Google, Facebook, Apple, Microsoft, Dropbox a mnoho ďalších online služieb ponúka dvojfaktorová autentifikácia (2FA) ako možnosť na ochranu vášho účtu.

Zadanie textového kódu nie je najlepší spôsob, ako to urobiť 2FA. Poďakovanie: golubovystock / Shutterstock
(Obrázkový kredit: Zadanie textového kódu nie je najlepším spôsobom, ako to urobiť 2FA. Poďakovanie: golubovystock / Shutterstock)

Keď je povolená funkcia 2FA, je pre podvodníka oveľa ťažšie preniknúť na váš účet, aj keď vie alebo vie uhádnuť vaše heslo, pretože podvodníkovi bude chýbať ten rozhodujúci druhý faktor, ktorý vlastníte iba vy. My v Tom's Guide vyzývame našich čitateľov, aby umožnili 2FA, kedykoľvek môžu.

Existuje ale niekoľko rôznych foriem dvojfaktorovej autentifikácie a bohužiaľ pravdepodobne používate tú najhoršiu. Tu je príklad, ako vylepšiť svoju hru 2FA.

ĎALŠIE: Najlepší správcovia hesiel

Dvojfaktorová autentifikácia spočíva v poskytnutí druhej formy autentifikácie po zadaní používateľského mena a hesla pri prihlásení do online účtu.

Druhou formou overenia alebo faktorom nemôže byť iba ďalšie heslo alebo PIN. Musí to súvisieť s niečím, čo máte jedine vy, napríklad so smartfónom alebo hardvérovým bezpečnostným kľúčom alebo s jedinečným fyzickým atribútom, ako je váš odtlačok prsta alebo vaša tvár.

Najmenej v bezpečí 2FA

- Textové alebo hlasové kódy: Najbežnejším druhým faktorom pre 2FA je dočasný štvor- alebo šesťmiestny digitálny alebo abecedný kód zaslaný SMS správou na váš mobilný telefón. Kód je automaticky generovaný službou, do ktorej sa prihlasujete, a je dobrý iba na krátky čas, zvyčajne menej ako 5 minút. Variáciou je automatický telefónny hovor, ktorý vám načíta kód, ktorý funguje aj s pevnými linkami.

Môže ísť o druh 2FA, ale je to aj najmenej bezpečná forma. Textové správy a hlasové hovory nie sú šifrované a viažu sa skôr na vaše telefónne číslo ako na konkrétne zariadenie. Môže ich zachytiť ktokoľvek, kto ukradol vaše telefónne číslo, zmenil váš účet na presmerovanie hovorov alebo textových správ na druhé číslo alebo pracoval u telefónneho operátora. Aby texty mohli vôbec fungovať, musíte mať k dispozícii aj celulárnu službu.

2FA založené na SMS a hlasu sú lepšie ako žiadne 2FA a veľa online služieb vám nedáva inú možnosť. K dispozícii sú lepšie druhé faktory, niektoré z nich sa však rovnako ľahko nastavujú ako systém s textovým kódom.

Bezpečnejšie 2FA

- Push kódy: Jedná sa o dočasné kódy odosielané prostredníctvom šifrovaného internetového pripojenia, a nie telefónnych liniek, do aplikácie vo vašom inteligentnom telefóne alebo do operačného systému telefónu. Spoločnosť Apple to robí so zariadeniami iPhone, iPad a iPod Touch so systémom iOS 9 alebo novším. (Zariadenia s Androidom a staršie telefóny iPhone používajúce Apple 2FA sa musia držať kódov založených na SMS.)

- Hardvérové ​​tokeny generujúce kód: Ak ste pred 10 alebo 15 rokmi pracovali vo veľkej spoločnosti, možno ste dostali za kľúčenku malý doohickey, ktorý každých 30 sekúnd zobrazoval nové šesťciferné číslo. Toto číslo ste zadali vždy, keď ste sa prihlásili do siete pracoviska z domu alebo na cestách. Už sa príliš nepoužívajú, pretože je jednoduchšie generovať kódy na smartfónoch.

2FA, stará cesta: ovládač generujúci kód RSA. Poďakovanie: Dave Clark Digital Photo / Shutterstock
(Obrázkový kredit: 2FA, stará cesta: kľúčenka generujúca kód typu RSA. Poďakovanie: Dave Clark Digital Photo / Shutterstock)

- Aplikácie autentifikátora generujúce kód: Dočasné overovacie kódy vám nemusia byť zasielané; môžu sa generovať priamo vo vašom telefóne. Robia to desiatky aplikácií autentifikátora a veľa z nich je zadarmo. Najznámejšie sú Authy, Duo Mobile, Google Authenticator, LastPass Authenticator a Microsoft Authenticator.

Mnoho online služieb - vrátane Amazon, Dropbox, Facebook, Google, PayPal, Slack a Twitter - podporuje kódy generované autentifikátorom ako alternatívu k kódom založeným na SMS. Všetky aplikácie je možné použiť pre viac účtov. Ak chcete, aby kódy fungovali, nemusíte mať v telefóne mobilné pripojenie alebo dokonca Wi-Fi.

Aplikácia Google Authenticator na obrazovke aplikácie iPhone. Poďakovanie: BigTunaOnline / Shutterstock
(Obrázkový kredit: Aplikácia Google Authenticator na obrazovke aplikácie pre iPhone. Poďakovanie: BigTunaOnline / Shutterstock)

Nastavenie aplikácie autentifikátora je jednoduché. Prihláste sa do služby online na webovom prehliadači pre stolné alebo prenosné počítače, prejdite do nastavení zabezpečenia a označte, že chcete nastaviť aplikáciu autentifikátora pre 2FA. Stránka vám zobrazí QR kód, ktorý pomocou fotoaparátu v telefóne zachytíte v aplikácii autentifikátora na telefóne. To by malo urobiť.

Žiadna forma 2FA používajúca dočasné kódy však nie je imúnna phishingové útoky. Šikovní zločinci vás môžu oklamať falošnou webovou stránkou, ktorá vyzerá ako web, na ktorý máte písať. Zločinec potom zhromaždí kód, ktorý zadáte, a zadá ho do skutočnej stránky. Takéto útoky boli proti účtom Google úspešné.

Ešte bezpečnejšie

- Schválenia push: Čo keby ste namiesto písania kódu mohli klepnúť na „Áno“ alebo na začiarknutie na telefóne? Spoločnosť Microsoft to ponúka so svojou aplikáciou Microsoft Authenticator; Yahoo má zabudovanú svoju aplikáciu Yahoo Mail; a Google ich integruje priamo do systému Android pre podnikových používateľov G Suite.

Háčik je v tom, že sa musíte prihlásiť do svojich účtov Microsoft, Yahoo alebo G Suite. Mnoho aplikácií na autentifikáciu tretích strán, vrátane Authy a Duo Mobile, však dokáže spracovať push notifikácie pre viac služieb.

Škodlivé aplikácie pre Android tiež môžu napodobňovať alebo uniesť upozornenia push a prinútiť používateľa, aby omylom schválil neoprávnené prihlásenia do účtu. U zariadení so systémom iOS to nie je menší problém.

Najbezpečnejšie 2FA zo všetkých

- Bezpečnostné kľúče USB: Jedná sa o malé zariadenia v tvare kľúča, ktoré zapojíte do portu USB počítača, keď sa prihlasujete na webovú stránku z nového počítača. Niektoré bezpečnostné kľúče tiež umožňujú komunikáciu v blízkom poli (NFC) pre komunikáciu so smartfónmi.

Najznámejšie bezpečnostné kľúče USB vyrába spoločnosť Yubico a volajú sa YubiKeys, existuje však niekoľko ďalších výrobcov a niekoľko rôznych štandardov. Základným štandardom je univerzálny druhý faktor (U2F), ktorý je najviac podporovaný.

Štandardný bezpečnostný kľúč USB kompatibilný s U2F. Poďakovanie: IMG Stock Studio / Shutterstock
(Obrazový kredit: Štandardný bezpečnostný kľúč USB kompatibilný s U2F. Poďakovanie: IMG Stock Studio / Shutterstock)

Ak chcete nastaviť bezpečnostný kľúč USB, zaregistrujete ho v službe online z počítača, v ktorom už služba je „trusty“. Jeden kľúč môžete použiť s viac ako jedným účtom a z jedného účtu môžete zaregistrovať viac ako jeden účet kľúč.

Podpora bezpečnostných bezpečnostných kľúčov USB zatiaľ nie je rozšírená. Google podporuje kľúče založené na U2F, rovnako ako Dropbox, Facebook a Twitter, ale veľa iných online služieb to neponúka. Najrozšírenejšiu podporu nachádzajú správcovia hesiel: Dashlane a Strážca podporuje kľúče U2F, zatiaľ čo LastPass a 1Heslo podporujú vlastný štandard spoločnosti Yubico.

Druhou nevýhodou je, že bezpečnostné kľúče USB stoja peniaze. Ceny sa pohybujú od 8 dolárov za internet Kľúč HyperFIDO U2F bez NFC na 60 dolárov za drobné od spoločnosti Yubico USB-C YubiKey Nano. Najvýhodnejšia cena môže byť 17 dolárov Kľúč U2F s NFC od spoločnosti Feitian, rovnaké ako to, čo Google niekedy predáva ako súčasť svojej ponuky Zväzok bezpečnostných kľúčov Titan.

Ak získate bezpečnostný kľúč USB, mali by ste si zaobstarať druhý ako zálohu pre prípad, že by ste prvý stratili. Napriek nákladom a zatiaľ obmedzenej podpore sú bezpečnostné kľúče USB najlepším a najbezpečnejším druhým faktorom pre 2FA.

Váš telefón s Androidom: Od apríla 2019 vám Google umožňuje zaregistrovať ako bezpečnostný kľúč telefón so systémom Android 7 Nougat alebo novším. Proces registrácie (podrobné pokyny sú tu) je to isté ako nastavenie bezpečnostného kľúča USB, ale namiesto kľúča vyberiete kompatibilný telefón s Androidom.

Existuje niekoľko úlovkov: Bude to fungovať iba pre váš účet Google; musíte sa prihlásiť do účtu pomocou desktopového prehliadača Chrome na počítači so systémom Windows 10, macOS alebo Chrome OS (zjavne nie Linux); počítač aj telefón s Androidom musia mať zapnuté rozhranie Bluetooth. (Nie je potrebné ich párovať.)

Kredit na snímke: Tom's Guide
(Kredit na obrázku: Kredit na obrázku: Tom's Guide)

Po zadaní používateľského mena a hesla do prehliadača na pracovnej ploche sa zobrazí výzva na interakciu s telefónom s Androidom. Ak máte Telefón Google Pixel 3, môžete jednoducho kliknúť na tlačidlo zníženia hlasitosti.

V prípade ostatných telefónov s Androidom budete musieť odpovedať na upozornenie push na obrazovke telefónu. (Je to bezpečnejšie ako bežné upozornenie push, ktoré dostanete so službou G Suite, pretože telefón musí byť v dosahu Bluetooth počítača, do ktorého sa prihlasujete.)

Pre budúcnosť

- Biometria: Nezabudnime na jedinečné identifikátory, s ktorými ste sa narodili: vaše odtlačky prstov, vzory dúhovky a tvár. V súčasnosti sa väčšinou používajú na miestne prihlásenie do zariadení, napríklad pomocou tváre alebo odtlačku prsta na odomknutie obrazovky smartphonu alebo notebooku (pokiaľ váš laptop podporuje Windows Dobrý deň).

Ale s nový štandard FIDO2, biometriu je možné použiť aj na prihlásenie do služieb online. Najlepším súčasným príkladom je spoločnosť Microsoft, ktorá vám umožňuje prihlásiť sa do ktorejkoľvek zo svojich online služieb pomocou počítača kompatibilného s Windows Hello. Niekoľko bezpečnostných kľúčov USB obsahuje športové čítačky odtlačkov prstov určené na použitie s Windows Hello.

Diaľkové ovládanie založené na odtlačkoch prstov 2FA. Poďakovanie: NicoElNino / Shutterstock
(Obrazový kredit: diaľkový ovládač 2FA založený na odtlačkoch prstov. Poďakovanie: NicoElNino / Shutterstock)

Pre bežné použitie nie je potrebné heslo, aj keď na nastavenie tohto systému na nových zariadeniach budete musieť použiť svoje heslo spoločnosti Microsoft. Microsoft Edge, Google Chrome a Mozilla Firefox tiež podporuje FIDO2, ale zatiaľ to ponúka len málo online služieb iných spoločností ako Microsoft.

Nie sme celkom v bode, kedy by ste si mohli sami nastaviť 2FA bez hesla. Môžete však očakávať, že sa to v budúcnosti uchytí ako FIDO2 a štandardizované biometrické formáty.

  • Ako získať lepší dvojfaktorový autentifikačný kľúč za 20 dolárov
  • Čo robiť po porušení ochrany údajov
  • Heslá nie sú mŕtve - iba ich nesprávne používate