+420 606 33 99 37
Dvoufaktorová autentizace, bezpečné přihlášení

Bezpečné přihlášení k emailu, jak na 2FA

Dnes si  povíme, jak nastavit dvoufaktorovou autentizaci pro Váš Google účet. Nastavení je stejné, ale liší se tím, zdali vám administrátor Google Apps for Work tuto možnost povolil.


Výchozí podmínky pro nastavení dle používaného tarifu

Nastavení pro placený tarif Google Apps for Work

Aby jste si mohli nastavení provést, administrátor pro vaší Google Apps doménu musí  tuto variantu autentizace povolit (viz. Umožnit uživatelům zapnout dvoufázové ověření).

dvoufazové ověření pro Google Apps for Work

Zároveň však administrátor může tuto variantu vynutit, a to buď od určitého data nebo okamžitě. Zde je třeba mít na paměti, že pokud si uživatel neprovedl nastavení dvoufaktorové autentizace a administrátor variantu okamžitě vynutí, uživatel se nepřihlásí a může si účet zablokovat.

Nastavení pro free účet Google Gmail

U free varianty Gmail email účtu pak stačí dvoufaktorovou autentizaci zapnout ve vašem účtu v bezpečnostním centru. Další nastavení je tak stejné.


Jak si tedy zapneme dvoufaktorovou autentizaci?

Jednoduše. V minulém článku  jsme lehce naznačili kde. Nastavení provedete přes Můj účet a odkaz Přihlášení k účtu. Na zobrazené stránce Přihlášení a zabezpečení pak kliknete na odkaz Dvoufázové ověření. Z bezpečnostního hlediska, se budete muset znovu přihlásit (hádejte proč?).

Postup nastavení přihlášení k emailu 2FA


SMS nebo hlasová zpráva

Jedná se o první a také výchozí možnost. Telefon resp. ověřené telefonní číslo si musíte nastavit. SMS ověření je výchozí varianta, která bude fungovat na většině telefonů a nepřináší uživatelům větší potíže. Tato možnost dvoufaktorové autentizace je poměrně zažitá díky hojnému používání např. v případě přístupu k bankovnímu účtu. Z uvedených metod se však považuje za nejméně bezpečnou.

Výhody SMS autentizace jako druhého faktoru při přihlášení
  • díky mobilnímu telefonu dostupná varianta
  • jednoduché použití, standard u mnoha dalších služeb
  • nejsou potřeba žádné dodatečné náklady

Jednorázové kódy vám pomůžou v nouzi

Slouží nám jako záložní varianta, i když v dobách dávno minulých jste se s tímto principem autentizace mohli také setkat. Záložní varianta v okamžiku, kdy zapomenete svůj mobilní přístroj. Jednorázové kódy, které máte vytištěné nebo poznamenané (nemusím snad upozorňovat na to, aby jste uložení kódů věnovali patřičnou pozornost:), prostě jednoduše použijte. Po použití jednorázový token resp. záložný kód přestává být platným.


Aplikace Google Authenticator

Google Authenticator, ověření pro Gmail, Facebook, Evernote, DropboxJe o něco sofistikovanější možností, než SMS zprávy. Používá se mobilní aplikaci pro iOS, Android nebo Blackberry (od verze 4.5), která po spojení s vaším Google účtem generuje jednorázové kódy. Na podobném principu fungují poměrně drahá korporátní řešení od společnosti jako je RSA nebo SafeNet. Výhodou je, že Google autentizátor můžete využít pro bezpečné přihlášení k dalším službám jako jsou Dropbox, Evernote, Facebook atd. Pro bezproblémový chod je potřeba mít správně synchronizovaný čas, v síti operátora O2 zatím bez problému. Technicky je řešené postaveno tak, že v uvedený čas (+- rozptyl času) je platná určitá sada jednorázových tokenů.

Výhody aplikace Google Authenticator jako druhého faktoru při přihlášení
  • díky mobilnímu telefonu dostupná varianta
  • nejsou potřeba žádné dodatečné náklady
  • použijete pro bezpečné přihlášení i k dalším službám

Yubico key

Yubico key, dfoufázové ověření, FIDO, U2FJe poslední dostupnou variantu, kterou Google podporuje. Jedná se o USB klíč využívající protokol U2F (Universal second Factor) FIDO aliance, který je podporován Google Chrome prohlížečem od verze 38.x. Výhodou je fyzická velikost zařízení (pro přihlášení nepotřebujete mobilní telefon).

Nevýhodou je nutnost USB portu (v mobilním zařízením se tímto klíčem nepřihlásíte) a také zatím omezená podpora FIDO protokolu. Jedná se o efektivní metodu, kdy nemusíte opisovat žádný jednorázový token. V případě autentizace jste vyzvání ke vložení Yubico key a po stisku ikonu klíče . Toť vše, jednoduché a prosté. Samozřejmě, v mobilních aplikacích vám Google podstrčí jinou metodu dvoufaktorové autentizace, takže se nemusíte obávat, že se ke svému účtu nepřihlásíte.


 

Pár poznámek na závěr

Osobně používám Yubico key v kombinací s Google autentizátorem. Google autentizátor používám pro přihlášení k dalším službám, namátkou Evernote (bohužel, podporovaná je zatím jen webová varianta aplikace) a Dropbox.

A co aplikace, které nepodporují dvoufaktorovou autentizaci?

Tento problém Google řeší tak, že vám umožní zadat vlastní heslo pro aplikace, které tuto možnost ověření nepodporují. Ty si nastavíte ve Správě hesel pro konkrétní aplikace. Google navíc pro vyjmenované aplikace: Aplikace Mail v iPhonu nebo iPadu, Microsoft Outlook,  Aplikace Mail v systému Mac vytváří vyjímku a do těchto aplikací se přihlásíte jen pomocí hesla k aplikaci.

Pozor si dejte na Registrované počítače

Google umožňuje zapamatovat si počítač, na kterém se přihlašujete. Pokud takový počítač označíte jako Registrovaný počítač, pro přihlášení Vám bude stačit jen výchozí credentials tj. jméno a heslo. Je to zjednodušení, a vy nemusíte pokaždé zadávat zadávat druhý faktor autentizace (doba “pamatování” je nastavena na 30 dní). Zde si prosím sami zvažte, jestli takovou variantu využijte. Rozhodně na veřejných počítačích tuto variantu neaktivujte.

Postřehy k uživatelské bezpečnosti

  • Uživatelé z “lenosti” používají krátká málo komplexní hesla atd.
  • Uživatelé z “neznalosti” nepoužívají alternativní možnosti zabezpečení přístupu ke svým datům
  • Uživatelé bezpečnost řeší většinou v okamžiku, kdy je už pozdě

 

Obrazový průvodce,  čtyři kroky k zapnutí dvoufaktorové (dvoufázové) autentizace v prostředí Google

 

Zapnutí dvoufázového ověření, Google Apps for Work, Gmail

 

Nastavení, ověření telefonu

Zapnutí dvoufázového ověření, Google Apps for Work, Gmail

 

Nastavení, ověření telefonu, zde opíšete kód, který jste na svůj mobilní telefon prostřednictvím SMS obdrželi

zapnout-dvoufazove-overeni-II

 

Chcete důvěřovat svému počítači, zvažte kdy ano a kdy ne
zapnout-dvoufazove-overeni-III

 



Rekapitulace zapnutí dvoufaktorové (dvoufázové) autentizace
zapnout-dvoufazove-overeni-IV

 


 

Všechny předchozí články k tématu vícefaktorové autentizace, bezpečné přihlášení k aplikacím Gmail apod.

  1. Použití hesel není bezpečné, řešení Google Apps
  2. Hesla nejsou bezpečná, dvoufaktorová autentizace
  3. Zabezpečte si lépe Gmail, Google Apps

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *