypadá velmi lákavě a snad (podle mě jo) se tahle technologie chytne. Heslo si samozřejmě při vytváření účtu vytvoříte, ale použijete jej třeba jen při ztrátě telefonu nebo jiné katastrofě.

K normálnímu přihlášení použijete jen uživatelské jméno, na mobilu blikne žádost o potvrzení přihlášení, na ní ťuknete, oskenuje se vám obličej a je hotovo. Je to nejen bezpečnější, ale ve skutečnosti i rychlejší než psaní komplexního hesla, které vás navíc správci nutí pravidelně měnit. Aktuálně paswordless Microsoft používá u svých Office365 a pro přihlášení nových účtů do Windows 10 a hodlá tuto technologii rozšířit dále. Držím jim (po dlouhé době) palce.

Co chránit

Všechno! A to jako vážně. Co jde, zabezpečte dvoufaktorem. Nemusíte se bát, že budete pořád jen klikat na upozornění nebo opisovat kódy (některé appky (Steam) upozornění ještě nepodporují). Dokud se neodhlásíte, nebo pokud se nebudete přihlašovat z jiného zařízení, budete této akce ušetřeni. Takže na domácím PC při brouzdání po netu nemusíte mít telefon stále v ruce.

V každém případě si nastavte dvoufaktor do svého e-mailu. Váš mail je středobodem vesmíru, jakmile se do něj někdo dostane, má přístup ke všem na něj navázaným službám. Asi tušíte, kam přijde žádost na změnu hesla, na kterou si útočník klikne u každé přihlašovací obrazovky, že?

Takže chraňte všechno, co se dá. Bez legrace.

Jakou aplikaci použít

Na trhu najdete větší množství autentikátorů, takže je to na vás a o tom, který se vám více líbí nebo co umí. Mezi ty nejznámější patří Google Authenticator, Authy, LastPass Authenticator a poměrně nově i Microsoft Authenticator. A právě u něj jsem zakotvil já.

Nejen že jako jediný (zatím) podporuje novou metodu paswordless, ale umí i zálohu tokenů do cloudu (iCloud, OneDrive, GoogleDrive…) což se dost hodí, třeba když uděláte factory reset telefonu (Androiďáci vědí). Při podobné akci o své tokeny přijdete a musíte vše generovat znovu. A to fakt nechcete.

A dále má také zámek aplikace, takže pro každé její použití/otevření je vyžadováno biometrické ověření, nebo zadání kódu. To se hodí, třeba když necháte nezamčený telefon na stole a odejdete.

 

Appka je samozřejmě k dispozici i pro iOS.

Jak to funguje

Jednoduše. 🙂 Ve službě, kterou chcete ochránit se v nastavení mrknete, zda umožňuje nastavit dvoufaktor. Pokud ano, ukáže se Vám tam QR kód, který naskenujete mobilní appkou autentikátoru, nebo opíšete kód.

Tím dojde ke spárování, pak stačí opsat kód, nebo lépe, jen kliknout na Potvrdit a je hotovo.

Nenechte se zmást tím, že někde MS Authenticator nezmiňují – jakmile je tam napsáno, že můžete použít Google Authenticator, můžete použít i ten Microsoftí – obě appky používají pro přidávání tokenů stejnou technologii.

A je to. Tímto způsobem přidáte co nejvíce účtů to půjde a postupně doplňujte o další. Já dvoufaktor (dnes prakticky již multifaktor) aktivuji rovnou při zakládání nových účtů – není žádný důvod jej nepoužívat, naopak je jich mnoho, proč jej využít, když se nabízí.

Facebook komentáře