> Software

Dvoufaktorové ověření pomocí Google Authenticatoru je dobrým pánem ale zlým sluhou

google logo finalni
Foto: Google

Dvoufaktorové ověření (chcete-li dvoufázové ověření) je v dnešním světě hackerů nutností. Jeden přístup do aplikace nebo na web si ověříte na dvou zařízeních a služba, potažmo vy máte jistotu, že se přihlašujete správně a jste to vy. Už dnes ale víme, že dvoufaktorové ověření (2FA) lze obejít.

O svém by mohl povídat i český YouTuber Roth Wellden. Rothovi totiž stažený software ukradl celou relaci z prohlížeče. Útočník tedy seděl přímo u počítače pomocí klonu celé relace prohlížeče.

2FA má ale jeden zásadní problém. Kódy k dalším aplikacím jsou nenávratně ztraceny, pokud změníte mobilní telefon. Nejdou obnovit. Pouze u přihlášení do Googlu. Na stránce zabezpečení si můžete vygenerovat zálohu nebo si kódy jednoduše vytisknout na papír.

Dvoufaktorové ověření pomocí Google Authenticatoru
Dvoufaktorové ověření pomocí Google Authenticatoru

Problém u externích aplikací je ten, že relace nejde zálohovat a vy si tak před koupí nového telefonu musíte zajít na weby a aplikace, a nich si dovufaktorové zabezpečení deaktivovat. Pokud to neuděláte, je pak nutné prosit podporu služby o deaktivací dvoufaktorového ověření.

Další informace z Wikipedie

Hlavní nevýhodou ověřování prováděné pomocí zařízení, které uživatel vlastní, je, že použitý token (USB flash disk, bankovní karta, klíč nebo něco obdobného) musí mít uživatel stále u sebe. Pokud je tento token odcizen nebo ztracen, nebo pokud ho uživatel prostě nemá u sebe, je připojení znemožněno. Jsou tu také náklady spojené s pořízením a následným nahrazením tokenu stejného druhu v případě ztráty.

Navíc, jsou tam také vlastní konflikty a nevyhnutelné kompromisy mezi použitelností a bezpečností (viz trade-offs).

Dvoufaktorová autentizace pomocí mobilního telefonu byla vyvinuta s cílem poskytnout alternativní způsob, který by vyřešil tyto problémy. Tento přístup používá mobilní zařízení, jako jsou mobilní telefony a smartphony, aby sloužily jako “něco, co má uživatel”. Pokud uživatelé chtějí ověřit sami sebe, mohou využít své osobní přístupové licence (tj. něco, co jen jednotlivý uživatel ví) plus jednorázový, dynamický kód skládající se z číslic. Kód může být odeslán na jejich mobilní zařízení prostřednictvím SMS nebo prostřednictvím speciální aplikace.

Výhodou této metody je využití zařízení, které má uživatel v dnešní době vždy při sobě a není tedy třeba pořizovat nová zařízení. Některá profesionální řešení dvoufaktorové autentizace také zajišťují, že mají pro uživatele vždy k dispozici validní přístupový kód.

Pokud uživatel již použil posloupnost číslic (přístupový kód), je tato kombinace automaticky smazána a systém odešle nový kód do mobilního zařízení. A pokud nový kód není zadán ve stanovené lhůtě, systém ji automaticky nahradí. To zajistí, aby se stará uložená hesla v telefonu stala bezcennými. Pro zvýšení bezpečnosti je možné určit, kolik nesprávných čísel může uživatel zkusit zadat, než mu systém zablokuje přístup.

Výhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu: 

  • Nejsou nutné žádné další tokeny, protože se používá mobilní přístroj, které jsou (obvykle) k dispozici po celou dobu.
  • Díky neustálému dynamicky generovanému heslu je bezpečnost větší než při použití pevné (statické) přihlašovací informace.
  • V závislosti na řešení, jsou hesla, která byla již použita, automaticky nahrazena, aby se zajistilo, že je k dispozici vždy platný kód. V případě že vznikne problém při přenosu např. Informace do mobilního telefonu, je možné vygenerovat nový kód, který nahradí starší a není tak znemožněno přihlášení
  • Možnost zadat maximální povolený počet chybných záznamů snižuje riziko útoků neoprávněnými osobami,

Nevýhody dvoustupňového ověřovacího procesu pomocí mobilního telefonu:

  • Mobilní telefon musí být k dispozici kolem uživatelem po celou dobu.
  • Baterie mobilního telefonu musí být nabitá.
  • Mobilní telefon musí mít dostatečný mobilní signál.
  • Uživatel musí sdílet své osobní mobilní číslo s poskytovatelem, což znamená snížení osobního soukromí.
  • Je-li mobilní telefon odcizen nebo ztracen, nebo uživatel nemá mobilní telefonu při sobě, je autentizace nemožná.
  • Ne každý uživatel má mobilní telefon, což znamená, že někteří uživatelé nemohou využívat tohoto systému a je nutné pro ně vytvořit zvláštní řešení s některým tokenem, nebo mobilní zařízení pořídit.
  • Zprávy zaslané na mobilní telefon mohou být nákladné, což odrazuje použití.
  • Textové zprávy na mobilní telefony jsou nešifrované a mohou být zachyceny. Token tak může být ukraden a využíván třetí osobou.

Zdroj: https://cs.wikipedia.org/wiki/Dvoufázové_ověření

Martin Kohout
Technologický nadšenec a elektrotechnik. Poslední výkvět Tesly. Mám zkušenosti v technologiích, energetice a přes 12 let jsou mým koníčkem smartphony s iOS. Sledujte příspěvky také na > YouTube nebo Twitteru.

    Doporučeno pro vás >

    Komentuj článek

    Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

    Další novinky > > Software