Jen heslo nestačí
Silné heslo je základním prvkem zabezpečení pro vaše zařízení a účty. Pokud však unikne (ať už z vašeho zařízení nebo serveru služby, kde jste zaregistrováni) a dostane do rukou útočníků, obvykle jim už nic nebrání získat absolutní kontrolu nad vašemi účty. Mohou vaším jménem posílat emaily, nakupovat na eshopech za vaše peníze, nebo zveřejnit či zpeněžit vaše soukromé dokumenty, fotografie apod. A stačí jim k tomu získat jedno jediné heslo, třeba ze špatně zabezpečeného eshopu nebo z nějaké starší služby (bazaru, seznamky, diskuzního fóra…), kde jste se před lety zaregistrovali a která není aktualizovaná a obsahuje množství bezpečnostních chyb. Velká většina uživatelů totiž používá jedno heslo pro všechny účty. Stejným heslem se tak přihlašuje při nákupu elektroniky v Alze, k emailu na Seznamu a na Facebook. Útočníci to vědí, proto uniklé heslo vyzkouší na všech možných službách. Jak zabránit tomu, aby heslo, které uniklo (a třeba ne vaší vinou) např. ze serveru pro sdílení fotografií, ohrozilo vaše dálší účty? Jedním z řešení je mít pro každou službu jiné heslo (za pomocí správce hesel). Tím sice přijdete o data na dané službě, vaše další účty ale nejsou únikem ohroženy. Další možností je použít pro přihlášení heslem něco dalšího. Takzvané dvoufázové přihlášení. Znáte to pravděpodobně z vašeho internetového bankovnictví. Zadáte přihlašovací jméno, heslo a ještě vám přijde na mobilní telefon smska se čtyř (šesti) místným kódem. Teprve po zadání tohoto kódu jste přihlášeni do vaší banky. I kdyby se útočník dostal k vašemu heslu, potřebuje k úspěšné operaci i váš telefon. Což útok velmi výrazně komplikuje. Podobně výběry z bankomatů – máte kartu a znáte pin. Jedno bez druhého nefunguje (pouze při placení na terminálu do určité výše je potřeba pouze karta, pin se nezadává – zabezpečení je nižší).
Způsoby přihlašování
Pro přihlášení k účúm či zařízením se používají tři základní způsoby ověření:
- Něco vím
- Něco jsem
- Něco mám
Něco vím
Základní způsob ověření v počítačovém světě. Znám přihlašovací jméno a znám heslo, můžu se pomocí nich přihlašovat k účtům či zařízením.
Něco jsem
Takzvané biometrické údaje. Moderní technika umí rozpoznat váš obličej nebo otisk prstu. Nemusíte si nic pamatovat, prostě přiložíte prst ke čtečce a zařízení je odemčeno.
Něco mám
Nejčastější způsob ověření v reálném světě. Máme klíč od svého bytu, magnetickou kartu pro přístup do kanceláře. Ve světě výpočetní techniky máte své telefonní číslo, USB klíč nebo opět kartu.
Jednotlivé způsoby ověření mají své silnější i slabší stránky. Heslo si můžete pamatovat a do hlavy vám (zatím) nikdo nevidí. Může však uniknout nebo je slabé a předvídatelné. Obličej nebo otisk prstu je jedinečný, avšak dá se napodobit a nejde změnit. Klíč, kartu nebo telefon mohu mít neustále u sebe, ale zároveň je mohu ztratit a nebo je útočník může zkopírovat či zfalšovat (to jde i u telefonního čísla). Pokud však zkombinujete dvě (a více) těchto způsobů přihlášení, exponenciálně zvýšíte úroveň zabezpečení vašich účtů. A není to zase tak těžké.
Telefon jako závora na dveřích
Asi nejjednodušší cestou, jak zabezpečit svoje účty dvoufázovou autentifikací (2FAVícefázové ověření (též vícefaktorové, anglicky mu... More) je použití vašeho mobilního telefonu. Stejné zabezpečení, které používáte pro přihlášení do vašeho internetového bankovnictví můžete použít u velké většiny online služeb (email, sociální sítě, eshopy). Postup je většinou následující:
- V nastavení účtu najděte položku pro vícefázové ověření. Může se jmenovat i “vícefázové”, “2FA”, “MFA” (Multi-factor authentication) apod. Toto nastavení povolte.
- Vyberte možnost pro přihlášení telefonem (zaslání jednorázových hesle pomocí sms).
- Zadejte své telefonní číslo v mezinárodním formátu (+420xxxxxxxxx).
- Na telefon vám přijde jednorázové heslo (většinou čtyř nebo šestimístné číslo).
- Toto heslo zadejte do příslušného políčka ve vašem účtu.
A to je vše. Přihlašování k vašemu účtu bude od teď sice o něco málo složitější (kromě zadání přihlašovacího jména a hesla musíte ještě opsat číslo z smsky), ale pro útočníka se stal hradem s opevněním. Musí nyní vynaložit výrazně více usilí k tomu, aby se k účtu dostal. A většinou se stane prostě to, že si najde jinou oběť, kde to bude mít snažší.
Co když ztratím telefon?
Bez vašeho telefonu se k účtu nepřihlásí útočník, ale samozřejmě ani vy (pokud byste mohli vy, mohl by i útočník). Přijít o telefon není úplně neobvyklé, proto je potřeba mít nějaká “zadní vrátka”, jak se k účtu v tomto případě dostat. Po zapnutí dvoufázového zabezpečení a registraci telefonního čísla vám systém nabídne sadu (obvykle deseti) jednorázových hesel pro případ nedostupnosti telefonu. Jsou obvykle delší než hesla, která dostanete smskou a každé lze použít jen jednou. Tato čísla si opište a bezpečně uložte. Papír je vhodnější než uložení v počítači. Rozhodně si je nefoťte telefonem. Pokud telefon ztratíte nebo vám bude odcizen, přijdete jak o možnost přihlášení pomocí sms, tak i o záložní kódy a k účtu se nebudete mít jak přihlásit. Pokud ztratíte telefon a nemáte zatím nový, k účtu se přihlásíte tak, že po výzvě k zadání jednorázového hesla vložte jedno ze záložních (to si pak škrtněte, každé lze použít jen jednou). Obvykle si s těmito záložními kódy vystačíte do doby než budete mít nový telefon (poté lze vygenerovat novou sadu záložních hesel). Pokud vám záložní kódy nestačí (přihlašujete se často), v nastavení účtu buď nastavte jiné telefonní číslo (např. služebního telefonu nebo číslo důvěryhodné osoby) nebo dočasně vypněte dvoufázové ověření (to ale jen opravdu v nouzi a nezapomeňte ho poté znovu zapnout).
Kde všude zapnout dvoufázové ověření?
Jednoduše všude, kde to jde. Asi nejdůležitější je váš email. Používá se totiž k obnovu hesla při ztrátě. Pokud se útočník dostane do vašeho emailu, může změnit hesla u vašich dalších účtů přes tlačítko “Zapomenuté heslo”. Většina velkých poskytovatelů emailu (Seznam, Gmail, Hotmail apod.) dvoufázové zabezpečení umožňuje. Pokud používáte nějakou emailovou službu, kde to možné není, zvažte změnu emailu nebo pište na podporu, aby tuto službu zprovoznili.