OVĚŘOVÁNÍ2
Co když někdo získá vaše heslo?
O čem bude tato lekce?
Málo času, blížící se deadliny, desítky e-mailů. V překotném tempu dnešní doby je snadné něco přehlédnout, udělat chybu, naletět, přijít o heslo. Buďte chytří, počítejte s tím a pojistěte se vícefaktorovým ověřováním.
Modul obsahuje 3 části:
EXTRA 15 MIN
1 VÝZVA
1 NÁVOD
1. Jen něco „navíc“?
Vícefaktorové ověřování* je jako záložní padák – nechcete to riskovat bez něj. Nejde o luxus pro zapálené fanoušky kyberbezpečnosti. Je to standard, který pro vás znamená větší jistotu a pro útočníky velkou překážku.
Smyslem vícefaktorového ověřování je zkrátka nespoléhat se pouze na jednu kartu, tedy hesla. Představte si, že někdo získal vaše heslo od internetového bankovnictví. Přihlásí se do něj a pokusí se přeposlat si vaše peníze. Právě tehdy po něm však bude banka chtít kódy z ověřovací sms či potvrzení v aplikaci (to jsou právě ty další faktory). Jinými slovy, díky tomuto opatření máte další úroveň ochrany.
Způsobů, jak ověření provést, je více a později si je představíme. Nyní je však důležité, ještě jednou zopakovat: mít správně vyřešená hesla je základ, ale nestačí to. Proto všude, kde je to možné, vždy nastavujte i další možnost ověřování. Stejně jako u zmíněného padáku platí i zde, že je pozdě začít s řešením až ve chvíli potřeby.
*Často se používá také označení vícefázové.
2. Ujasněme si to
Už tedy víte, že vícefaktorovým ověřením můžete významně navýšit úroveň své bezpečnosti. Nyní je nutné dopřesnit dvě věci. Nejprve, jaké možnosti pro ověřování máte a následně také, kde byste je měli zavést.
Metody ověřování
Něco, co víte (pin, kód), něco, co máte (klíč, karta), něco, co jste (otisk prstu, sken oka). To jsou základní kategorie, které rozlišuje teorie. Tím ale s učebnicovým výkladem končíme.
Vybrali jsme pro vás 3 způsoby ověřování, které považujeme za dobré znát. U každého v několika odrážkách uvádíme i nejdůležitější informace.
Jednorázové kódy ve zpravách
- 🟡
Řada služeb využívá ověření pomocí kódu, který vám přijde v e-mailu či SMS zprávě. Tento způsob není úplně ideální, ale pokud nebudete mít na výběr žádnou jinou metodu, využijte jej.
🟡 - Pozor však na zabezpečení vašeho telefonu. Zapnuté náhledy SMS zpráv v uzamčeném telefonu metodu výrazně oslabují, stejně tak pokud telefon nechráníte uzamykáním obrazovky. Pro více informací o bezpečnosti vašeho mobilu se podívejte na Ochrana zařízení.
- 🟡
- A co když telefon ztratíte? Pro tento případ si lze předem vystavit tzv. záložní kódy – ty si bezpečně uschováte. Například ve správci hesel. Můžete si je i vytisknout, ale pozor, nikdo se k nim nesmí dostat.
Jednorázové heslo z aplikace v mobilu
🟡
Kód vám nemusí chodit pouze skrze zprávy. Tato varianta ověření využívá aplikaci ve vašem mobilu.
🟡
Tu si představte jako takovou kalkulačku, která každých 30 vteřin spočítá nový kód. Ten pak použijete pro ověření.
🟡
Tento přístup je jedním z těch, které využívá také Masarykova univerzita a v další části tohoto modulu si ukážeme, jak na něj.
🟡
Můžete počítat s tím, že vás ochrání před značnou částí útoků, které existují. Mimojiné zabrání útočníkovi prodat vaše heslo.
🟡
Základní slabinou je, že pokud útočník dokáže vytvořit falešnou stránku, do které mu zadáte vaše heslo, tak dokáže vytvořit také falešný formulář, kam mu zadáte i ověřovací kód. Tím má obě informace pro přihlášení do vašeho účtu. Z tohoto důvodu doporučujeme ověřování pomocí bezpečnostního klíče.
Bezpečnostní klíč
- 🟡
Bezpečnostní klíč může mít formu fyzického tokenu, či programu (tzv. SW klíč), který je spojený s fyzickým zařízením.
- 🟡
Na rozdíl od předchozích způsobů vás tato metoda ochrání i před útokem v podobě podvržené stránky – klíč zkrátka rozpozná, že není tam, kde má být a ověření vám vůbec neumožní. - 🟡
Jde tedy o velmi dobré a pohodlné řešení, jehož jedinou nevýhodou je nutnost jeho nastavení – a s tím vám pomůžeme ve třetí části tohoto modulu.
Kde všude si vícefaktorové ověřování zavést?
Některé služby vám hledání odpovědi usnadní a zkrátka vás k tomu přinutí. Jinde to ale bude jen vaše volba. Naše doporučení je, abyste jej využívali všude, kde je to možné. Pokud však hledáte cestu nejmenšího odporu, řiďte se naším výčtem.
Nutné minimum, kde vícefaktorové ověřování aktivovat:
- Osobní e-mail.
- Všechny účty, na kterých máte peněžní prostředky (bankovnictví, investiční účty apod.). Tyto služby by si to měly vynutit tak jako tak.
- Všechny účty, ke kterým máte připojenou kreditní kartu (e-shopy, herní portály, předplatné obsahu).
- Správce hesel – pokud to umožňuje. Bitwarden, který doporučujeme nabízí hned několik možností.
- Pracovní a školní informační systémy – pro MUNI najdete níže návod.
- Profily na sociálních sítích.
- Účty, kde máte správcovská oprávnění.
- Všechny služby či systémy, které zpracovávají informace citlivého charakteru (např. zdravotní stav, soukromé poznámky apod.).
Výzva: Zaveďte si vícefaktorové ověření
Níže pro vás máme návody, jak zavést vícefaktorové ověřování na univerzitě.
U vašich ostatních služeb jej můžete aktivovat obvykle v nastavení, v části zaměřené na zabezpečení. Někdy jej naleznete také pod názvy „vícefázové ověření“, „dvoufázové ověření“ či „dvoufaktorová autentizace“. Vybrali jsme na ukázku alespoň návody pro nastavení některých populárních služeb:
Několik tipů z praxe:
- Nejprve si vytvořte seznam služeb, kde si potřebujete vícefaktorové ověřování zavést. Potom si v kalendáři vyhraďte 45 minut.
- V daném časovém bloku se pak do toho pusťte, pokračujte podle návodů. Začněte první službou na seznamu. Jakmile jste hotoví, službu si odškrtněte a pokračujte u další.
- Uvidíte, kolik toho stihnete! A pokud by se nepodařilo vše najednou, tak si naplánujte ještě další blok pro pokračování. Můžete si být jistí, že jde o smysluplné využití vašeho času.
V této části si ukážeme, jak si zavést vícefaktorové ověření na Masarykově univerzitě. Popíšeme vám nejprve, jak si nastavit ověřování skrze jednorázový kód v aplikaci a pak i pomocí bezpečnostního SW klíče.
Na MUNI spolu totiž oba způsoby ověřování souvisí. Naším primárním cílem bude využívání SW klíče, ale jednorázové heslo v aplikaci se někdy může hodit jako záloha – např. když se nepřihlašujete ze zařízení, na kterém máte SW klíč nainstalovaný. Celý postup má pouze dva základní kroky.
Návod: Dva kroky k jistotě díky ověřování
-
#1
Získejte váš první ověřovací kód
🟡
Nastavení ověřovacích kódů TOTP je základem celého procesu. Funguje na základě generování kódů pomocí aplikace ve vašem zařízení. Ve video návodu vám přesně ukážeme, jak na to.🟡
Ale co když své zařízení ztratíte? Právě pro tento případ vám ukážeme jak si vygenerovat i záložní kódy. Ty si pak bezpečně uložíte nebo vytisknete a uschováte.
🟡
Nyní už si podle vašeho operačního systému vyberte návod a nastavit podle něj ověřovací kódy. -
#2
Přidejte si bezpečnostní klíč
🟡
Výsledkem tohoto kroku bude, že se váš mobil či počítač stane sám o sobě bezpečnostním klíčem. Nebojte se, pokud s tím zatím nemáte zkušenosti. Náš návod vám s tím pomůže.🟡
Takových bezpečnostních klíčů si můžete vytvořit více – například z počítače doma i v práci a zároveň na mobilu. Pro každé zařízení je nutné provést zvlášť.
- K bezpečné práci s hesly potřebujeme pojistku, kterou je vícefaktorové ověřování.
-
K ověření můžeme využít různé metody. Každá je lepší než žádná, nejvíce však doporučujeme SW bezpečnostní klíče.
-
Ověřování se nastavuje zvlášť u každé služby (a často i zařízení), doporučujeme si pro to na nastavení vyhradit čas a začít podle návodů pro MUNI.
Bonusy pro zvídavé
Nastavení ověřování v IS MU
Vícefaktorové ověření se týká pouze služeb, které využívají Jednotné přihlášení MUNI. Pro aktivaci vícefaktorového ověření pro IS je potřeba ho aktivovat v Informačním systému pomocí tohoto návodu.