Záložní řešení: Proč silná hesla nestačí
Kyber.Puls: Základní výbava #4
Silná hesla jsou skvělý základ, ale co když se k nim někdo dostane? Stává se to často. A přesně proto potřebujete záložní řešení, které případnému útočníkovi velmi zkomplikuje život – je to vícefaktorové ověření.
I. Vícefaktorové ověřování = vaše digitální pojistka
Vícefaktorové ověřování (MFA) přidává k vašemu heslu další úroveň kontroly. Nestačí znát heslo – musíte prokázat svou identitu ještě jiným způsobem.
Další faktory mohou být:
⇒ Co znáte – jednorázový kód. PIN kód
⇒ Co máte – telefon, bezpečnostní klíč, ověřovací aplikace
⇒ Kdo jste – otisk prstu, rozpoznání obličeje
Či kombinace uvedeného.
Útočník tak sice může mít heslo, ale bez dalšího faktoru se stále nedostane do systému. Některé faktory jsou více bezečné (např. softwarové klíče), jiné více uživatelsky přívětivé (otisk prstu). Všechny přídávají další vrstu ochrany a je vždy dobré mít alespoň nějaký.
Je nutné přiznat, že MFA může přinášet určitý diskomfort oproti praxi bez něj. Je však zanedbatelný v porovnáním s možnými problémy z kompromitovaného účtu.
Který typ MFA zvolit
SMS kódy
Po zadání hesla přijde kód na telefon. Jednoduchá metoda, ale existují bezpečnější varianty.
Ověřovací aplikace
Microsoft Authenticator, Google Authenticator nebo Authy. Generují jednorázové kódy offline. Bezpečnější než SMS, velmi časté, jednoduché, útočníci dokážou obejít.
Hardwarové a softwarové bezpečnostní klíče
Fyzické zařízení, které je podobné flashce (např. YubiKey) či softwarové řešení v počítači. Oboje přináší dobrou úroveň zabezpečení, doporučujeme zejména ty softwarové. Nevýhodou může být těžší aktivace. U hardwarových je nevýhodou to, že si je musíte koupit a také to, že je můžete ztratit.
Biometrické ověření
Otisk prstu, rozpoznání obličeje. Dobrý kompromis mezi bezpečností a použitelností. Pro běžné životní scénáře dobré řešení.
Kontrolní otázky:
- Máte zapnuté MFA na emailovém účtu?
- Používáte MFA pro internetové bankovnictví?
- Víte, jak získat přístup k účtu, když přijdete o telefon?
- Máte uložené záložní kódy na bezpečném místě?
Tyto informace naleznete vždy přehledně popsané v nápovědě dané služby. Je dobré zmínit, že pro každou službu se MFA nastavuje samostatně, proto mohou být nabízené faktory rozdílné.
II. Prioritizace: kde MFA implementovat jako první
Ne všechny účty mají stejnou hodnotu. Některé jsou klíčové – jejich kompromitace by měla devastující dopad. Jiné jsou méně kritické. Chytrá strategie je začít tam, kde MFA přinese největší ochranu.
- Váš emailový účet je bránou ke všemu ostatnímu. Přes něj se obnovují hesla k dalším službám. Když útočník získá přístup k emailu, získává kontrolu nad celou vaší digitální identitou.
- Správce hesel – rozhodně nevynechávejte, pokud dodržujete naši radu o využívání Bitwardenu, tak návod najdete zde.
- Účty, skrze které pracujete s financemi, často povinné (např. u internetového bankovnictví).
- Pracovní účty – řada organizací vám už ani nedá na výběr.
- Cloudová úložiště – ochrana důležitých dokumentů a záloh
- Sociální sítě – můžou být zneužity k podvodům vůči vašim blízkým.
III. Akce: 3 praxe pro práci s MFA
- Plán.a realizace: Určete, na které účty si musíte MFA zavést a naplánujte si do kalendáře, kdy to uděláte. Dodržte to.
- Záloha zálohy: Vždy si zjistěte, co se stane pokud druhý faktor nebudete mít k dispozici – obvykle pro tento účel slouží tzv. záložní kódy, které si vždy vygenerujte a uchovejte. Konkrétní popis najdete vždy v nápovědě dané služby.
- Součást mindsetu: při registraci každého nového účtu si MFA rovnou aktivujte. Nemá smysl to odkládat.
Příště:
Nyní je čas podívat se na svůj počítač optikou bezpečnosti a přidat několik dalších vrstev pomyslného digitálního pancéřování. Často jde o maličkosti, které však výrazně navýší vaši bezpečnost, a proto byste je rozhodně měli mít ve své základní výbavě.
Série Kyber.Puls – Základní výbava. Praktický průvodce kyberbezpečností pro každý den. Obsah vznikl ve spolupráci s CSIRT MU a projektem Kyberkompas.
