Skoči na vsebino

Dvostopenjsko varovanje - kako vključiti 2FA?

Popolna varnost in popolna zaščita ne obstajata. Pri varovanju identitet in računov na spletu boste mnogo naredili, če boste izbrali gesla in uporabili dvostopenjsko preverjanje pristnosti ob prijavi. O teh temah smo že večkrat pisali, tokrat pa nekaj praktičnih nasvetov, kako dvostopenjsko preverjanje vklopiti na popularnih spletiščih.

Uporabniki smo hitro pripravljeno žrtvovati zasebnost in varnost za malo več udobja. Dolga gesla nikomur ne dišijo, raje si zapomnimo eno in še to precej enostavno. Večkrat smo že pisali, da to težavo elegantno odpravimo z uporabo upravljalnikov gesel. Za dodatno varnost pa je nujno, da ob prijavi ni zahtevano samo geslo, ampak dodatno preverjanje pristnosti (two-factor authentication, krajše 2FA). To je največkrat izvedeno z zahtevo po vnosu enkratnega gesla, ki ga na telefon prejmete v obliki sporočila SMS ali pa enkratnega gesla, ki gaa generira namenska aplikacija. Za varno spletno življenje je zelo priporočljivo zaščititi vsaj elektronsko pošto in ostale storitve, ki jih uporabljate za prijavo na druge strani, torej račune Google, Apple, Microsoft, Facebook in Twitter.

Enkratno geslo, ki ga prejmemo po vnosu gesla v obliki sporočila SMS, je univerzalna rešitev, a ta ne velja za popolnoma zanesljivo. Splošno znano je, da je sporočila SMS mogoče prestrezati v omrežju. Boljša rešitev, ki jo je Matej Huš podrobno opisal v lanski poletni številki Monitorja, je uporaba algoritma TOTP (Time-based One-time Password Algorithm). Nekakšen primat med aplikacijami, ki generirajo enkratna gesla, si je izboril Google Authenticator. Čeprav je rešitev enostavna za uporabo in varna, ne velja za najboljšo in je ne priporočamo. Na voljo je kot aplikacija za pametne telefone, ne deluje pa na računalnikih in ne omogoča sinhroniziranja med napravami ter enostavnega načina prenosa na nov telefon. V uredništvu raje uporabljamo LastPass Authenticator, ki samodejno izdeluje varnostne kopije nastavitev. Tudi Microsoft ponuja svojo rešitev z enostavnim imenom Microsoft Authenticator. Med strokovnjaki pohvale žanje aplikacija Authy. Ta prav tako omogoča varnostno kopiranje nastavitev, sinhronizacijo med napravami, a njen videz ne bo všeč vsem.

V nadaljevanju podrobno opisujemo postopke vklopa za posamezne storitve, a v splošnem je vklop videti tako, da ob aktivaciji izberemo način avtentikacije, največkrat sporočilo SMS, klic ali uporabo aplikacije Authenticator. V prvem primeru je treba vnesti mobilno telefonsko številko in njeno lastništvo potrditi z vpisom poslanega enkratnega gesla. Če bomo raje uporabili aplikacijo, bo spletna storitev prikazala kodo QR, ki jo bomo z aplikacijo prebrali in s tem prenesli potrebne podatke za generiranje kode za to storitve. V potrditev, da je aktivacija v aplikaciji uspela, je treba vpisati prvo generirano kodo.

Nikar vas naj ne skrbi, da se boste zaradi dvojnega preverjanja v storitve vpisovali dlje, saj lahko naprave, na katerih se prijavljate, pogosto označite za zaupanja vredne in tam bo drugi korak preverjanja nepotreben.

Elektronska pošta

Najpomembnejša storitev, ki jo velja zaščiti, je, kot že omenjeno, elektronska pošta. Ta je stična točka vseh drugih storitev, saj lahko v primeru zlorabe z uporabo postopkov ponastavitve gesla prek pošte izgubimo nadzor nad vsemi ostalimi računi. Ne škodi, če ponovimo, da je nepogrešljiva uporaba močnega gesla, da ga nikoli ne »posojajte« otrokom, partnerju ali komu tretjemu in ga občasno menjajte.

Pri vseh večjih ponudnikih elektronske pošte z varovanjem poštnega predala v resnici ne varujete samo tega, ampak celoten račun, ki ga uporabljate za mnoge storitve. To velja tako za račun Google kot tudi račune Apple, Microsoft in Yahoo.

Google račun

Vstopite v nastavitve za Google račun in izberite razdelek Varnost, nato v razdelku Prijava v Google izberite Preverjanje v dveh korakih.

Google račun - Varnost

Ko začnete postopek in ponovno vnesete geslo, vas bo Google povabil, da vklopite možnost Googlov poziv, kar pomeni, da boste na telefon, kjer ste prijavljeni z Googlovim računom, prejeli poziv in prijavo za potrditev z enim klikom. Na Applovih telefonih je za poziv potrebna nameščena ena izmed Googlovih aplikacij, na primer Gmail, Google Maps ali kar aplikacija Google. Možnost Googlovega poziva je priročna, a če telefona ne varujete z geslom, ne nujno tudi varna, njena slabost pa se pokaže, če telefon izgubite ali vam ga ukradejo.

Ne glede na to, ali Google poziv vklopite ali ne, lahko dodate druge še možnost preverjanja – najenostavneje sporočilo SMS ali klic na poljubno telefonsko številko. To je uporabno v primeru, če vklapljate 2FA za račune otrok, saj lahko vpišete svojo telefonsko številko in jim pri prijavi pomagate.

Dodate lahko tudi možnost prenosa nadomestnih kod, generiranje kod z aplikacijo Google Authenticator ali eno od prej naštetih združljivih aplikacij oziroma strojni varnostni ključ.

Apple

Applov račun je za vse uporabnike jabolčnih naprav nepogrešljiv, zato ga velja dobro zaščiti, četudi ga ne uporabljate za elektronsko pošto. Na žalost Apple ne podpira avtentikacije na druge načine kot z uporabo SMS, a uporabniki njihovih naprav imajo navadno več naprav in lahko avtentikacijo opravijo na katerikoli drugi napravi, na kateri so prijavljeni z istim računom, podobno kot prej opisani Googlov poziv.

Dvostopenjsko preverjanje lahko vklopite na telefonu, če poiščete nastavitve Password & Security in vklopite Two-Factor Authentication.

Apple - Password & Security

Enako boste lahko naredili na računalniku, v skrajnem primeru pa tudi na spletni strani appleid.apple.com. Ne glede na to, kje boste dodatno varnostno nastavitev vklopili, boste morali vnesti svojo mobilno številko, vpisati poslano kodo in s tem potrditi zaključek postopka. Apple bo enkratne kode ob prijavi pošiljal na telefon ali tablico, če kode na ta način ne boste mogli prejeti pa na SMS.

Microsoftov račun

Mogoče Microsoft računa ne uporabljate vsakodnevno, a če ste uporabnik Windows 10 in ste izbrali prijavo z Microsoftovim računom ali če se uporabnik Skypa, Xboxa, OneDriva ali pa ste nekoč davno imeli račun Hotmail, ga verjetno vseeno imate. Ne glede na to, če ga uporabljate ali ne, ga zaščitite!

Na žalost je nastavitev kar nekoliko skrita, zato se je med raziskovanjem teme za ta članek potrdilo, da lahko marsikomu koristi. Po prijavi v račun vstopite v Microsoft račun in izberite možnost Posodobi v razdelku Varnost. V tem koraku morate kar dobro pogledati, da boste pod ponujenimi možnostmi opazili povezavo več varnostnih možnosti, kjer se skriva aktivacija dvostopenjske prijave. Po preverjanju identitete s pošiljanjem enkratne kode na SMS ali elektronsko pošto vam bo postopek ponudil prenos aplikacije Microsoft Authenticator. Če želite uporabiti drugo aplikacijo, izberite možnost namestitve druge aplikacije Authenticator.

Microsoft račun - Dodatne varnostne možnosti

Z izbrano aplikacijo 2FA preberite kodo in vpišite geslo, ki ga prikaže. Priporočamo, da upoštevate navodila in varno shranite tudi obnovitveno kodo.

Pozor! Če Microsoftovo brezplačno elektronsko pošto sinhronizirate s telefoni Android ali iOS, za branje uporabljate Outlook ali pa Microsoft račun uporabljate za prijavo v Xbox, boste morali uporabiti aplikacijsko kodo, saj programi ne omogočajo dvostopenjskega preverjanja! Postopek je zelo enostaven in naj vas ne odvrne od namena, da vklopite dvostopenjsko preverjanje.

Yahoo!

Če ste uporabnik elektronske pošte Yahoo, imate nekoliko lažje delo, a hkrati nekaj manj možnosti za varnost, saj ne omogoča preverjanja pristnosti z aplikacijami, ki so združljive z Google Authenticatorjem.

Po prijavi izberite nastavitve računa, nato izberite Varnost računa, tu pa lahko računa zaščitite na dva načina. Prvi je ključ računa Yahoo, za kar morate namestiti aplikacijo Yahoo, kamor boste prejemali začasna gesla.

Yahoo! Account - Varnost računa

Drugi način je preverjanje v dveh korakih z uporabo sporočil SMS, za katero boste vpisali svojo telefonsko številko in jo potrdili s vpisom prvega poslanega gesla.

Enako kot pri računu Microsoft poskrbite tudi, da boste v aplikacijah, ki jih uporabljate za prebiranje pošte, preverili ali podpirajo preverjanje v dveh korakih, sicer boste morali ustvariti in uporabiti geslo za aplikacijo.

Službena elektronska pošta

Če želite z dvostopenjskim preverjanjem pristnosti zaščiti še službeni elektronski naslov, tega ne boste mogli narediti sami. Pogovorite se z upravljalcem poštnega in ga prepričajte, da možnosti vklopi in po potrebi nadgradi poštni strežnik.

Družabna omrežja

Facebook

Facebook, kot največje in najbolj obiskano družabno omrežje, je tudi najbolj zaželeni plen med kradljivci identitet. Ukradeni račun na Facebook je lahko zelo neprijetna izkušnja, še posebej zato, ker mnogi uporabljamo Facebookovo prijavo za prijave na druge spletne strani. Če smo se še nedavno lahko pritoževali, da Facebook ne naredi dovolj za varnost svojih uporabnikov, se je to v zadnjih mesecih precej spremenilo. Vsaj na videz nam je na voljo kopica možnosti, s katerimi lahko zaščitimo dostop do računa in naših podatkov, uporabniki pa smo odgovorni za to, da te možnosti izkoristimo.

Zato se odpravite med nastavitve in tam poiščite možnost Varnost in prijava ter izberite Uporaba dvojnega preverjanja pristnosti. V trenutku pisanja članka orodje še ni povsem prevedeno v slovenščino, zato se nikar ne ustrašite in kliknite Začni. Izbirate lahko med enkratnimi gesli prek sporočil SMS ali pa izbrano aplikacijo Authenticator. Priporočamo zadnje, za kar boste morali v izbrani mobilni aplikaciji 2FA prebrati kodo QR in nato le še vpisati prikazano kodo.

Facebook - Varnost in prijava

Kot dodatne načine preverjanje pristnosti lahko vklopite SMS, varnostni ključ ali pa prenesete varnostne kode.

Twitter

Twitter je še do nedavna vsaj na nekaterih računih onemogočal vklop dodatnega varnostnega preverjanja pri prijavi, če je prepoznal, da ste uporabnik, ki živi v Sloveniji. Zdi se, da je ta nerazumljiva težava odpravljena in zdaj lahko vsak vklopi dvostopenjsko preverjanje pri prijavi.

Vklop je enostaven, a preveč skrit. V nastavitvah v meniju Settings and Privacy na levi izberite Account, nato v desnem seznamu Security in še Login Verification. Zdaj ste na pravem mestu, da vklopite preverjanje ob pomoči sporočil SMS ali aplikacije Authenticator. Če se le da, omogočite oboje. Tudi Twitter podpira varovanje z varnostnim ključkom.

Twiter - Login Verification

Instagram

Instagram ni tako pogosto uporabljan način prijave na spletna mesta in aplikacije kot Twitter, a to ne pomeni, da ga ni treba varovati. Za »hamburger« menijem v vašem profilu boste našli dobro skrito ikono zobnika, s katero boste odpri nastavitve. Varnostne nastavitve, poimenovane Privacy and security, boste z lahkoto našli, nato pa boste nekoliko težje nekje proti dnu seznama uzrli možnost Two-factor authentication.

Čeprav Instagram podpira preverjanje s kodo, poslano kot sporočilo SMS in aplikacijo, te možnosti ne boste mogli aktivirati s prebiranje kode QR, ampak bo potreben ročen vpis kode, še bolje njeno kopiranje. Razlog je verjetno, da je Instagram samo mobilna aplikacija, če odmislimo zares enostavno spletno aplikacijo, ki je za vklop varne prijave ne morete uporabiti.

Instagram - Privacy and Security

Hramba podatkov

Če uporabljate oblačne shrambe podatkov, je nujno, da varnostno zaščititi dostop tudi do tega segmenta spletnih storitev. A ker sta tako OneDrive kot Google Drive varovana z Microsoft oziroma Google računom, ki ste ga, upamo, že zaščitili, kot smo opisali v razdelku o elektronski pošti, vam ni treba storiti nič več.

Dropbox

Od večjih samostojnih storitev omenimo DropBox, ki ima zgledno urejen vklop dvostopenjskega preverjanja pristnosti prijave. Nastavitve boste brez težave našli tako, da boste izbrali meni Settings in nato vstopili v sklop nastavitev Security.

Vklop možnosti Two-step verification omogoča preverjanje z aplikacijo, s sporočilom SMS ali z varnostnim ključkom OTP. Zelo nazorno je označeno, da lahko izberete primarno metodo in metodo, s katero boste dostopali do računa, če ne boste mogli avtentikacije opraviti na prvi način.

Dropbox - Security

Kaj pa ostale storitve in aplikacije?

Opisali smo nekaj najpogostejših spletnih storitev in mobilnih aplikacij, ki jih velja dodatno varnostno zaščititi. Seznam se tu seveda ne konča, zato velja razmisliti še o drugih storitvah

Če uporabljate upravljalnik gesel LastPass, 1Password ali sorodno storitev, je dodatna zaščitita nujna. Zaščititi velja tudi klepetalnika WhatsApp in Slack, ne pozabite na omrežja LinkedIn, SnapChat, brskalnik Firefox, spletne trgovine, kot sta Amazon in Kickstarter, pa beležko Evernote, spletno hrambo programske kode Github in priljubljeno tržnico s kriptovalutami, recimo Bitstamp. Pomislite tudi na finančne storitve, kot je PayPal. Če ste lastnik spletne domene, preverite, ali dodatno zaščito podpira vaš register spletnih domen. Domenca in mnogi drugi domači registri 2FA na žalost ne podpirajo, GoDaddy, kot največji, ter mnogi drugi veliki mednarodni registri dodatno varnost omogočajo. Izkoristite to možnost in zmanjšajte nevarnost, da kdaj v prihodnosti ostanete brez lastništva spletne domene.

Kljub mnogim naporom ozaveščene javnosti in znanih dobrih varnostnih praks vse storitve še vedno ne podpirajo dodatne zaščite z dvostopenjskim preverjanjem pristnosti ob prijavi. Med črnimi ovcami omenimo Viber. Ko boste zavarovali najpomembnejše storitve, na spletni strani www.twofactorauth.org prebrskajte dolg seznam tistih, ki so 2FA že omogočili, in tudi seznam tistih, ki tega koraka še niso opravili. Pomagali vam bodo, da s kratkim sporočilom spodbudite zamudnike, da dvostopenjsko preverjanje pristnosti ob prijavi dodajo čim prej.

Če boste potrebovali pomoč pri vklopu dodatnega preverjanje pristnosti, pa vam v tem članku nismo pomagali, boste navodila gotovo našli na spletu. Avtorji prej omenjene aplikacije Authy pišejo izvrstne vodiče.

Objavljeno tudi v reviji Monitor. Naslovna fotografija Dynamic Wang na Unsplash.