Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
security:modules:basic:2fa [2021/06/29 09:05] berkmane vytvořeno |
security:modules:basic:2fa [2021/08/31 19:58] berkmane [Příklady služeb, které nabízí dvoufázové ověření:] |
||
|---|---|---|---|
| Řádek 3: | Řádek 3: | ||
| Vybírala jsi někdy z bankomatu peníze a zadávala u toho PIN? Tak v tom případě už jsi použila vícefázové ověření. Znamená to, že k potvrzení své identity (tedy práva na přístup k účtu) nepoužíváš jen jméno a heslo, ale i nějaký další důkaz, v případě bankomatu je to karta, tedy něco, co máš, a PIN, tedy něco, co znáš. Díky tomu, že zabezpečení účtu spoléhá na více než jednu věc, je potom pro kohokoliv výrazně obtížnější získat přístup ke tvému účtu, protože by mimo hesla musel získat i něco dalšího, například tvůj telefon. | Vybírala jsi někdy z bankomatu peníze a zadávala u toho PIN? Tak v tom případě už jsi použila vícefázové ověření. Znamená to, že k potvrzení své identity (tedy práva na přístup k účtu) nepoužíváš jen jméno a heslo, ale i nějaký další důkaz, v případě bankomatu je to karta, tedy něco, co máš, a PIN, tedy něco, co znáš. Díky tomu, že zabezpečení účtu spoléhá na více než jednu věc, je potom pro kohokoliv výrazně obtížnější získat přístup ke tvému účtu, protože by mimo hesla musel získat i něco dalšího, například tvůj telefon. | ||
| - | Proto doporučujeme si nastavit vícefázové ověření všude, kde to jde, ale minimálně na emailu a případně účtech, které používáš pro přihlašování na více místech (např. přihlášení přes Facebook účet). Například členky Limitů si ho mohou nastavit i na limitím účtu. | + | Proto doporučujeme, aby sis nastavila vícefázové ověření všude, kde to jde, ale minimálně na emailu a případně účtech, které používáš pro přihlašování na více místech (např. přihlášení přes Facebook účet). Na emailu je to obzvláště důležité, protože přes email si typicky můžeš resetovat hesla na všech ostatních službách, takže pokud někdo získá přístup k emailu, získá přístup ke všemu. Například členky Limitů si pak dvoufázové ověření mohou nastavit i na limitím účtu. |
| ==== Příklady služeb, které nabízí dvoufázové ověření: ==== | ==== Příklady služeb, které nabízí dvoufázové ověření: ==== | ||
| - | * Bitwarden | + | Klikni na odkaz pro návod konkrétní služby. |
| - | + | * [[https://bitwarden.com/help/article/setup-two-step-login-authenticator/|Bitwarden]] | |
| - | * Firefox Account | + | * [[https://www.facebook.com/help/358336074294704|Facebook]] |
| - | + | * [[https://support.mozilla.org/en-US/kb/secure-firefox-account-two-step-authentication|Firefox Account]] | |
| - | * MojeID | + | * [[https://support.google.com/accounts/answer/185839|Google]] |
| - | * PayPal | + | * Limití účet |
| - | * ProtonMail | + | * [[https://www.mojeid.cz/cs/podpora/dvoufaktorova-autentizace/|MojeID]] |
| - | * Seznam Email (v rámci vlastní aplikace) | + | * [[https://www.paypal.com/us/smarthelp/article/faq4057|PayPal]] |
| - | * Slack | + | * [[https://protonmail.com/support/knowledge-base/two-factor-authentication/|ProtonMail]] |
| + | * [[https://napoveda.seznam.cz/cz/zapnuti-dvoufazoveho-overeni/|Seznam Email]] (v rámci vlastní aplikace) | ||
| + | * [[https://slack.com/intl/en-cz/help/articles/204509068-Set-up-two-factor-authentication|Slack]] | ||
| ===== Metody ověřování ===== | ===== Metody ověřování ===== | ||
| Řádek 20: | Řádek 22: | ||
| ==== Autentizační aplikace ==== | ==== Autentizační aplikace ==== | ||
| - | Druhým faktorem je v tomto případě krátký číselný kód, který vygeneruje aplikace, kterou máš nainstalovanou v telefonu. Nejznámější jsou Google Authenticator a Authy, my ovšem pro Android doporučujeme Aegis[odkaz na play store], který má otevřený zdrojový kód. I v případě, že tě služba navádí k použití Google Authenticatoru, můžeš použít i kteroukoliv jinou kompatibilní aplikaci. | + | Druhým faktorem je v tomto případě krátký číselný kód, který vygeneruje aplikace, kterou máš nainstalovanou v telefonu. Nejznámější jsou Google Authenticator a Authy, my ovšem pro Android doporučujeme [[https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis|Aegis]], který má otevřený zdrojový kód, a oproti Authy ti navíc umožňuje zadat libovolné heslo, ne jen čtyřmístný PIN. I v případě, že tě služba navádí přímo k použití Google Authenticatoru, můžeš použít i kteroukoliv jinou kompatibilní aplikaci. |
| Spárování telefonu a služby probíhá naskenováním QR kódu ve službě, případně přepsáním kódu, a následně potvrzením vygenerovaným kódem. | Spárování telefonu a služby probíhá naskenováním QR kódu ve službě, případně přepsáním kódu, a následně potvrzením vygenerovaným kódem. | ||
| - | [sem napsat krátký návod, až to budu moct vyzkoušet na čistém telefonu] | + | Aegis tě po instalaci a prvním spuštěním sám provede úvodním nastavením, ale může být fajn si projít i to podrobnější, najdeš tam další možnosti jako třeba výchozí skrytí kódů a jejich zobrazení až po kliknutí, aby se ti nemohl nikdo na všechny naráz dívat přes rameno. Pokud si budeš Aegis chtít zálohovat, ať už sama nebo přes systémové zálohy, je důležité si nastavit heslo, které tvoje data v aplikaci zašifruje - při úvodním nastavení ti to aplikace sama doporučí. Pro snazší používání si pak můžeš navíc povolit i odemčení na otisk prstu, pokud ho používáš. |
| + | ==== Správce hesel ==== | ||
| - | [popsat další věci, co to umí - šifrovaný kontejner, propojení s biometrikou - dohledat, jestli Aegis umí něco z toho navíc] | + | Většina správců hesel dovoluje i generování jednorázových kódů - funguje to stejně jako autentizační aplikace. Tuhle metodu doporučujeme v případě, že nemáš smartphone, protože bohužel snižuje bezpečnost tím, že tvoje hesla i jednorázové kódy jsou uloženy na jednom místě a tudíž už se nejedná o dva zcela oddělené faktory. Stále tě to však ochrání v případě, že tvoje heslo unikne odjinud než ze správce hesel. Také by sis mohla vytvořit oddělený trezor pouze na jednorázové kódy. |
| - | + | Námi doporučovaný Bitwarden tuto funkci nabízí bohužel pouze v placené verzi (10 dolarů ročně), pokud používáte KeePassXC, tak [[https://blog.paranoidpenguin.net/2020/05/how-to-back-up-your-2fa-secret-keys-with-keepassxc/|ten má tuto funkci volně dostupnou]]. | |
| - | [je potřeba popsat fungování OTP? nepřijde mi to nezbytné, možná odkaz na wiki?] | + | |
| + | ==== SMS ==== | ||
| + | Krátký kód v SMS zprávě je asi nejrozšířenějším prostředkem dvoufázové autentizace, dlouhá léta ho zejména banky používaly jako standard. Dvoufázová autentizace přes SMS je určitě lepší než žádná, takže pokud například služba jinou nenabízí, stále stojí za to si ji nastavit, ale bohužel SMS jsou zranitelné vůči mnoha známým typům útoků, které často nejsou ani drahé, ani zvlášť náročné, zejména pokud má útočník možnost se dostat do tvé fyzické blízkosti. Pokud máte tedy jinou možnost, je lepší se SMS ověření vyhnout. | ||