Co je a jak funguje dvoufaktorové ověření (2FA) pro online přihlašování

overeni otiskem prstu

Foto: Stocklib

Některé účty musíme chránit, jak jen to jde

Když se přihlašujeme prakticky do jakékoliv služby nebo online účtu kdekoliv, tak potřebujeme znát kombinaci přihlašovacího jména a hesla. Pokud je naše heslo velmi silné a správně zvolené, bude tato kombinace téměř vždy dostatečná. Na druhou stranu tu máme i služby, které jsou natolik důležité, že je jejich zabezpečení naprostou prioritou. Může jít hlavně o:

  • E-mailový účet
  • Internetové bankovnictví nebo jiné finanční služby
  • Sociální sítě
  • Administrace webů
  • Firemní účty

Pokud někdo prolomí náš účet na fanouškovské stránce o nějakém seriálu, tak to asi nějak překousneme, i když je to samozřejmě nepříjemné. Výše zmíněné účty (ale možná máte i další velmi důležité) jsou ale naprosto zásadní a jakékoliv prolomení jejich bezpečnosti může způsobit opravdu výrazné škody.

E-mailový účet obvykle funguje jako takzvaný master účet, a je to tedy účet, díky kterému je možné obnovit hesla do dalších služeb třeba pomocí funkce Zapomněli jste heslo, která se nachází prakticky všude, kde je potřeba se přihlásit. Sociální sítě zase mohou obsahovat vaši komunikaci nebo citlivé údaje.

I když tak u těchto účtů máme nastavena silná hesla, je dobré je zabezpečit tak silně, jak jenom to jde. A tady na řadu přichází dvoufaktorová nebo dvoufázová autorizace. Co to vlastně je?

Co je dvoufaktorová autentizace (zkráceně 2FA od Two-Factor Authentication)

Dvoufaktorová autentizace přidává další vrstvu ověření, která je potřeba pro přihlášení se na účet. Kromě jména a hesla je tedy potřeba zadat ještě nějaký další údaj nebo přidat potvrzení. Podíváme se, jaké jsou druhy dvoufaktorové autentizace:

Fyzický token

rsa token

Foto: Alexander Klink, CC BY 3.0, via Wikimedia Commons

Princip je takový, že k přihlášení se do účtu je potřeba něco, co máte vy a jen vy. Může jít o RSA token, který pravidelně generuje kódy, které je potřeba zadat, ale také různé elektronické karty ne USB flashdisky, které je potřeba připojit k počítači, aby bylo možné se přihlásit.

Ověření přes mobilní aplikaci

Velmi oblíbené a účinné je ověření přes mobilní aplikaci – nejpoužívanější jsou aplikace zdarma Google Authenticator (pro Android zde, pro iOS zde) nebo Authy. Aplikace se propojí s vaším účtem a podle matematických vzorců každých 30 sekund vygeneruje nový kód, který je potřeba zadat při přihlášení. Kód se generuje i bez připojení k internetu, takže se můžete přihlásit kdykoliv.

Kódy se mění pravidelně a nikam se neposílají nebo nepřijímají, takže je nelze tak snadno odposlouchávat. Pro přístup do aplikace je potřeba odemknout telefon, což přidává další způsob ověření. Jestli služba, do které se přihlašujete, povoluje tuto možnost ověření, tak jí určitě povolte a nastavte. Jde spolu s fyzickým tokenem o nejbezpečnější způsob zabezpečení vašich online účtů.

Ověření biometrických údajů

Kromě jména a hesla je potřeba ověřit přihlášení přes mobilní telefon, na který je potřeba zadat gesto, otisk prstu nebo ověření obličeje. Tento způsob je mnohdy pohodlnější, protože se nemusí nic přepisovat, ale i bezpečnější. I když by útočník držel váš telefon v ruce, tak se k účtu typicky nepřihlásí, pokud zrovna nezná vaše gesto k odemčení mobilu.

Různé služby mohou vyžadovat různý stupeň ověření, tedy že vyžadují minimálně například otisk prstu.

Ověření přes SMS nebo hovor

Po správném zadání jména a hesla na mobilní telefon přijde SMS nebo hovor, ve kterých se nachází kód. Ten je potřeba zadat jako další způsob ověření. Aby tedy bylo možné se do účtu přihlásit, je potřeba také mít v ruce telefon.

Hovory lze ovšem typicky zvedat i bez odemčení telefonu a SMS zprávy lze obvykle vidět díky upozorněním, kde jsou potřebné kódy vidět také bez odemčení. Zabezpečení účtu se tak rozhodně zvyšuje, ale pokud nějakým způsobem útočník drží váš telefon, tak ho nemusí pro využití tohoto způsobu ověření ani odemknout.

Obecně je tento typ dvoufaktorového ověření nejslabší, protože komunikaci s mobily lze odposlouchávat a SMS přečíst. I toto ověření je ovšem lepší, než ověření žádné.