Téma dne – Google 2-step authentication

Jak jsem sliboval v pondělí, podíváme se na zabezpečení účtu Google, konkrétně na jeho dvouúrovňovou autentifikaci za pomoci mobilního zařízení. Společnost Google tuto možnost zprostředkovává již déle než rok a tato metoda si našla mnoho vděčných uživatelů.

Je to prosté. Zadáte jméno a heslo do vašeho Google účtu a zobrazí se kolonka pro 6místné jednorázové číslo. To vám vzápětí přijde na mobilní telefon a vy jej pohodlně opíšete. Je to další vrstva, kterou se musí potenciální útočník "prokousnout", než vám zkompromituje účet. Milióny hesel se doslova válejí po internetu, s jejich úniky z databází velkých firem se setkáváme poměrně často (vzpomeňte si na LulzSec). Ale aby vám někdo kradl telefon – to by už musel mít značnou motivaci.

Jak na to?

Ve svém účtu Google kliknete na vaše jméno vpravo nahoře a zvolíte Nastavení účtu.

V záložce Zabezpečení je možnost Upravit nastavení Ověření ve dvou krocích.

Google vám nyní graficky zobrazí celý proces, můžete si ještě projít jednotlivé kroky a kliknout na velké modré tlačítko Nastavit. Na následující stránce zadáte vaše telefonní číslo (Google ujišťuje, že toto číslo použije pouze k zabezpečení účtu) a zvolíte způsob zasílání potvrzovacích kódů (SMS nebo hlasové volání).

Mně osobně vyhovuje hlasové volání – při každém přihlášení vám robotický hlas dvakrát zopakuje kód přímo do ucha a vy se můžete hned přihlásit (nemusíte otevírat SMS a číst kód).

Ověřovací kód vám hned názorně předvede celou operaci. Vložte jej do příslušné kolonky a klikněte na tlačítko Další.

Pokud si zvolíte aktuální počítač jako důvěryhodný, nebudete muset zadávat ověřovací kód následujících 30 dnů. To se hodí, pokud je počítač v důvěryhodné síti a je adekvátně zabezpečen. Na ostatních zařízeních (a tedy i potenciální útočník) budete požádáni zadat kód. V posledním kroku Potvrďte zapnutí dvoufázového ověření a přihlaste se.

Co na to aplikace, které využívají účet Google?

To je všechno krásné, ale co třeba aplikace Mail na iOS? Ta si asi těžko přečte SMSku, která vám přišla po přihlášení. Google to řeší unikátními hesly, která generuje vždy pro konkrétní aplikaci. Generovat hesla můžete na stránce IssuedAuthSubTokens. Další informace se všemi odkazy vám přišly na váš e-mail.

A když nebudu mít telefon?

Jediná možnost, jak se dostat do účtu bez mobilního telefonu, je nyní přes Tisknutelné záložní kódy. V nastavení dvoufázového ověření je možnost tyto kódy vytisknout a uschovat na bezpečném a dostupném místě (např. v peněžence). Pokud nebudete mít k dispozici telefon, použijete místo něho jeden ze záložních kódů, které mají časově neomezenou platnost, můžete je však použít pouze jednou.

Na všechno existuje aplikace na AppStore

Pro uživatele systému Android, iOS a BlackBerry existuje aplikace, která generuje hesla offline bez použití SMS nebo volání. Stačí si aplikaci na mobilní zařízení nainstalovat a spárovat s účtem buď skenováním QR kódu nebo použitím tajného hesla. V nastavení dvoufázového přihlašování zvolte váš mobilní systém v kolonce Aplikace pro mobily a průvodce vás procesem provede.

Na následujícím screenu mi aplikace generuje kódy podle času – hodiny vlevo stále tikají a určují platnost kódu. Po oběhnutí jednoho kolečka hodin se kód změní a ukončí tak platnost starého.

Na závěr příklad z praxe

Nakonec bych rád uvedl příklad z praxe, který je popsán zde (EN). CEO CloudFlare Matthew Prince měl dva účty na Google – první byl pracovní a používal dvouúrovňovou autentifikaci, a druhý byl osobní a tuto možnost nevyužíval.

Útočníkovi se podařilo získat přístup k osobnímu účtu přes heslo a následně resetovat heslo k pracovnímu účtu (které mělo podle Matta více než 20 znaků a bylo velmi komplexní). Nové heslo přišlo na záložní účet, který byl shodou okolností právě jeho osobní Google účet. Tak získal přístup k pracovnímu účtu, se kterým byly asociovány další vysoko-profilové firemní účty.

Matthew Prince v článku silně doporučuje nastavit dvoufázové přihlašování ke všem účtům Google. My s ním souhlasíme a přidáváme obecný postřeh – pokud si my osvojíme brát bezpečnost jako samozřejmost, útočníci budou mít o mnoho těžší cestu k našim datům.

To je pro dnešek vše, zůstaňte s námi a v pondělí u pravidelného CDR SecUpdate nashledanou.