K únikům přihlašovacích údajů dochází častěji, než si většina z nás myslí. Často i bez vědomí provozovatelů napadených internetových účtů. Jak tedy významně zvýšit zabezpečení vašich účtů, když hesla uniknou? Začněte používat dvoufázové ověření. Ukážeme vám, jak na to.
Tento článek je 5. dílem seriálu Digitální bezpečnost
Digitální bezpečnost: Úvod
Digitální bezpečnost: Hesla
Digitální bezpečnost: Správci hesel
Digitální bezpečnost: Dvoufázové ověření
Digitální bezpečnost: Komunikace na internetu
Digitální bezpečnost: Pohyb na internetu
S dvoufázovým ověřením, nebo-li 2FA, jste se pravděpodobně setkali například ve svém internetovém bankovnictví, kde vám banka posílá SMS s ověřovacím kódem vždy, když se chcete přihlásit. Případně vám posílá notifikaci do aplikace bankovní klíč.
Pokud by bance nebo vám unikly vaše přihlašovací údaje, pro útočníka bude mnohem obtížnější získat nad rámec přihlašovacích údajů také druhý faktor vaší ochrany, tedy přístup k vašemu telefonnímu číslu nebo k samotnému mobilu.
Od potvrzování přihlášení pomocí SMS se v poslední době upouští, jelikož SMS nejsou dostatečně bezpečné a útočníci k nim mohou získat přístup i na dálku, bez nutnosti ovládnutí vašeho telefonu. Banky postupně přecházejí na potvrzení v jejich mobilní bankovní aplikaci (bankovní klíč).
Více informací o rizicích jednorázových kódů přes SMS najdete například v tomto článku od českého studia Wultra, které se zaměřuje na zabezpečení bankovních systémů.
Dvoufaktorové ověření identity (2FA)
Ne vždy ale může být druhý faktor přihlášení nastaven přes SMS nebo bankovní aplikaci. Všeobecně se ověření identity uživatele dělí na 4 různé typy faktorů podle toho:
- co uživatel zná, tedy uživatelské jméno a heslo.
- co uživatel vlastní, tedy mobilní číslo, hardwarový klíč, aplikace pro generování jednorázových přihlašovacích kódů (OTP, nebo-li One Time Password), bankovní aplikace (bankovní klíč),…
- čím uživatel je, tedy biometrické údaje, jako sken obličeje (FaceID) nebo otisk prstu (TouchID), snímek oční duhovky, DNA,..
- co uživatel umí, tedy například správná odpověď na náhodně vygenerovaný kontrolní dotaz.
Velké procento všech elektronických účtů, které na internetu máte, je možné opatřit zmíněným OTP generátorem jednorázových hesel. V současnosti se jedná o nejrozšířenější variantu 2FA a toto zabezpečení najdete v nastavení každé služby, která bere bezpečnost dat svých uživatelů vážně. Výjimkou jsou především bankovní a státní instituce, které mají dostatečný rozpočet pro vlastní aplikace 2FA ověření, již zmíněné mobilní klíče.
Co je to OTP generátor
Jedná se o aplikaci do mobilu, kterou lze propojit s elektronickým účtem nabízejícím funkci 2FA. Po propojení aplikace generuje každých 30 vteřin nové 6 místné číslo. Toto měnící se číslo je vyžadováno při každém přihlášení hned po zadání přihlašovacích údajů, případně pouze při přihlášení z nového zařízení. Pro útočníka je výrazně komplikovanější se do elektronického účtu dostat, jelikož potřebuje nejen vaše přihlašovací údaje, ale také přístup k jedinečným údajům generátoru ve vašem mobilu.
Ukázka z aplikace Google Authenticitator
U kterých služeb zapnout 2FA?
Vycházíme z elektronických účtů, u kterých máte data, která by neměla být zneužita:
- e-maily, které používáte, osobní i pracovní
- sociální sítě
- pracovní a firemní přístupy
- finanční služby a investiční účty
- cloudové úložiště a NAS účty
- účty státní správy a zdravotního pojištění
- administrace chytré domácnosti
- všechny další účty ve kterých jsou důvěrné informace nebo peníze.
V případě služeb, které použijete jednorázově, nebo je u nich rozsah vašich dat zanedbatelný, není 2FA nutné zapínat. Je ale důležité do těchto účtů vždy generovat nové jinde nepoužité heslo ze správce hesel.
Přidání 2FA se může zdát jako práce navíc. Ale nepříjemnosti spojené s tím, že se někdo zmocní vašeho účtu na sociální síti a začne vaše přátele spamovat malwarem mohou být větší, než 10 vteřin, které věnujete při přihlašování navíc. Případně pokud vaše investice u brokera ze dne na den zmizí, může to být pro váš životní standard likvidační. Také vás někdo může vydírat dokumenty, které by nepotěšily rodinu, nebo obchodní partnery. V takových případech vás bude mrzet, že jste 2FA těchto 10 vteřin nevěnovali.
OTP generátory
Google Authenticator
Nejpoužívanější aplikace pro generování OTP kódů. Je k dispozici zdarma pro iOS i Android. V aplikaci můžete mít neomezený počet účtů a ty je možné importovat a exportovat z a do jiných OTP aplikací.
Jedinou, ale poměrně zásadní slabinou je situace, kdy se vám rozbije telefon nebo ho ztratíte. V takovém případě se k vašim OTP heslům již nedostanete, tedy pokud jste si již předtím nevytvořili zálohu pomocí exportu do záložního telefonu. V případě ztráty telefonu se tedy do svých účtů opatřených 2FA již nepřihlásíte a budete muset řešit reset druhého faktoru s každou institucí spravující váš účet individuálně. U některých služeb dokonce reset nemusí být již nikdy možný.
Twilio Authy
Tato aplikace, rovněž zdarma, umí také generovat OTP kódy a je nejen pro iOS a Android, ale také pro MacOS, Windows a Linux, je tedy možné používat ji i na počítači nebo tabletu. Její výhodou je používání na více zařízeních současně za pomoci šifrovaného cloudového úložiště. Cloud je šifrovaný heslem na straně uživatele, takže Authy k vašim OTP heslům nemá přístup a nemůže je nikomu vyzradit.
V případě ztráty jednoho ze zařízení může být pomocí cloudu navíc provedena obnova do zařízení nového, ale pouze za předpokladu že budete mít bezpečně uložené vaše heslo pro zálohování, které současně funguje jako šifrovací klíč cloudového úložiště. Tímto mechanismem je odstraněna nevýhoda předchozí aplikace Google Authenticator.
Na co si dát pozor
- V případě Authy si zapište na papír heslo pro zálohování (backup password), které vám pomůže získat znovu přístup k OTP kódům pokud ztratíte své zařízení. Uložte si zálohu na bezpečné místo.
- Svou aplikaci opatřete dostatečným zabezpečením. Na iPhone například FaceID, ať k ní nemá snadno přístup kdokoli, kdo se dostane do vašeho telefonu.
- Vždy, když propojíte nový účet s 2FA aplikací, ukáže vám onen účet i tzv. bezpečnostní kód. Ten je možné použít v případě, že byste ztratili zařízení s 2FA, nebo přístup k němu. Tento bezpečností kód slouží v případě potřeby jako náhrada za 6 místný jednorázový OTP kód a u důležitých účtů je vhodné si jej napsat.
Rizika OTP generátoru
Největším rizikem v případě Google Authenticatoru je ztráta přístup k mobilu s vašimi OTP kódy. V takovém případě budete potřebovat záložní kódy generované při nastavování druhého faktoru. Pro ty účty u kterých nebudete mít ani záložní kódy budete muset komunikovat s podporou, ověřit svoji totožnost a zažádat o resetování 2FA z jejich strany. Některé služby z bezpečnostních důvodů možnosti resetu druhého faktoru ze strany poskytovatele ani neumožňují, jelikož může být tento způsob zneužit. V takovém případě dochází k trvalé ztrátě přístupu k účtu.
V případě Authy je riziko nižší, jelikož ztráta zálohovacího hesla je problematická pouze za předpokladu, že máte aplikaci nainstalovanou jen na jednom zařízení. Pokud používáte Authy na více zařízeních a ztratíte heslo pro zálohování, stále můžete toto heslo resetovat z vašeho alternativního zařízení. Z toho vyplývá, že riziko nedostupnosti druhého faktoru v případě správného používání Authy aplikace spočívá ve ztrátě všech vašich důvěryhodných Authy zařízení a současně zapomenutí zálohovacího hesla.
Příklad ze života
Pan Ludvík, má účet na Facebooku, který používal v minulosti jako reklamní nástroj. Měl svůj Facebook Business účet a v něm data své platební karty. Neměl 2FA. Útočník získal z uniklé databáze jeho heslo a přihlásil se do jeho business účtu. Nastavil si reklamu na vlastní stránku, kterou potřeboval propagovat a Ludvíkovi začaly měsíčně odcházet z účtu nejdříve malé a pak již nezanedbatelné částky. Když si toho Ludvík všiml, zaplatil již Facebooku přes 40 000 Kč za cizí reklamu. Když by měl 2FA, tak by se útočník do jeho účtu nedostal.
Závěr
Pokud 2FA opatříte alespoň svůj e-mail, sociální sítě a finanční služby, výrazně tím zvýšíte bezpečí nejen vlastních dat, ale i dat všech dalších uživatelů, kteří mohou na jejich únik doplatit. Útočníci jsou stále sofistikovanější a databáze na darknetu s hesly nás všech rozsáhlejší. Je spíše otázkou času, kdy se nějaká nepříjemnost stane každému z nás. Je dobré být na takové situace připraven a předcházet jim a to třeba tak, že se budete na internetu komunikovat bezpečněji. Proto doporučujeme náš další článek Digitální bezpečnost: Komunikace na internetu .
Tento článek je 4. dílem seriálu Digitální bezpečnost
Digitální bezpečnost: Správci hesel
Digitální bezpečnost: Dvoufázové ověření
Digitální bezpečnost: Komunikace na internetu
Digitální bezpečnost: Pohyb na internetu