Zatímco organizace stále vymýšlejí důkladnější obranné prostředky, běžní uživatelé se léta spoléhají na prokazování do různých služeb jménem a heslem. Ti pečlivější potom zapojili – nebo aspoň někde – vícefázové ověřování, respektive dvoufázovou (chcete-li dvoufaktorovou) autentifikaci.
Pomoci ní se lze bezpečně přihlásit k webové stránce nebo aplikaci tím, že při autentifikaci poskytnete dva nebo víc důkazů (faktorů) dokazujících vaši identitu: znalost (něco, co ví pouze uživatel), vlastnictví (něco, co má pouze uživatel) či charakteristiku (něco, čím je pouze daný uživatel). Vícefázové ověření chrání uživatele před krádeží digitální identity (osobních údajů, peněz nebo jiného majetku). Dvoufázové přihlášení uživatelů podporují například Google, Facebook, Steam, online bankovnictví, e-mailové schránky, správci hesel apod. Služeb a zařízení s možností dvoufázového ověřování velmi rychle přibývá, což je dobře.
Dvoufaktorová autentifikace tak vytváří další obrannou vrstvu, která vyžaduje, aby uživatelé použili textovou zprávu, biometrii (otisk prstu, obličeje, sítnice), aplikaci nebo hardwarový klíč k potvrzení, že se skutečně pokoušejí přihlásit ke svému účtu. To může pomoct zabránit kybernetickým zločincům v přihlašování k online účtům s prolomenými nebo odcizenými hesly.
Zatímco aktivace tohoto dalšího bezpečnostního prvku je zatím dost často na uživateli – zda ho bude používat –, v budoucnu může být vše jinak. Společnosti ho například mohou povinně vyžadovat, což se u některých již děje. Standardem je to již třeba v bankovnictví. Hackeři díky tomu mají znesnadněnou práci. I když se dostanou k přihlašovacímu jménu a heslu, bez druhého ověření prostě do online bankovnictví nevstoupí. Dvoufaktorové autentifikační kontroly tak zajistí bezpečí.
Podle průzkumu DCMS Cyber Security Breaches Survey 2022 pouze třetina organizací vyžaduje dvoufaktorovou autentifikace uživatelských účtů. |
Nejlepší způsob vícefaktorové autentifikace
Způsobů dvoufázového ověřování existuje několik. Kromě možnosti poslat speciální kód do e-mailu se hojně využívá i zaslání SMS na telefonní číslo, ve které je uveden bezpečností kód. Obě tyto metody se však pokládají za méně bezpečné a již překonané. Útočníci totiž mohou přesměrovat jak e-mail, tak textové zprávy. Proto za nejlepší možnou variantou se dnes považuje aplikace ve smartphonu. Toto zařízení má dnes po ruce skoro každý, přístup se provádí snadným potvrzením notifikace, případně se použije speciálně zobrazený kód, který se přepíše do služby, do které se vstupuje.
Zatímco pro notifikace, respektive potvrzení se používají přímo aplikace společností, kam se přihlašujete, a tudíž by mělo jít o nejbezpečnější formu – typicky to je online bankovnictví, digitální státní identity a podobně –, pro přepisování není nutné mít pokaždé jinou aplikaci pro autorizaci. V případě, že to provozovatel služby umožňuje, lze použít jen jednu aplikaci.
Služba Twilio
Mezi nejpoužívanější zdarma dostupné aplikace patří Google Authenticator, Twilio Authy Authenticator nebo Microsoft Authenticator. Všechny zmíněné aplikace pracují na podobném principu.
Jak fungují autentifikační aplikace
Princip aplikací je založen na generování jednorázových přístupových kódů založených na aktuálním čase (TOTP nebo OTP), které jsou obvykle šestimístné a obnovují se většinou každých třicet sekund. Jakmile je nastavena vícefaktorová autentifikace, pokaždé, když se uživatel chce přihlásit k vybrané službě nebo třeba i k zařízení (například lze využít u NAS – datových úložišť), je vyžadováno přepsání kódu z aplikace do přihlašovacího formuláře a následně se ocitne ve službě. Časový limit se používá z důvodu, aby zloděj, kterému se případně podaří získat přístupové údaje (jméno a heslo) nemohl uhodnout přístupový kód (za těch pár sekund je to téměř nemožné nějak obejít). Jen dodejme, že kódy jsou generovány na základě různých algoritmů.
Protože služby obvykle používají řešení založené na stejném standardu, lze je zkombinovat do jedné. Což je obrovská výhoda a díky tomu není nutné jich používat několik. Stačí si tedy stáhnout jednu aplikaci, nainstalovat ji a přidat jednotlivé používané služby. To se provádí otevřením každé jednotlivé služby, která má implementovanou podporu dvoufázového ověřování prostřednictvím aplikace. Většinou se toto nastavení nachází někde v části zabezpečení apod. Například v případě Facebooku stačí přejít na tuto stránku, prokázat se přístupovým heslem a v části Autentizační aplikace kliknout na Spravovat > Přidat novou aplikaci. Zobrazí se QR kód a textový kód. Potom stačí otevřít aplikaci ve smartphonu a kliknout na volbu pro přidání nového účtu, naskenovat QR kód prostřednictvím fotoaparátu nebo přepsat kód. Pak už stačí zadat zobrazený potvrzovací kód v aplikaci do služby a je to.
Závěrem
I přes své nedokonalosti poskytuje vícefaktorové ověřování lepší ochranu než pouhé používání hesel. Stručně řečeno, tento další ochranný stupeň by měl být používán všude, kde je to možné. Poskytuje lepší zabezpečení než v případě opisování SMS kódů. Je potřeba si totiž uvědomit, že i kdyby došlo k tomu, že někdo ukradne přihlašovací jméno a heslo, tato metoda účet ochrání. Tedy za předpokladu, že útočník nemá fyzický přístup k „odemčenému“ telefonu. Aktivace a nastavení trvá méně než dvě minuty a zvýšení bezpečnosti je zaručeno.
