CDR.cz - Vybráno z IT

SecUpdate SPECIÁL: Chraňte svůj Google účet dvouúrovňovou autentizací

Hack Gmail by Google
Účty Google často obsahují důležité dokumenty. Mohou to být vaše firemní e-maily, výpisy z banky či prostá soukromá korespondence. Ve speciálním dílu CDR SecUpdate si ukážeme metody, které přidají vašemu přihlášení k účtu Google další bezpečnostní úroveň.

Téma dne – Google 2-step authentication

Jak jsem sliboval v pondělí, podíváme se na zabezpečení účtu Google, konkrétně na jeho dvouúrovňovou autentifikaci za pomoci mobilního zařízení. Společnost Google tuto možnost zprostředkovává již déle než rok a tato metoda si našla mnoho vděčných uživatelů.

Je to prosté. Zadáte jméno a heslo do vašeho Google účtu a zobrazí se kolonka pro 6místné jednorázové číslo. To vám vzápětí přijde na mobilní telefon a vy jej pohodlně opíšete. Je to další vrstva, kterou se musí potenciální útočník "prokousnout", než vám zkompromituje účet. Milióny hesel se doslova válejí po internetu, s jejich úniky z databází velkých firem se setkáváme poměrně často (vzpomeňte si na LulzSec). Ale aby vám někdo kradl telefon – to by už musel mít značnou motivaci.

Google-offic-desc

Jak na to?

Ve svém účtu Google kliknete na vaše jméno vpravo nahoře a zvolíte Nastavení účtu.

nast1

V záložce Zabezpečení je možnost Upravit nastavení Ověření ve dvou krocích.

nast2

Google vám nyní graficky zobrazí celý proces, můžete si ještě projít jednotlivé kroky a kliknout na velké modré tlačítko Nastavit. Na následující stránce zadáte vaše telefonní číslo (Google ujišťuje, že toto číslo použije pouze k zabezpečení účtu) a zvolíte způsob zasílání potvrzovacích kódů (SMS nebo hlasové volání).

nast3

Mně osobně vyhovuje hlasové volání – při každém přihlášení vám robotický hlas dvakrát zopakuje kód přímo do ucha a vy se můžete hned přihlásit (nemusíte otevírat SMS a číst kód).

Ověřovací kód vám hned názorně předvede celou operaci. Vložte jej do příslušné kolonky a klikněte na tlačítko Další.

nast4

Pokud si zvolíte aktuální počítač jako důvěryhodný, nebudete muset zadávat ověřovací kód následujících 30 dnů. To se hodí, pokud je počítač v důvěryhodné síti a je adekvátně zabezpečen. Na ostatních zařízeních (a tedy i potenciální útočník) budete požádáni zadat kód. V posledním kroku Potvrďte zapnutí dvoufázového ověření a přihlaste se.

Co na to aplikace, které využívají účet Google?

To je všechno krásné, ale co třeba aplikace Mail na iOS? Ta si asi těžko přečte SMSku, která vám přišla po přihlášení. Google to řeší unikátními hesly, která generuje vždy pro konkrétní aplikaci. Generovat hesla můžete na stránce IssuedAuthSubTokens. Další informace se všemi odkazy vám přišly na váš e-mail.

nast5

A když nebudu mít telefon?

Jediná možnost, jak se dostat do účtu bez mobilního telefonu, je nyní přes Tisknutelné záložní kódy. V nastavení dvoufázového ověření je možnost tyto kódy vytisknout a uschovat na bezpečném a dostupném místě (např. v peněžence). Pokud nebudete mít k dispozici telefon, použijete místo něho jeden ze záložních kódů, které mají časově neomezenou platnost, můžete je však použít pouze jednou.

Na všechno existuje aplikace na AppStore

Pro uživatele systému Android, iOS a BlackBerry existuje aplikace, která generuje hesla offline bez použití SMS nebo volání. Stačí si aplikaci na mobilní zařízení nainstalovat a spárovat s účtem buď skenováním QR kódu nebo použitím tajného hesla. V nastavení dvoufázového přihlašování zvolte váš mobilní systém v kolonce Aplikace pro mobily a průvodce vás procesem provede.

nast6

Na následujícím screenu mi aplikace generuje kódy podle času – hodiny vlevo stále tikají a určují platnost kódu. Po oběhnutí jednoho kolečka hodin se kód změní a ukončí tak platnost starého.

iOS_nast1

Na závěr příklad z praxe

Nakonec bych rád uvedl příklad z praxe, který je popsán zde (EN). CEO CloudFlare Matthew Prince měl dva účty na Google – první byl pracovní a používal dvouúrovňovou autentifikaci, a druhý byl osobní a tuto možnost nevyužíval.

Útočníkovi se podařilo získat přístup k osobnímu účtu přes heslo a následně resetovat heslo k pracovnímu účtu (které mělo podle Matta více než 20 znaků a bylo velmi komplexní). Nové heslo přišlo na záložní účet, který byl shodou okolností právě jeho osobní Google účet. Tak získal přístup k pracovnímu účtu, se kterým byly asociovány další vysoko-profilové firemní účty.

Matthew Prince v článku silně doporučuje nastavit dvoufázové přihlašování ke všem účtům Google. My s ním souhlasíme a přidáváme obecný postřeh – pokud si my osvojíme brát bezpečnost jako samozřejmost, útočníci budou mít o mnoho těžší cestu k našim datům.

To je pro dnešek vše, zůstaňte s námi a v pondělí u pravidelného CDR SecUpdate nashledanou.

Zdroje: 

support.google.com #1 a #2

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate SPECIÁL: Chraňte svůj Google účet dvouúrovňovou autentizací

Čtvrtek, 21 Červen 2012 - 12:53 | Jiří Moos | http://support.google.com/accounts/bin/answer.py?...
Pondělí, 18 Červen 2012 - 10:50 | xWing | Je ta prichadzajuca SMS spoplatnena ? Tuto...
Pondělí, 18 Červen 2012 - 08:39 | Ladislav László | Právě naopak, používá se většinou to delší slovo...
Neděle, 17 Červen 2012 - 15:23 | Jiří Moos | Dobře, ale asi by se vám úplně nelíbilo, kdyby...
Neděle, 17 Červen 2012 - 15:19 | Atlantis | Proč by mi mělo vadit, že tam mám lékařskou...
Sobota, 16 Červen 2012 - 20:18 | Odar | Vypisy / faktury chodia na e-mail zaheslovane. V...
Pátek, 15 Červen 2012 - 20:34 | Jiří Moos | Často se po e-mailu řeší věci uvnitř firmy a...
Pátek, 15 Červen 2012 - 19:42 | HML HLM | Pro mě je záhadou, jak někdo může u Googlu...
Pátek, 15 Červen 2012 - 15:22 | HKMaly | Myslim, ze si pockam, az ta aplikace bude...
Pátek, 15 Červen 2012 - 12:41 | sumix | Dle pravidel českého pravopisu je přípustný jak...

Zobrazit diskusi