Toto je starší verze dokumentu!


Vícefázové ověření

Vybírala jsi někdy z bankomatu peníze a zadávala u toho PIN? Tak v tom případě už jsi použila vícefázové ověření. Znamená to, že k potvrzení své identity (tedy práva na přístup k účtu) nepoužíváš jen jméno a heslo, ale i nějaký další důkaz, v případě bankomatu je to karta, tedy něco, co máš, a PIN, tedy něco, co znáš. Díky tomu, že zabezpečení účtu spoléhá na více než jednu věc, je potom pro kohokoliv výrazně obtížnější získat přístup ke tvému účtu, protože by mimo hesla musel získat i něco dalšího, například tvůj telefon.

Proto doporučujeme, aby sis nastavila vícefázové ověření všude, kde to jde, ale minimálně na emailu a případně účtech, které používáš pro přihlašování na více místech (např. přihlášení přes Facebook účet). Na emailu je to obzvláště důležité, protože přes email si typicky můžeš resetovat hesla na všech ostatních službách, takže pokud někdo získá přístup k emailu, získá přístup ke všemu. Například členky Limitů si pak dvoufázové ověření mohou nastavit i na limitím účtu.

Příklady služeb, které nabízí dvoufázové ověření:

  • Bitwarden
  • Facebook
  • Firefox Account
  • Google
  • Limití účet
  • MojeID
  • PayPal
  • ProtonMail
  • Seznam Email (v rámci vlastní aplikace)
  • Slack

Metody ověřování

Autentizační aplikace

Druhým faktorem je v tomto případě krátký číselný kód, který vygeneruje aplikace, kterou máš nainstalovanou v telefonu. Nejznámější jsou Google Authenticator a Authy, my ovšem pro Android doporučujeme Aegis, který má otevřený zdrojový kód, a oproti Authy ti navíc umožňuje zadat libovolné heslo, ne jen čtyřmístný PIN. I v případě, že tě služba navádí přímo k použití Google Authenticatoru, můžeš použít i kteroukoliv jinou kompatibilní aplikaci. Spárování telefonu a služby probíhá naskenováním QR kódu ve službě, případně přepsáním kódu, a následně potvrzením vygenerovaným kódem.

Aegis tě po instalaci a prvním spuštěním sám provede úvodním nastavením, ale může být fajn si projít i to podrobnější, najdeš tam další možnosti jako třeba výchozí skrytí kódů a jejich zobrazení až po kliknutí, aby se ti nemohl nikdo na všechny naráz dívat přes rameno. Pokud si budeš Aegis chtít zálohovat, ať už sama nebo přes systémové zálohy, je důležité si nastavit heslo, které tvoje data v aplikaci zašifruje - při úvodním nastavení ti to aplikace sama doporučí. Pro snazší používání si pak můžeš navíc povolit i odemčení na otisk prstu, pokud ho používáš.

Správce hesel

Většina správců hesel dovoluje i generování jednorázových kódů - funguje to stejně jako autentizační aplikace. Tuhle metodu doporučujeme v případě, že nemáš smartphone, protože bohužel snižuje bezpečnost tím, že tvoje hesla i jednorázové kódy jsou uloženy na jednom místě a tudíž už se nejedná o dva zcela oddělené faktory. Stále tě to však ochrání v případě, že tvoje heslo unikne odjinud než ze správce hesel. Také by sis mohla vytvořit oddělený trezor pouze na jednorázové kódy. Námi doporučovaný Bitwarden tuto funkci nabízí bohužel pouze v placené verzi (10 dolarů ročně), pokud používáte KeePassXC, tak ten má tuto funkci volně dostupnou.

SMS

Krátký kód v SMS zprávě je asi nejrozšířenějším prostředkem dvoufázové autentizace, dlouhá léta ho zejména banky používaly jako standard. Dvoufázová autentizace přes SMS je určitě lepší než žádná, takže pokud například služba jinou nenabízí, stále stojí za to si ji nastavit, ale bohužel SMS jsou zranitelné vůči mnoha známým typům útoků, které často nejsou ani drahé, ani zvlášť náročné, zejména pokud má útočník možnost se dostat do tvé fyzické blízkosti. Pokud máte tedy jinou možnost, je lepší se SMS ověření vyhnout.

  • security/modules/basic/2fa.1630439488.txt.gz
  • Poslední úprava: 2021/08/31 19:51
  • autor: berkmane