Dvoufázové ověření

část 1.

Možná jste zaznamenali, že Google se rozhodnul zapnout pro 150 milionů jeho uživatelů dvoufázové ověření. Pojďme se společně podívat, jaké důvody vedly Google k tomuto kroku, co to pro nás bude znamenat a jak v současné době toto nastavení vypadá u školních účtů.

Důvody

Dvoufázové ověření je českým uživatelům velmi dobře známo. Většina lidí se s tímto systémem seznámila v oblasti bankovnictví, kde při placení na internetu zadáváme nejen číslo karty, dobu platnosti a tři číslice ze zadní strany (tzv. CVV/CVC kód - Card Verification Value/Code), ale rovněž je vyžadován silnější dvoufázový způsob ověření platby. Nejčastěji přes bankovní klíč na mobilu, otiskem prstu či rozpoznáním obličeje na mobilu. Tím se teprve platba potvrdí a riziko zneužití krádeže vaší karty a peněz na vašem bankovním účtu se minimalizuje.

Riziku krádeže jsou však vystaveny i vaše osobní účty na internetu. Nejčastějšími důvody jsou tyto:

  • používání stejného hesla u různých aplikací a různých webových služeb

  • klikání na nebezpečné a neznámé odkazy v mailech

  • stahování nebezpečného softwaru z internetu či otvírání neznámých příloh v emailu

Dvoufázové ověření významně toto riziko minimalizuje, a to i v případě, že útočník získá vaše heslo.

V případě Googlu účtů máme na své straně ještě jednu bezpečnostní pojistku, samotný Google, který může zablokovat přístup k vašemu účtu pokud si není dostatečně jistý, že se skutečně jedná o vás. Nejčastěji toto zaznamenáte, pokud k vašemu přihlášení došlo z neznámého počítače či z neobvyklého místa.

I ve školních účtech se s tímto rizikem můžete setkat. Jako příklad lze uvést situaci z letošního září, kdy na jeden školní účet byl proveden pokus o přihlášení z aplikace třetí strany, který Google lokalizoval do Severní Koreje - viz obrázek výše.

JAk se nejlépe bránit

V případě školních účtů je významně sníženo riziko, že v případě krádeže hesla trvale uživatel přijde o přístup ke svému účtu. Vždy je zde pozice administrátora, který může účet obnovit a heslo změnit. Přesto nikdy není opatrnosti nazbyt a proto se nyní zaměřme jak vypadá a funguje dvoufázová ochrana na školních účtech.

Dvoufázové ověření

V základním nastavení je tato funkce vypnuta pro celou doménu a pro všechny organizační jednotky. Tak jako u každého nastavení, je možné toto nastavení zapnout pouze pro vybranou uživatelskou jednotku, například pouze pro učitele a tak vnutit učitelům tuto ochranu jejich účtů.

Toto nastavení naleznete v Admin consoli v sekci Zabezpečení - Dvoufázové ověření.

V nastavení tohoto zabezpečení lze specifikovat i období, kdy novým uživatelům poskytnete určitý čas, než se jim tato povinnost vnutí. Viz obrázek níže.

V další sekci naleznete nastavení Frekvence, která vašim uživatelům umožní důvěřovat svým zařízením a vyhnout se opakovanému dvoufázovému ověření. V praxi to například znamená, že na svém notebooku nemusí uživatel neustále potvrzovat svou identitu a potvrzení se bude vyžadovat pouze na nových zařízeních, ke kterým se uživatel pokusí přihlásit.

Dále lze nastavit i metodu a vynutit například pouze bezpečnostní klíč či zakázat potvrzení přes textové či hlasové zprávy.