Bylo vynalezeno v 90. letech (a je široce připisováno společnosti AT&T), ale do popředí se dostalo až v polovině 2000s. Dvoufaktorové ověřování (nebo 2FA, jak se mu častěji říká) je tak jednoduchý princip, že je to skoro krásné — kombinuje něco, co znáte, s něčím, co máte.
Problém a řešení
Problém:
Mezi našimi daty a neoprávněným přístupem stálo jen uživatelské jméno a heslo. Naše účty jsou v podstatě nehlídané dveře, připravené být prolomeny 24/7 bez našeho vědomí. Nepomáhá ani to, že uživatelská jména jsou téměř vždy vytvářena podle vzorce a hesla lze také snadno uhodnout, protože všichni tíhneme ke stejným nápadům.
Například jediné slovo by bylo pro jiného člověka obtížné uhodnout, ale kvůli omezenému počtu slov v anglickém jazyce je to pro počítač překvapivě snadné. Proto nás mnoho webů žádá, abychom svá hesla posílili písmeny a speciálními znaky. Ale s čím dál sofistikovanějším hackerským softwarem a nyní i s nástupem AI ani to nestačí. Pamatujte, že ty „dveře“ k vašemu účtu jsou v éteru dohledatelné 24/7.
Řešení:
Ověření, že se opravdu přihlašujete vy, pomocí něčeho, co může být (logicky) pouze ve vašem držení. Může to být smartphone, e-mailový účet, klíč nebo dokonce biometrie. Ať už se použije jakákoli metoda, 2FA zajišťuje, že pokusy o neoprávněné přihlášení mohou být zablokovány a vy můžete podniknout kroky ke zmírnění dalších narušení.
Jistě, je to vylepšená kontrola totožnosti — obdoba pohledu kukátkem před odjištěním vchodových dveří — ale když se nad tím zamyslíte, její provedení je poměrně důmyslné. Míra zabezpečení a povědomí, kterou 2FA účtu přidává, ji povyšuje nad prostý součet jejích částí.
Tak proč trvalo tak dlouho, než se prosadila? Pravděpodobně šlo jen o kombinaci postupného nárůstu kyberkriminality v průběhu let, četnosti lidí se sekundárními zařízeními a zvýšeného výpočetního výkonu, který mají kyberzločinci k dispozici, takže si musela počkat na svůj čas zazářit. Je také možné, že panovaly obavy ze ztráty sekundárního zařízení.
Kde jsme už roky viděli, že 2FA vyniká
Bankovní a finanční aplikace ji využívají už pěkných pár let. Ale pokud jste si ještě nevšimli, že se rozšířila i do vašich běžnějších účtů, pravděpodobně si toho brzy všimnete. Zavádění už probíhá, protože hackerské technologie jsou stále sofistikovanější a datové společnosti nesou stále větší odpovědnost za ochranu našich dat.
Podívejme se například na 2FA v kontextu e-mailových účtů. Až dosud jste ji možná považovali za trochu zbytečné obtěžování nebo za přehnanou opatrnost při aktivaci 2FA pro své e-mailové účty — ale my vás přesvědčíme, proč se to opravdu vyplatí, zejména pokud podnikáte.
Proč přidat 2FA k zabezpečení vašeho e-mailového účtu?
Za prvé, druhá vrstva ochrany nad rámec vašeho hesla není nikdy špatná věc. Teď se zastavte a zamyslete se nad tím, jaký druh citlivých dat váš e-mailový účet obsahuje:
Bankovní informace — takové, které už jinde chráníte pomocí 2FA celé roky.
Osobní přílohy — fotografie, dokumenty nebo dokonce výtvory, u nichž chcete vlastnit práva duševního vlastnictví.
Historie nákupů — a další data, která mohou být cenná pro inzerenty.
Zdravotní údaje — záznamy o schůzkách, lécích nebo dokonce zdravotních stavech.
Údaje o nemovitostech — nákup domů a podobné důležité procesy často probíhají bez papírování.
A jak jsme zmínili, pokud podnikáte, tato data téměř jistě zahrnují i data vašich zákazníků. Udržovat tato data v bezpečí je zákonná povinnost v zemích s pravidly, jako je GDPR. Zabezpečení e-mailu tedy už začíná znít jako samozřejmost, a to jsme ještě neskončili!
Snad nejzásadnějším důvodem, proč udržovat svůj e-mail v bezpečí, je to, že je bránou k mnoha vašim dalším účtům. Už roky je běžným způsobem resetování hesel. Stačí, aby si někdo s přístupem k vašemu e-mailu přečetl vaše zprávy, zjistil, na jakých webech máte účty, a pak u nich prošel procesem „zapomenutého hesla“.
U téměř všech menších webů je registrovaný e-mailový účet tím jediným, co stojí mezi někým cizím a přístupem k vašemu účtu. To může znamenat, že mnoho vašich účtů bude kompromitováno dříve, než si vůbec uvědomíte, že byl váš účet napaden.
Snadno přidejte 2FA ke svému účtu
Dobrou zprávou je, že přidat 2FA k většině e-mailových účtů je opravdu snadné. Firemní nebo profesionální e-mailové účty tuto funkci nabízejí obzvlášť často. Proces aktivace je obvykle jednoduchý a velmi rychlý, zejména pokud už používáte autentizátor pro jiné aplikace.
Podíváme se na Spacemail (od Spaceship jako dobrý příklad), kde lze 2FA aktivovat několika kliknutími.
Klikněte na ozubené kolečko nastavení vpravo nahoře na obrazovce.
Ve druhém poli klikněte na „Launch security center“.
Na kartě klikněte na TWO FACTOR AUTHENTICATION.
Vyberte si jeden ze dvou podporovaných typů 2FA.
Nezapomeňte uzavřít i další vstupní body
Přidání 2FA k hlavnímu přihlášení je sice skvělé, ale je dost pravděpodobné, že máte do svého e-mailového účtu ještě jiná zadní vrátka, pokud ho máte připojený k aplikaci (jako Outlook nebo Gmail) v telefonu.
Protokoly používané k umožnění této funkce zahrnují IMAP, SMTP a POP3. Pokud jsou povoleny, přístup k vašemu účtu může být nastaven pomocí aplikace, čímž se obejde vámi nakonfigurované 2FA. Chcete-li zaručit bezpečnost, vypněte tyto protokoly, pokud je to možné.
V případě Spacemail je aplikace momentálně ve vývoji a její vydání je plánováno na později v tomto roce. To vám umožní snadný přístup k poště na zařízení, jako je smartphone, aniž by byla ohrožena bezpečnost.
Typy 2FA
Když už mluvíme o „typech 2FA“, podívejme se blíže na to, co to je a jak fungují v kontextu Spacemail. Obecně řečeno existují tři typy 2FA. Všechny používají k ověření jinou věc.
„Něco, co znáte“
Sem patří například další PIN kódy nebo bezpečnostní otázky. Jde o informace, které byste měli znát jen vy — ale v mnoha ohledech se příliš neliší od hesla. Jako starší forma 2FA jsou postupně vyřazovány ve prospěch níže uvedených metod.
Možná jste před několika lety slyšeli radu zvolit si falešné „rodné příjmení matky“ nebo „prvního mazlíčka“, aby lidé nemohli vaši odpověď uhodnout nebo dohledat.
Kvůli své relativní nezabezpečenosti není tato metoda ve Spacemail podporována.
„Něco, čím jste“
Toho jsme se už krátce dotkli. Tento typ 2FA spoléhá na biometrická data, jako jsou otisky prstů, rozpoznávání obličeje a hlasu. To je užitečné tam, kde sekundární zařízení nemusí být nejlepší volbou, například v mnoha případech používáme smartphone, který je sám o sobě sekundárním zařízením.
Biometrie umožňuje sekundární ověření pomocí vás samotných. To však vyžaduje dodatečné senzory, které se obvykle nacházejí jen v novějších a sofistikovanějších zařízeních.
„Něco, co máte“
Do této kategorie spadá většina 2FA a platí to i pro obě možnosti, které najdete ve Spacemail. Ty vyžadují vlastnictví konkrétního zařízení nebo předmětu. Existuje několik způsobů, jak tuto metodu implementovat.
TOTP (časově založené jednorázové heslo)
Kód vygenerovaný aplikací autentizátoru zajišťuje bezpečné přihlášení. Můžete používat aplikace autentizátoru nebo posílat jednorázové kódy prostřednictvím SMS/e-mailu. V případě Spaceship je TOTP povoleno pouze prostřednictvím aplikace autentizátoru, protože je to mnohem bezpečnější.
U2F (Universal 2nd Factor)
U2F používá kryptografii s veřejným klíčem, díky čemuž je bezpečnější a odolnější vůči phishingu. Nevyžaduje ruční zadávání kódů. Jednoduše vložíte hardwarový klíč (například YubiKey) do svého zařízení. Další výhodou je, že pokud vám někdo ukradne smartphone, je pro přístup k účtům zabezpečeným 2FA potřeba další zařízení (klíč).
Kterou metodu zvolit
U2F je obecně považováno za bezpečnější, protože zařízení jsou odolná proti manipulaci a kryptografický proces je vázán na konkrétní web nebo aplikaci. To zajišťuje, že i když je uživatel oklamán a navštíví falešný web, ověření selže, protože falešný web nedokáže napodobit požadované zabezpečené připojení.
Samozřejmě, pořízení U2F klíče s sebou nese určité náklady, ale pokud jde o vaši bezpečnost, může to stát za to.
2FA jako součást vyvážené bezpečnostní diety…
Člověk nemůže žít jen z 2FA. Nenahrazuje dobré komplexní bezpečnostní postupy. Naše e-mailové účty jsou obzvlášť náchylné k phishingu a malwarovým útokům. Ironií je, že aby v tomto směru představoval někdo hrozbu, nemusí se do vašeho účtu vůbec dostat. Stačí jen poslat e-mail.
Proto jsou účty, které nabízejí další ochranu proti e-mailovým hrozbám, zejména antispamové filtry, také rozumnou investicí. Tím, že vám zabrání vůbec vidět e-maily obsahující sociálně inženýrské pasti nebo malware, neuvidíte ani největší riziko pro svou bezpečnost.Aktivujte si 2FA na svém účtu ještě dnes, a pokud zjistíte, že ji nemá, zvažte přechod na jiný, který ji má.
Často kladené otázky
2FA je zkratka pro dvoufaktorové ověřování. Nejběžnější metoda 2FA přidává k přihlášení další vrstvu zabezpečení tím, že kombinuje něco, co znáte (vaše uživatelské jméno a heslo), s něčím, co vlastníte (nejčastěji chytrý telefon nebo klíč). To znamená, že budete upozorněni, pokud bude požadováno jakékoli neoprávněné přihlášení.
2FA ověřuje vaši identitu při přístupu k vašemu účtu. Zároveň vás také upozorní, pokud se dovnitř snaží dostat někdo jiný. E-mailové účty jsou pro kyberzločince obzvlášť dobrým cílem, protože obsahují spoustu citlivých údajů a mohou také fungovat jako brána k dalším účtům prostřednictvím běžného procesu „zapomenutého hesla“ — který se ve velké míře spoléhá na registrovanou e-mailovou adresu.
Mnoho účtů, zejména těch určených pro firemní uživatele, ji zahrnuje jako standard. Obvykle je poměrně snadné ji nastavit v nastavení zabezpečení. Obvykle je to rychlejší, pokud už máte autentizační aplikaci nebo klíč, který používáte.
Ano, existuje několik druhů 2FA. Nejběžnější využívá zařízení, jako je chytrý telefon nebo klíč U2F (samostatné zařízení). Biometrie se také počítá jako druhý faktor ověřování a technicky sem patří i zastaralejší bezpečnostní otázky (například „rodné příjmení matky“), ale dnes se používají zřídka kvůli tomu, jak snadno je lze uhodnout.
Přihlaste se ke svému účtu. Klikněte na ozubené kolečko nastavení vpravo nahoře na obrazovce. Ve druhém poli klikněte na „Launch security center“. Na kartě klikněte na TWO FACTOR AUTHENTICATION. Vyberte si jeden ze dvou podporovaných typů 2FA.
Doporučené články
Sdílejte své myšlenky