Bezpečné přihlášení k emailu, jak na 2FA
Dnes si povíme, jak nastavit dvoufaktorovou autentizaci pro Váš Google účet. Nastavení je stejné, ale liší se tím, zdali vám administrátor Google Apps for Work tuto možnost povolil.
Výchozí podmínky pro nastavení dle používaného tarifu
Nastavení pro placený tarif Google Apps for Work
Aby jste si mohli nastavení provést, administrátor pro vaší Google Apps doménu musí tuto variantu autentizace povolit (viz. Umožnit uživatelům zapnout dvoufázové ověření).
Zároveň však administrátor může tuto variantu vynutit, a to buď od určitého data nebo okamžitě. Zde je třeba mít na paměti, že pokud si uživatel neprovedl nastavení dvoufaktorové autentizace a administrátor variantu okamžitě vynutí, uživatel se nepřihlásí a může si účet zablokovat.
Nastavení pro free účet Google Gmail
U free varianty Gmail email účtu pak stačí dvoufaktorovou autentizaci zapnout ve vašem účtu v bezpečnostním centru. Další nastavení je tak stejné.
Jak si tedy zapneme dvoufaktorovou autentizaci?
Jednoduše. V minulém článku jsme lehce naznačili kde. Nastavení provedete přes Můj účet a odkaz Přihlášení k účtu. Na zobrazené stránce Přihlášení a zabezpečení pak kliknete na odkaz Dvoufázové ověření. Z bezpečnostního hlediska, se budete muset znovu přihlásit (hádejte proč?).
SMS nebo hlasová zpráva
Jedná se o první a také výchozí možnost. Telefon resp. ověřené telefonní číslo si musíte nastavit. SMS ověření je výchozí varianta, která bude fungovat na většině telefonů a nepřináší uživatelům větší potíže. Tato možnost dvoufaktorové autentizace je poměrně zažitá díky hojnému používání např. v případě přístupu k bankovnímu účtu. Z uvedených metod se však považuje za nejméně bezpečnou.
Výhody SMS autentizace jako druhého faktoru při přihlášení
- díky mobilnímu telefonu dostupná varianta
- jednoduché použití, standard u mnoha dalších služeb
- nejsou potřeba žádné dodatečné náklady
Jednorázové kódy vám pomůžou v nouzi
Slouží nám jako záložní varianta, i když v dobách dávno minulých jste se s tímto principem autentizace mohli také setkat. Záložní varianta v okamžiku, kdy zapomenete svůj mobilní přístroj. Jednorázové kódy, které máte vytištěné nebo poznamenané (nemusím snad upozorňovat na to, aby jste uložení kódů věnovali patřičnou pozornost:), prostě jednoduše použijte. Po použití jednorázový token resp. záložní kód přestává být platným.
Aplikace Google Authenticator
Je o něco sofistikovanější možností, než SMS zprávy. Používá se mobilní aplikaci pro iOS, Android nebo Blackberry (od verze 4.5), která po spojení s vaším Google účtem generuje jednorázové kódy. Na podobném principu fungují poměrně drahá korporátní řešení od společnosti jako je RSA nebo SafeNet. Výhodou je, že Google autentizátor můžete využít pro bezpečné přihlášení k dalším službám jako jsou Dropbox, Evernote, Facebook atd. Pro bezproblémový chod je potřeba mít správně synchronizovaný čas, v síti operátora O2 zatím bez problému. Technicky je řešené postaveno tak, že v uvedený čas (+- rozptyl času) je platná určitá sada jednorázových tokenů.
Výhody aplikace Google Authenticator jako druhého faktoru při přihlášení
- díky mobilnímu telefonu dostupná varianta
- nejsou potřeba žádné dodatečné náklady
- použijete pro bezpečné přihlášení i k dalším službám
Yubico key
Je poslední dostupnou variantu, kterou Google podporuje. Jedná se o USB klíč využívající protokol U2F (Universal second Factor) FIDO aliance, který je podporován Google Chrome prohlížečem od verze 38.x. Výhodou je fyzická velikost zařízení (pro přihlášení nepotřebujete mobilní telefon).
Nevýhodou je nutnost USB portu (v mobilním zařízením se tímto klíčem nepřihlásíte) a také zatím omezená podpora FIDO protokolu. Jedná se o efektivní metodu, kdy nemusíte opisovat žádný jednorázový token. V případě autentizace jste vyzvání ke vložení Yubico key a po stisku ikonu klíče . Toť vše, jednoduché a prosté. Samozřejmě, v mobilních aplikacích vám Google podstrčí jinou metodu dvoufaktorové autentizace, takže se nemusíte obávat, že se ke svému účtu nepřihlásíte.
Pár poznámek na závěr
Osobně používám Yubico key v kombinací s Google autentizátorem. Google autentizátor používám pro přihlášení k dalším službám, namátkou Evernote (bohužel, podporovaná je zatím jen webová varianta aplikace) a Dropbox.
A co aplikace, které nepodporují dvoufaktorovou autentizaci?
Tento problém Google řeší tak, že vám umožní zadat vlastní heslo pro aplikace, které tuto možnost ověření nepodporují. Ty si nastavíte ve Správě hesel pro konkrétní aplikace. Google navíc pro vyjmenované aplikace: Aplikace Mail v iPhonu nebo iPadu, Microsoft Outlook, Aplikace Mail v systému Mac vytváří výjimku a do těchto aplikací se přihlásíte jen pomocí hesla k aplikaci.
Pozor si dejte na Registrované počítače
Google umožňuje zapamatovat si počítač, na kterém se přihlašujete. Pokud takový počítač označíte jako Registrovaný počítač, pro přihlášení Vám bude stačit jen výchozí credentials tj. jméno a heslo. Je to zjednodušení, a vy nemusíte pokaždé zadávat zadávat druhý faktor autentizace (doba „pamatování“ je nastavena na 30 dní). Zde si prosím sami zvažte, jestli takovou variantu využijte. Rozhodně na veřejných počítačích tuto variantu neaktivujte.
Postřehy k uživatelské bezpečnosti
- Uživatelé z „lenosti“ používají krátká málo komplexní hesla atd.
- Uživatelé z „neznalosti“ nepoužívají alternativní možnosti zabezpečení přístupu ke svým datům
- Uživatelé bezpečnost řeší většinou v okamžiku, kdy je už pozdě
Obrazový průvodce, čtyři kroky k zapnutí dvoufaktorové (dvoufázové) autentizace v prostředí Google
Nastavení, ověření telefonu
Nastavení, ověření telefonu, zde opíšete kód, který jste na svůj mobilní telefon prostřednictvím SMS obdrželi
Chcete důvěřovat svému počítači, zvažte kdy ano a kdy ne
Rekapitulace zapnutí dvoufaktorové (dvoufázové) autentizace
Všechny předchozí články k tématu vícefaktorové autentizace, bezpečné přihlášení k aplikacím Gmail apod.
- Použití hesel není bezpečné, řešení Google Apps
- Hesla nejsou bezpečná, dvoufaktorová autentizace
- Zabezpečte si lépe Gmail, Google Apps