Používate GMail? Outlook.com? Alebo nebodaj iba Tumblr? Ak áno, je slušná šanca, že nemáte prístup do svojho účtu zabezpečený tak dôkladne, ako by sa patrilo. V tomto článku skúsim priblížiť, ako sa to dá napraviť, ako to funguje a prečo by ste to mali skúsiť, hoci sa to na prvý pohľad môže zdať ako priveľa práce.

Priestor na zlepšenie

Dnes najrozšírenejším spôsobom prihlasovania sa do web služieb je meno a heslo. Princíp je jednoduchý, ale spoľahlivosť závisí od mnohých faktorov: používate dostatočne komplexné heslo? Skladujete ho bezpečným spôsobom? Je implementácia na strane služby bez chýb? Mnohokrát nie a potom čítame smutné články ľudí, ktorí prišli o súkromie, dáta a digitálne spomienky. Ak sa vaše heslo niekto dozvie, ste nahratí.

Odpoveďou na tieto problémy môže byť dvojkrokové prihlásenie (“dvojfaktorová autentifikácia” alebo, ako to nazýva Google, “dvojstupňové overenie”). Funguje na dvoch principiálne odlišných bezpečnostných prvkoch: tajomstvo, teda niečo, čo užívateľ vie, napríklad heslo; a fyzický token, ktorý užívateľ má, napríklad telefón, grid karta alebo špecializované USB zariadenie. Na úspešné prihlásenie potom treba obe. Pre online služby sa využívajú hlavne mobily – sú najpraktickejšie a dostatočne bezpečné.^[1]

Prihlásenie potom vyzerá asi takto:

Najprv meno a heslo, ako vždy.

GMail si vypýta jednorazový kód.

Toto je práve tá otravná časť procesu. No ak sa prihlasujete z počítača, ktorému dôverujete, môžete zaškrtnúť označené políčko a viackrát už kód nebudete musieť zadávať.

Možností, ako kód získať, môže byť viac a líšia sa medzi poskytovateľmi služieb. Google ponúka napríklad heslo SMSkou. Najpraktickejšia pre každého vlastníka smartphonu^[2] je ale generujúca aplikácia. Tú je potrebné iba jedenkrát na začiatku nastaviť a potom proste funguje. Výhodou je, že nepotrebuje ani pripojenie na Internet, ani mobilný signál – stačí jej presný čas.

Znie to ako otrava? Áno, je, tak isto, ako je otrava zamykanie dverí. Aspoň kým si nezvyknete.
Výhoda? Ak sa niekto dozvie vaše heslo, stále sa nedokáže dostať k vašim dátam, pokiaľ vám neukradne aj odomknutý mobil.

Ako na to?

Na začiatku treba všetko nastaviť. Ukážeme si, ako na to, pre Google účet.

Po prihlásení choďte do nastavení účtu.

Nastavenia účtu

Choďte do sekcie Zabezpečenie a v riadku Dvojstupňové overenie kliknite na Nastaviť.

Google zobrazí pekný prehľad, do čoho sa púšťate. Pokračujte klikom na Nastaviť. Potom si znovu vypýta heslo.

Ďalej treba zadať telefónne číslo^[3], kam sa bude zasielať bezpečnostný kód a kliknúť na Odoslať kód. (Pre zrakovo postihnutých je k dispozícií aj možnosť s diktovaným kódom namiesto SMS.)

[

Po chvíli vám príde SMS s kódom, ktorý treba opísať a kliknúť na Verifikovať. Tým ste Googlu dokázali, že ste naozaj zadali telefón, ku ktorému máte prístup a všetko prebehlo ako malo.

[

V ďalšom kroku si môžete vybrať, či chcete Dôverovať tomuto počítaču. Ak políčko zaškrtnete, nebude na tomto počítači vyžadované zadanie kódu. Pretože toto všetko robím u seba doma, vyhovuje mi to.

[

Už len klik na Potvrdiť a všetko je hotovo.

[

Odteraz už zabezpečenie funguje. (Mal by vám kvôli tomu aj prísť informačný mail.) Ak sa pokúsite vy – alebo niekto iný s vašim heslom – prihlásiť z iného počítača, Google si vypýta heslo, ktoré vám pošle SMSkou.

Majte na pamäti, že heslá sú jednorazové – vždy ich stačí opísať, nikdy si ich netreba pamätať.

Mal by sa vám otvoriť prehľad nastavení dvojstupňového overenia, v ktorých nemusíme nutne nič robiť, ale pozrieme sa naň v ďalšej sekcii.

Aplikácie

SMSky fungujú, ale vždy trvá aspoň pár sekúnd, kým dorazia. Okrem toho, pozorný čitateľ si mohol uvedomiť niekoľko potenciálnych problémov, vznikajúcich pri používaní rôznych mailových aplikácii. Ale pekne po poradí.

Authenticator

SMS kódy sa dajú nahradiť smartphone aplikáciou. Táto vygeneruje kód rovnako, ako by prišiel cez esemesku. Všetky služby – či už Google, Microsoft, Tumblr alebo ktorákoľvek iná – používajú rovnaký industriálny štandard, preto stačí mať nainštalovanú jednu aplikáciu.

• Pre Android je to Google Authenticator
• Pre iPhone takisto Google Authenticator
• Pre Windows Phone Authenticator priamo od Microsoftu

Nastavenie je opäť jednoduché. Vo vyššie spomenutom prehľade dvojstupňového overenia klik na Prepnúť na aplikáciu.

Na výber dostanete jednu z troch možností – Android, iPhone a Blackberry. Predpokladám že Windows Phone absentuje preto, lebo Google nemá vlastnú podporovanú Authenticator appku pre Windows Phone. To ale neprekáža, iba vyberte napríklad iPhone a všetko ostatné ostáva rovnaké.

V ďalšom kroku sa zobrazí QR kód. Spustite Authenticator aplikáciu na telefóne, dajte “pridať” a nasnímajte kód. Telefón by to mal pochopiť, uložiť si dáta o účte a zobraziť prvý kód. Opíšte ho do okienka a kliknite na Overiť a uložiť. Ak je všetko, ako má byť, kód bude sedieť a nastavenie sa ukončí. Od tohto bodu už kódy nebudú chodiť SMS správou, treba ich opísať z aplikácie.

Ja ju používam pri mnohých službách, na Windows Phone 8.1 vyzerá asi takto:

Kódy vygenerované na WP8.1 aplikáciou Authenticator.

Vygenerované heslá platia asi minútu, čo je v aplikácii vždy vyznačené. Potom sa všetky zmenia.

E-mail aplikácie

Ak používate nejaké third-party aplikácie (to znamená nie cez prehliadač) na čítanie mailov (Outlook, Thunderbird), prístup ku Google účtu (napr. kalendár Rainlendar) a podobne, môžete naraziť na problém v prípade, že daná aplikácia nepodporuje dvojstupňové overenie.

Vtedy sa používajú špecifické heslá (“Application-specific passwords”). V nastaveniach dvojstupňového overenia kliknite na Heslá pre konkrétne aplikácie a potom Spravovať heslá pre konkrétne aplikácie. Pre každý z programov, ktorý vyžaduje prihlásenie, tu môžete vygenerovať vlastné, špecifické heslo. Do programu potom zadáte bežné prihlasovacie meno a vygenerované heslo a Google bude vedieť, že si nemá pýtať jednorazové heslo z telefóna.

Obrazovka so zoznamami hesiel a samotnými heslami sa mi vždy zobrazila iba v angličtine. Takto vyzerá heslo. Opäť si ho netreba pamätať, stačí opísať do programu.

V zozname sa potom zobrazujú všetky vygenerované heslá, spolu s časom, kedy boli naposledy použité a možnosťou heslo zrušiť (Revoke). Toto je dôležité v prípade, že bola kompromitovaná bezpečnosť aplikácie alebo zariadenia. Teda ak vám ukradnú notebook, kde bol Rainlendar s prístupom k vašim citlivým Google Calendar dátam, treba ísť na túto stránku a odstrániť príslušné heslo. Od toho momentu už heslo nebude fungovať a aplikácia vám nemôže napáchať toľko škody.

Záložné jednorazové heslá

Čo ak sa potrebujete prihlásiť, ale telefón je napríklad pokazený? Pre takéto prípady si treba dopredu vytlačiť jednorazové heslá a uložiť ich na bezpečnom mieste. Ako už názov hovorí, s každým z nich sa prihlásite iba raz.

[

Ak by sa vám heslá minuli, stratili, alebo by ich niekto čítal, treba kliknúť na Generovať nové kódy, čím získate čerstvú dávku a zároveň zneplatníte tie staré.

Google nie je jediný.

Do detailov rozoberám Google, pretože ho používa väčšina ľudí z môjho okolia. No Google a Microsoft^[4] nie sú jediní. Utešene ich pribúda. Ak si dáme pozor a urobíme, čo je v našich silách, nebudeme musieť až tak panikáriť, keď sa dozvieme že unikli Google heslá alebo sa “4Chan hackeri” zas nudia.

Ja tento systém používam už temer tri roky, zvykol som si a nikdy som nenarazil na problém. A spávam o niečo pokojnejšie. Stále sa to zdá ako priveľa námahy? Aj tak to spravte. Stojí to za to. Nepotrebujete aby niekto videl maily, kde máte potenciálne všetko, od výplatných pások, cez líbesbrífy, fotografie, až po termíny zdravotných vyšetrení; nehovoriac o tom, že ak sa pomocou mailu zaregistrujete na inú stránku, vždy sa pomocou “obnovy hesla” dá dostať aj na ňu. Niektorí ľudia si neuvedomia, že sa z ich mailu stal prístupový bod do celej ich online identity, až kým oň neprídu.

---

1. Samozrejme treba mať zapnuté zamykanie mobilu. Ale to treba vždy, bez ohľadu na to, čo v ňom máte. ↩︎

2. Tzn. toho telefónu s veľkým dotykovým displejom, čo nevydrží na jedno nabitie ani štyri dni. ↩︎

3. Na obrázku to síce tak nerobím, ale je dobré vypestovať si zvyk zadávať (a snáď aj diktovať) telefónne čísla aj s medzinárodnou predvoľbou. Teda pre Slovensko nie 0910, ale +421 910. ↩︎

4. Online služby MS sú čím ďalej, tým viac super. OneDrive/Outlook.com toho ponúka naozaj celkom dosť, okrem iného toto: Už nikdy sa nechcem vrátiť do doby, kedy som nové kontakty do telefónu zadával vyťukávaním, namiesto pohodlného písania cez People v prehliadači. ↩︎