Jak funguje dvoufázové ověření a který protokol používat? Jeden je bezpečnější!
- Dvoufázové ověření je silný nástroj pro zvýšení bezpečnosti (nejen) online účtů
- Existují dva hlavní protokoly dvojího ověření: TOTP a HOTP
- Oba protokoly generují jednorázové heslo, každý ale jinak
Dvoufázové ověření je silným nástrojem pro posílení bezpečnosti online účtů. Tento proces vyžaduje dvě různé formy identifikace, čímž zajišťuje, že pouze oprávnění uživatelé získají přístup k vašim účtům a citlivým informacím. V době, kdy jsou kybernetické a phishingové útoky běžné, je dvojité ověření nezbytností pro ochranu vašeho soukromí a dat.
Jak funguje dvoufázové ověření?
Dvojité ověření obvykle využívá kombinaci něčeho, co znáte (vaše heslo), a něčeho, co máte (například mobilní telefon nebo hardwarový token). Tento přístup zajišťuje, že i když útočník získá vaše heslo, stále potřebuje další formu identifikace, aby získal přístup k vašemu účtu.
Pro dvojí ověření se dnes velmi často používají tzv. One Time Password (OTP) algoritmy. Jak napovídá název, tyto algoritmy generují hesla vždy jen na jedno použití. Pro generování takového hesla potřebuje algoritmus dvě důležité části: neměnnou část – tzv. „seed“ a proměnnou část, kterou může být třeba čas nebo událost (např. počet přihlášení uživatele).
Moderní protokoly
Pro dvojí ověření se většinou používá tzv. Time-based OTP (TOTP) protokol. Ten generuje nový kód v pravidelných intervalech, obvykle každých 30 sekund. Tento kód se tedy mění časem, což je obrovskou výhodou v ochraně proti phishingovým útokům, které mají za cíl vylákat z uživatele přihlašovací údaje (např. falešné webové stránky). Každý kód lze totiž použít pouze jednou, což vede k tomu, že pokud nedopatřením sdělí uživatel tento kód, musí ho útočník použít právě do maximálně třiceti sekund, potom je mu už úplně k ničemu, protože se automaticky zneplatní. Ze znalosti aktuálního hesla ani času nelze vyvodit tzv. „seed“ zmíněný výše.
Karel KiliánDalším protokolem je HMAC-based OTP (HOTP). Tento protokol se dnes používá v mobilních telefonech minimálně. V naprosté většině případů je lepší volbou TOTP. Tento protokol má jako proměnnou část právě počet přihlášení. Heslo se tedy nemění v čase, ale při každém novém přihlášení. HOTP v aplikacích stále přetrvává především kvůli kompatibilitě se staršími zařízeními, která TOTP nepodporují, případně se používá ve vestavěných zařízeních, která neumí sledovat čas.
Pokud se ale podíváme na dvojí ověření, které není pouze v mobilu, pak existují možnosti, kde se HOTP stále používá. Jednou z takových možností je YubiKey – fyzický klíč, který se připojuje do USB portu počítače a může také sloužit jako druhý faktor ověření uživatele.
Závěr
Dvojité ověření je nezbytnou bezpečnostní funkcí pro každého, kdo chce chránit své online účty a citlivé údaje. Díky použití jedinečných kódů generovaných v pravidelných intervalech nebo při každém úspěšném přihlášení poskytuje dvoufaktorové ověření silnou vrstvu ochrany proti neoprávněnému přístupu. Jednoduché nastavení a použití dvojího ověření prostřednictvím aplikací pro správu z něj činí snadno dostupný nástroj pro každého, kdo chce zvýšit svou online bezpečnost.
Oba zmíněné protokoly mají také tu výhodu, že nejsou vůbec závislé na internetu a to ani při prvotním vytvoření klíčů, což umožňuje jejich použití i v situacích, kdy není dostupné připojení k síti. Ve většině případů stačí pouze naskenovat QR kód, nebo přepsat poskytnutý kód. Tyto algoritmy může implementovat úplně kdokoli, takže mají uživatelé na výběr z široké škály aplikací pro správu těchto klíčů.
Který protokol tedy použít? V naprosté většině případů nemáte jako uživatel na výběr, takže zkrátka použijte ten, který vám služba nabízí. Pokud na výběr máte, tak je ale lepší volbou TOTP.
Používáte dvojité ověřování na svých online účtech?
Zdroj: Blog UniqKey
Marek Houser
Jana Skálová
Adam Kurfürst
Komentáře (0)
Přidat komentář