Úvodní fotografie k článku "Dvoufaktorové zabezpečení"

2FA: proč zapnout dvoufaktorové zabezpečení a jak to udělat

Doba čtení: 12 min

Digitální dovednosti a návyky v oblasti kybernetické bezpečnosti se stávají součástí běžného života. Stejně jako to, že umíte číst, psát a počítat. Aktivita kybernetických útočníků roste a nikdo nechce přivést sebe ani své blízké do problémů. Pomůže vám s tím i technologie dvou faktorového ověření, neboli zkráceně 2FA (Two Factor Authentication). Jde o aktivaci více prvků bezpečnosti, které jsou na sobě nezávislé. Pojďte se seznámit s touto technologií, souvisejícími riziky a konkrétními příklady jejího využití a nastavení.

Od hesla a otisků prstů ke scanování oční duhovky

V oblasti internetového bankovnictví byl 2FA používán od prvopočátků. Šlo o kombinaci jména a hesla, doplněnou dalším ověřením, například SMS kódem, ověřením přihlášení, nebo potvrzení platby přes bankovní aplikaci. Jedná se o proces, který slouží už dlouhá léta i mimo internet:

  • v bance na přepážce ověřujete svoji totožnost hned 3 faktory – občanským průkazem, svým obličejem, a svým podpisem
  • na letišti dnes ukazujete svůj obličej, předkládáte pas, a bezpečnostní složky provádí ověření i v externí databázi
  • do míst s přísně střeženým přístupem jsou vyžadovány třeba i otisky prstů, scany oční duhovky, fyzické čipové karty, nebo musíte být v doprovodu dalších osob

Více bezpečnostních faktorů znamená lepší zabezpečení, ale také ruku v ruce s tím také roste časová a technologická náročnost ověření.

Proč bylo 2FA zavedeno? Protože samotná hesla budou jednou téměř k ničemu!

Nikdo nechce pracně ověřovat svoji identitu více, než je zdrávo. Na druhou stranu jsou přístupy k vlastnímu emailu nebo přístupy do firemních systémů poměrně kritickým bodem. Jde například o systémy zaměstnavatele, kde pracujete s osobními nebo obchodními údaji. Přihlašovací jméno a heslo už v takovém případě nestačí. Za určitých předpokladů může být i nebezpečné. Kdo ponese případnou odpovědnost za průlom do systému? Nejsme v situaci za 5 minut 12, ale doslova několik hodin po půlnoci. Proč? Protože bezpečnostní otázky spojené s vyžádáním zapomenutého hesla jsou v kombinaci se sociálními sítěmi a sociálním inženýrstvím velkým problémem.

Důležité informace jako 2. stupeň ochrany přístupů?

Co takhle napsat na Facebook rovnou hesla k bankovním účtům, ať je to jednodušší a hackeři nemají moc práce?

Na sociálních sítích na sebe drtivá většina uživatelů “vykecá” více, než je zdrávo. Nebo to udělají známí. Osobní otázky jako další faktor autentizace jsou rizikové. Dříve “tajné informace”, jako jméno manželky, kde jste studovali, jméno vašeho prvního psa, nebo kde jste se narodil(a) mají totiž doslova miliardy lidí napsané na svém Facebookovém profilu. Pokud mi zavolá banka, a ještě dnes se při ověření identity po telefonu zeptá na datum mého narození, zůstávám sedět s otevřenou pusou. Následně se tedy zeptám, jak mi volající vůbec prokáže, že se jedná o zástupce banky a ne někoho, kdo mě chce okrást? Následuje koktání a totální nepřipravenost. Vaše telefonní číslo zná kdekdo, stejně jako se kdekdo může vydávat za bankovního specialistu. Stačí aby si uměl založit virtuální telefonní číslo.

Víte, že už je vaše heslo možná veřejným tajemstvím?

Drtivá většina uživatelů nezvládá návyky pro tvorbu silných hesel. Takže vznikají hesla jako 123456, password, heslo, admin, qwerty či něco podobného. Kdo vymyslí “extra drsnou” variantu, obvykle skončí u jména svého psa, manželky, milenky, místa dovolené, rodného čísla, nebo města, přihodí aktuální rok, a pojistí to zavináčem. Zmíněné myšlenkové pochody jsou v hackerských kruzích dávno známé a zapracované do výpočetních algoritmů. S velkou pravděpodobností dokáží vaše heslo automaticky vygenerovat – a dost možná ho jednou zkusí použít.

Ukázkovým příkladem oběti sociálního inženýrství je americký prezident Donald Trump. V roce 2012 byl prolomen jeho účet na Twitteru – prezidentovo heslo? “yourefired” – což je fráze, kterou vyslovil v televizní show a utkvěla v hlavě nějakému pozornému posluchači. Těsně před prezidentskými volbami 2020 byl jeho Twitter účet hacknutý opětovně – a to heslem ,,maga2020″Make Amerika Great Again. Což bylo jeho volební heslo. O tento průnik se z žertu pokusil bezpečnostní expert a ani se nemusel moc snažit. Stačilo se na chvíli zamyslet a heslo uhodnul na 5. pokus jen díky tomu, že o své oběti zjistil trochu informací na sociální síti. Nepotřeboval ani HW za miliony ani moc energie. Kdyby měl Donald 2FA, mohl nadále používat toto krásné heslo. 🙂 Teď si ale představte, že hacknutý účet může ovládat mínění stamilionů lidí, a nebo způsobit růst či pád akcií firem z celých sektorů světové ekonomiky.

Zdroj: https://techcrunch.com/2020/10/22/dutch-hacker-trump-twitter-account-password/

Bez 2FA vám nepomůže ani velmi dlouhé heslo

Aby hesla fungovala, museli byste mít pro každou službu vlastní, unikátní heslo, které ctí všechny pravidla bezpečnosti. Většina lidí takhle nefunguje. Zkuste si ve svém prohlížeči Chrome zadat do příkazového řádku chrome://settings/passwords . Pokud používáte v prohlížeči ukládání hesel, zjistíte, že za dobu svého internetového působení máte nastřádáno dost možná stovky účtů. Emailové, v eshopech, školních nebo firemních službách, … A všude byste měli mít extra bezpečné a unikátní heslo. To zaprvé není reálné a zadruhé to je stejně z části k ničemu.

Digitální stopa - to jsou desítky, stovky až tisíce vašich přihlášení

Každý rok dojde k odcizení miliard osobních údajů – emaily, přihlašovací jména, hesla, bezpečnostní klíče, čísla platebních karet, údaje s přístupy k bankovnictví a aktuální zůstatky na vašem bankovním účtu, údaje z katastrálních úřadů atd… A pak se tato data prodává jako “kusovky” nebo “velkoodběr” za 1 dolar a více, případně přístupy do bankovnictví od 3 do 20USD podle tučnosti bankovního konta. Jen si vzpomeňte, co jste v poslední době nakupovali, kde jste cestovali a platili, nebo kde jste se všude registrovali. Víte, že naprostá většina lidí používá jedno nebo pouze několik málo hesel ke všemu?

Představte si, že něco koupíte na špatně zabezpečeném eshopu. Zadáte tam svůj email a heslo, které je třeba stejné jako přímé heslo do vašeho emailu. Při hacknutí takového eshopu získává útočník dost možná i přístupy k vašemu emailu. V dnešní době je velmi vysoká šance, že vaše přihlašovací údaje minimálně některých služeb v této chvíli znají už tisíce jiných lidí. A pokud relativně často (co to je často?) neměníte hesla, je pouze otázkou času, než na vás dojde řada. Určitou obranou (i když také s riziky), je používání aplikace pro správu hesel. Například LastPass. Odpovězte si ale na otázku, co se stane, pokud někdo dokáže jednou odcizit informace z LastPass. Zavírání očí nad bezpečností nebo ignorace výše popsaných faktů výše, může mít třeba v případě firmy i závažné právní a finanční důsledky. Řešením je 2FA.

Hackeři, Moorův zákon a kvantové počítače

Ani téměř libovolně dlouhé heslo není samo o sobě v bezpečí. Podle webu thesecurityfactory.be si dnes můžete za 25USD na hodinu pronajmout HW, který (během té jedné hodiny) dokáže otestovat 632.000.000.000 variant hesla. Obrazně řečeno, zatímco před 10 lety hackeři vaše heslo zpětně dokázali dešifrovat za 1 rok, dneska jim stačí pár minut a pár dolarů. K tomu, abyste drželi krok s dobou potřebujete stále delší a delší heslo, to je bohužel fakt. Dnes je minimum okolo 9 znaků, v kombinaci znaků, čísel a speciálních symbolů. Bavíme se o současnosti, kdy jsou kvantové počítače v plenkách. Za pár měsíců nebo let to už opět nebude platit.

Síla hesel = čím složitější, tím delší čas na rozšifrování hacker/HW potřebuje

V tabulce vidíte, za jak dlouhou dobu rozlouskne vaše heslo běžný hardware. V prvním sloupci je počet znaků použitých v heslu, v dalších sloupcích poté podle zvolené kombinace čísel, hesel a znaků. U delších hesel a kombinací ještě můžeme vzdorovat, ale představte si, že vlastníte cenná data a přístupy – ale protistrana má k dispozici dostatek financí a/nebo speciální HW pro řešení šifer. Představa to věru není pozitivní.

Nejde zjistit, kdo přesně a do jakých služeb má aktuálně vaše přihlašovací jméno a heslo. Pomůckou ale může být web haveibeenpwned.com, kde si po zadání svého emailu můžete zjistit, v kolika uniklých databází se váš email (tedy vaše údaje) aktuálně nabízí. Pokud je to více než 0, je vhodné si změnit heslo. Databáze ale obsahuje pouze informace, u kterých bylo jejich odcizení nahlášeno – což může být promile skutečného stavu.

Nepovažujte 2FA za otravu, berte to vážně i kvůli GDPR

Pokud vám výše uvedené informace přijdou přitažené za vlasy tak věřte, že firemní ajťáci je v naprosté většině berou hodně vážně. Napomohlo tomu i GDPR. Podívejme se na citaci, za co odpovídá správce dat:

“Správce odpovídá za dodržování povinností kladených obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž plnění zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat (např. zpracovává osobní údaje zákazníků z titulu s nimi uzavřené smlouvy a pro uspokojování této smlouvy či v rámci povinné archivace). Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadá, zejména pokud jde o nové povinnosti založené na přístupu na riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů).”

Úřad pro ochranu osobních údajů – www.uoou.cz/zakladni-prirucka-k-ochrane-udaju/

Důležité je, že 2-faktorové ověření mezi dostatečné zabezpečení patří. Prosté jméno a heslo nikoliv.

Kyberzločiny stojí více než COVID-19. Každý rok

  • Kyber zločiny způsobí v roce 2021 škody za cca 6 trilionů dolarů (6.000.000.000.000 USD) a porostou
  • V roce 2021 se stane každých 11 sekund jedna firma obětí ransomware 
  • Podle analytických odhadů dojde v roce 2023 k odcizení 33 miliard osobních údajů
  • Jen v USA jsou roční škody způsobené krádeží identity cca 15 miliard USD (základem je odcizení osobních údajů)
  • Než firma zjistí, že jí byly odcizeny osobní údaje, trvá to průměrně přibližně 196 dní

Kde všude je dobré 2FA použít?

Všude, kde může útočník napáchat citlivou škodu. Finanční, ekonomickou, bezpečnostní, komunikační, na dobré pověsti, v osobních vztazích… Pojďme se podívat na příklady, kde je dobré 2FA v dnešní době použít. Jde o osobní email, pracovní email, přístup na cloudové úložiště, ke správě domén, k webhostingu, k administraci webu, ke kritickým sdíleným dokumentům nebo ke komunikačním nástrojům či analytickým službám.

Osobní email

Důležité! Na váš osobní email je navázáno vaše přihlášení do mobilního telefonu, resp. účtu na Google či Apple. Dále je osobní email vstupenka na vaši sociální síť a další služby, které 2FA neřeší a váš email používají jako druhotné ověření například v případě, kdy se přihlašujete z nové IP adresy. Hacknutí osobního emailu je tak násobná, téměř ultimátní výhra nad vaším online životem a často i nad tím osobním. Co může útočník získat?

  • všechny vaše kontakty, které máte uložené v cloudu pod svým účtem
  • všechny vaše fotografie (včetně soukromých až intimních), pokud je nemáte uložené na fyzickém disku, a spoléháte na cloud
  • přístupy do sociálních sítí a dalších účtů
  • možnost obnovit ztracené heslo na všech službách, které máte s emailem spojené
  • všechny historické emaily, kde máte uložené cenné historické údaje – emaily, smlouvy, potvrzení, vstupenky, finanční údaje
  • všechny internetové domény, které byly na osobní účet registrovány – často i firemní
  • přístupy spojené s účty vašich klientů, protože třeba na Facebooku se musíte do klientova Business Manageru přidat jako privátní osoba
  • kompletní profil v Google Chrome – kde jsou zásadní odkazy na další služby, které lze odcizit. A samozřejmě všechny hesla na všechny služby
  • vše, co nabízí historie profilu – u Google je to historie hledání (včetně citlivých informací), historie procházených stránek (ano, i těch citlivých), místa, která jste navštívili (přes historii na mapě nebo vaše recenze).
  • minimálně v případě ČR váš privátní klíč elektronického podpisu – protože ten vám z CzechPointu posílají emailem. 🙂 Tímto klíčem lze podepisovat například půjčky nebo vystupovat pod vaší identitou ve vztahu ke státní správě.

Moc tajemství už vám pak nezbyde, že? V případě, že si to útočník bude chtít náležitě užít, může zkázu dokončit a na dálku vymazat váš telefon. Uvedené problémy už za těch 5 minut k nastavení 2-faktoru stojí, nemyslíte? Pokud máte účet na Google, přejděte na adresu myaccount.google.com/two-step-verification a 2-faktorové ověření si rovnou nastavte.

Dvoufázové ověření v účtu Google

Pracovní email

  • K pracovnímu účtu jsou obvykle vázány přístupy na některé finančně lákavé služby – například přístup do Google Ads, kde si může útočník spustit kampaně klidně za miliony a za několik hodin jsou peníze pryč. Pro účty, které používáte pro správu kampaní, je tak 2FA téměř nutnost.
  • Na firemní email je často navázána také správa domén – hacknutím svého pracovního emailu tak můžete přijít nejen o data, ale rovnou o domény, přidružené emaily, webové stránky, celou historii působení na internetu (obsah a SEO). Navrácení kontroly trvá většinou velmi dlouho, pokud vůbec. Pro online podnikání se tak fakticky jedná o konec činnosti – nebyli byste první, ani poslední.
  • Několik let vaší často citlivé komunikace v případě internetových kecálků – Google Hangouts, Skype (účet Microsoft).
  • Záložky v prohlížeči a s tím spojené přístupy na různé aplikace (databáze, reporty, málo používané aplikace). Které jsou často zabezpečeny prostě jen tak, že jsou schované na neuhodnutelné adrese – což rázem neplatí.
  • Přístupy k zálohám, které jsou často rovněž slabě zabezpečeny a i tady se vsází na neveřejnou adresu – to tím pádem také neplatí.
  • Kompletní záloha systému Windows v cloudu – tedy kompletní digitální otisk vašeho PC které si může útočník zrekonstruovat a to je už jen krok od velkým problémům…

Přístup na cloudové úložiště a ke správě domén

Součástí kritické infrastruktury jsou dnes samozřejmě firemní dokumenty. Smlouvy, podklady od klientů, technologická dokumentace, účetnictví, sklad a další důležité dokumenty. Bezpečnost se dotýká také registrace a správy domén. Slušní registrátoři domén v dnešní době 2FA nabízejí, proto je dobré myslet i na tuto problematiku.

Webhosting, cloudové služby, web

Kvalitní webhostingové služby 2FA využívají standardně. U cloudových služeb (Amazon AWS, MS Azure) je to již automatické. Jaké škody mohou napáchat například těžaři bitcoinů, kteří doslova pasou po účtech s HW zdarma (či velmi levně)? Po účtech s otevřenou platební kartou na stovky tisíc? Majitelé hacknutých účtů mohou se slzami v očích vyprávět. SEMTIX.cz jako součást tvorby webových stránek nabízí v případě zájmu přímou integraci 2-FA pluginu. V takovém případ už je útočníkům samotné heslo k ničemu.

Sdílené firemní přístupy

Sdílený, celofiremní email (info@domena) a přístupy k jeho obsluze jsou typickým příkladem, kdy by se 2FA mělo používat bez debat. Někdy zkrátka není možné použít systém sdílení práv, a tak svým klíčovým zaměstnancům dáte login a heslo do služby, často na zásadní úrovni. V případě 2-faktorového přihlášení můžete takové jméno a heslo dát 10 zaměstnancům, ale pouze vy jako majitel firmy máte právo veta – neboli povolit, změnit, nebo smazat možnost přihlášení do služeb pro konkrétní zařízení. Vyvarujete se tak momentu, kdy např. kvůli odcházejícímu zaměstnanci musíte měnit heslo všem ostatním lidem a řešit s tím spojenou komunikaci. Jednoduše z profilu účtu smažete původní počítač bývalého zaměstnance, a do firemního účtu už se nedostane ani přesto, že zná jméno a heslo. Navíc, jakýkoliv pokus o přihlášení z nového zařízení je oznámen a velmi rychle se tak dozvíte, že se na firemní účet hlásí někdo, kdo by neměl. Toto má výborně zpracované například Google, včetně přehledného rozhraní s nastavením takového zabezpečení.

Cokoliv je online, zůstane online

Četl jsem i o případech falešné slepoty, kdy si zaměstnanci sice často měnili hesla do kritických služeb, pak je sice “neposílali po internetu”, ale použili WhatsApp nebo jinou chatovací službu. Nemilé a zásadní překvapení bylo, že to byl právě WhatsApp, kterému soukromé zprávy uživatelů poněkud utekly z aplikace a několik milionů soukromých zpráv bylo viditelných a dohledatelných na Google. Včetně soukromých rodinných fotek. Myslete na to, kudy posíláte přístupové údaje. Co není zakázáno k indexaci, je opt-in povoleno a Google to pustí do světa (což je také zajímavý paradox, tentokrát vytvořený Googlem). Bezpečné to není úplně ani přes Facebook (WhatsApp patří Facebooku a sdílejí technologie a vývojáře). Co je online, není ve své podstatě bezpečné, a proto vstupují do hry zabezpečovací prvky, které nelze tak jednoduše obejít.

Pishing a sociální inženýrství

Problémem je také phishing a nedostatečná internetová osvěta. Zjednodušeně řečeno, pokud vám posílá email vaše banka, nebo poskytovatel internetu či emailu a předmětem emailu je cokoliv na téma změna hesla, urychlené přihlášení, kontrola údajů, aktualizace aplikace – zbystřete, protože se možná nejedná o email od vaší banky. Nemusíte být v podstatě ani na opravdové přihlašovací stránce své banky, ale na její podvržené, dokonalé kopii. Vyplnění jména a hesla je otázka pár vteřin, stejně jako rychlost napáchání nevratných škod.

Konkrétní postup pro implementaci 2FA

Implementace 2-faktorového ověření je velmi podobná postupu, kdy si nastavujete přihlášení do bankovnictví. Jen u toho není tolik byrokracie. Dá se to zvládnout za pár minut a ve většině případů vás to nebude nadále obtěžovat.

Nejprve potřebujete aplikaci

Pro běžné použití stačí mít na svém mobilním telefonu nainstalovanou aplikaci. Ta funguje jednoduše – nafotí si QR kód služby, kterou chcete ochránit (například Gmail), a službu si uloží. Ve chvíli, kdy se do služby přihlašujete, se pak podíváte do aplikace, a opíšete příslušný 5-6 místný kód přímo do Gmailu. Vlastně je to téměř stejné, jako ověření přes SMSky. Velmi dobře funguje například Google Authenticator, který jde použít nejen pro služby Googlu, ale téměř pro jakoukoliv další autentifikační službu.

Google Authenticator - šikovný pomocník s dvoufázovým ověřením

Pak zapněte 2FA na konkrétních účtech

K nastavení pro konkrétní služby se v rámci blogu vrátíme ještě dodatečně v dalším článku. Nicméně obecný postup je, že si na dané službě zapnete 2FA. Typicky se nachází v nastavení účtu, v sekci zabezpečení. V té chvíli se vám objeví QR kód, který vyfotíte například zmíněnou aplikací Google Authenticator. Aplikace si kód uloží a od té doby vám bude zobrazovat potvrzovací kódy. Při přihlášení opíšete kód z aplikace a máte vystaráno. Každá služba má jiný kód, který se navíc každých několik desítek vteřin mění. Útočníkovi tedy nepomůže ani to, když vám kouká přes rameno.

Nastavení v Google Authenticator probíhá jendoduše skrze QR kódy

QR kódem, který máte aplikací vyfotit, začíná většina potřebných nastavení

Ukázka fungování 2FA v Google Authenticator

A takto to pak vypadá ve vašem mobilu

Jak je důležitá ochrana mobilu?

2FA ověření je samozřejmě nejúčinnější v případě, když je vhodně zabezpečená i samotná mobilní aplikace. Tedy přihlášením přes heslo nebo otisk prstu buď na úrovni aplikace, nebo samotného telefonu. Nikdy nevíte, jestli útok na vaši digitální identitu není osobní záležitostí. Noční můrou je situace, kdy útočník získá nezabezpečený mobil společně s nezabezpečeným notebookem a tím i přístupy ke službám.

To se budu ověřovat pořád dokola?

Záleží na konkrétní službě a zvoleném nastavení. Obvyklá praxe např. u emailu ale je, že 2FA nahrazuje SMSky a další, starší metody ověření. Na ověření se vás ptají většinou pouze v případě prvního přístupu a potom, když se přihlašujete z nového, službě neznámého zařízení. Například na Google nebo na službě Hotmail to s 2FA takto funguje. 2FA nastavíte jednou, a víceméně o něm nevíte.

Co když přijdu o telefon?

Vaše mobilní zařízení slouží jako dodatečné ověření vaší totožnosti. Do služby zabezpečené přes 2FA se minimálně z nového zařízení nedostanete. A protože u korporací (Google, Microsoft, Facebook) je zákaznický servis a komunikace díky absenci lidské podpory poměrně problémová, bude prokázání totožnosti chvíli trvat. Jak se tomu dopředu bránit?

  • Obranou proti tomu je vytvoření prostého screenshotu QR kódu ve chvíli, kdy službu nastavujete. Jednotlivé služby a aplikace vygenerují QR kód – uložte jej jako obrázek na bezpečné místo – vytištění na papír, uložení na offline místo jako USB Flash paměť či další jsou dobrá volba. V případě krádeže telefonu, HW poruchy, kdy přijdete o aplikaci Google Authenticator, si pak jednoduše QR znovu nafotíte a jedete dále
  • Většina služeb umožňuje vygenerování tzv. jednorázových kódů – typicky 8 či 10, které můžete použít jako náhražku aplikace. Během těch 10 pokusů pak můžete 2F nastavit na nový mobil, nebo dočasně vypnout
  • Existují služby jako Authy, které drží vaše 2FA kódy uložené v cloudu, a dokonce umí  2FA kódy synchronizovat napříč více zařízeními – můžete tak ověřovat přes mobil, svůj pracovní PC nebo notebook. Je ale na vašem rozhodnutí, jestli kódy k 2FA chcete mít a) v cloudu, a za b) na více zařízeních zároveň.
  • Na některé služby (Google, Facebook) si můžete vygenerovat QR kódů více a mít tak možnost ověřit 2FA z více nezávislých aplikací
  • Pro 2FA přihlášení se namísto aplikace dá použít i hardwarový klíč (USB klíčenka), pokud ji  tedy také neztratíte. 🙂

Na co si dát při používání 2FA pozor?

Jsou situace a rizika, která si při zapnutém 2-faktorového přihlašování nemusíte dopředu uvědomit. Konkrétně?

  • Pokud se často přihlašujete na více místech, budete na každém z nich zadávat číslo z 2FA aplikace
  • Pokud budete na dovolené / na cestách a někdo vás okrade (mobil i notebook) pravděpodobně budete chtít volat svým známým, rodině, zablokovat platební karty. Pokud si ale nepamatujete čísla telefonů a účtů z hlavy, máte smůlu – bez svého mobilu se nepřihlásíte do emailu nebo cloudového úložiště z cizího počítače. Budete tedy muset jet domů nebo sehnat někoho, kdo vám kódy přepošle.
  • Pokud má k vašemu mobilnímu telefonu (a instalaci aplikací) přístup například vaše ratolest, buďte s 2FA velmi opatrní, minimálně ne bez dodatečného zabezpečení. Dítě může vaši aplikaci odinstalovat (a s ní i kódy), nebo může do mobilu nainstalovat nechtíc stažením hry škodlivou aplikaci, která kromě primitivní hry může fungovat jako malware skenující právě kód 2FA. Útočník například může tiše sledovat SMSky a potvrdit přístup přes 2FA ve vašem telefonu, když vy spíte.

Řešení pro krizové situace je několik:

  • Záložní 2FA kódy si můžete vytisknout na papír a uschovat si je na spolehlivém místě nebo u spolehlivé osoby. Ta vám je v případě problémů nafotí a pošle.
  • Na cestách můžete mít k dispozici svůj počítač vzdálený i tisíce kilometrů prostřednictvím přístupu na vzdálenou plochu, nebo prostřednictvím aplikace TeamViewer (i ten jde zabezpečit přes 2FA). Pak vám ztráta nebo odcizení mobilu či notebooku vůbec nevadí, váš cestovní notebook je jen terminál pro přístup k reálnému online prostředí
  • Díky nafoceným QR kódům můžete mít aplikaci nainstalovanou i na druhém telefonu – který může ležet kdekoliv jinde, vypnutý a funkční jen pro případ nouze
  • Pro kritické služby můžete zálohovat a použít 2FA ověření například na telefonu rodinného příslušníka.

Je třeba si uvědomit, že 2FA slouží k zamezení přístupu lidem, kteří se do vašeho účtu nedostanou ani v případě znalosti jména a hesla. V některých případech to paradoxně můžete být i vy sami. Pokud si myslíte, že si s tím ve vaší firmě sami neporadíte a budete potřebovat pomoci, klidně se na nás obraťte.

Líbí se Vám tento článek?

Pokud se Vám naše články líbí, není nic lehčího, než se přihlásit k jejich odběru. Nebudeme Vás spamovat a můžete se kdykoliv odhlásit na 1 kliknutí

    Jednatel, IT

    Internet a jeho kouzlo jsem objevil v roce 1998, kdy ještě neexistovaly vyhledávače. Od té doby mě živí a fascinuje zároveň. Pokud se mě zeptáte na cokoliv z oblasti vývoje a provozu online projektů, fungování vyhledávačů, internetové reklamy či obecně principů online podnikání, je velká šance že vám správně odpovím mnohem dřív než Google.