Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Rozhovor: Nebuďte důvěřiví vesničané na síti, zabezpečte se jako banka

aktualizováno 
Zabezpečení pomocí hesla není dostatečné, zvlášť když používáte e-mail často a na více počítačích. Dvojnásobné ověření identity vám může ušetřit trable s ukradenými přístupovými informacemi, říká Grace Kwak ze švýcarské pobočky Google.

Grace Kwak, produktová manažerka z Google, nám vysvětlila dvoustupňové ověření | foto: foto: Google, montáž: Technet.cz

Druhý krok vyžaduje ověření pomocí kódu zaslaného na telefon (nebo

Druhý krok vyžaduje ověření pomocí kódu zaslaného na telefon (nebo vygenerovaného telefonem). Druhý krok se zobrazí pouze na "nových" počítačích, ze kterých jste se v posledních 30 dnech nepřihlašovali.

E-maily, fotky, historie a kontakty máte na internetu zabezpečené jen pomocí jediného hesla. Google před rokem zavedl možnost zabezpečení významně zvýšit, a to až na úroveň, kterou si spojujeme spíše s elektronickým bankovnictvím.

Pokud si zapnete dvoufázové ověření, funguje na vašem počítači vše stejně, jako doposud. Jakmile se ale chcete přihlásit z počítače, ze kterého jste se doposud nepřihlašovali, objeví se vám po zadání jména a hesla ještě třetí otázka. Systém vám pak např. zdarma pošle SMS na váš mobilní telefon, aby se k vašemu účtu nemohl přihlásit někdo cizí.

Protože je dvoustupňové zabezpečení užitečná, ale pro začátečníka poněkud složitá a zastrašující funkce, rozhodli jsme se ji blíže prozkoumat. Na otázky nám odpověděla Grace Kwak ze švýcarské pobočky Google, která pomáhala se zaváděním dvojstupňové verifikace.

Když bydlíte ve městě, naučíte se zamykat

Grace Kwak

Grace Kwak, produktová manažerka z Google

Grace Kwak, produktová manažerka z Google

Starám se o produkty v Evropě, v čele s Gmailem a Calenderem, které patří k nejoblíbenějším. A mám obrovskou radost, že se naše metoda dvojdvoufázového ověření dostává do hledáčku médií. Chtěla bych, aby se o této možnosti zabezpečení dozvědělo co nejvíc lidí.

Jak lidé reagují na vyšší zabezpečení? Mají z něj dobrý pocit, nebo jsou otrávení dalším krokem navíc?
Reakce mohou samozřejmě být různé, ale podle mého ty výhody zabezpečeného účtu jednoznačně převažují nad tím malým nepohodlím. Dvojité zabezpečení se rozhodně vyplatí.

Proč je dvojité zabezpečení důležité?
Podívejme se na to, co Google uživatelům přináší. Dává jim možnost využívat služby přes internet, tedy přistupovat k soukromým datům odkudkoli a kdykoli. Je to součást našeho poslání. Ale ve chvíli, kdy jsou veškerá vaše data na internetu, se musíte skutečně postarat o jejich bezpečí.

Mám jednu "druhořadou" e-mailovou adresu, kam mi chodí různé nepotřebné newslettery, a na jejím zabezpečení mi dvakrát nezáleží. Ale pak mám svůj hlavní e-mail na Gmailu (vlastně už od roku 2004) a tam mám maily z doby, kdy jsem potkala svého manžela, mám tam památky a vzpomínky a fotky a soubory… To jsou data, na jejichž zabezpečení mi opravdu, opravdu záleží.

Jsou to jako klíče od bytu. Ke klíčům od bytu se lidé chovají jinak než ke klíčům od popelnic.
Přesně tak. Nenecháte otevřené dveře, to by byla pozvánka pro zloděje.

Google uvádí, že každodenně jsou ukradeny tisíce hesel k e-mailovým účtům. Kdo je krade a co s těmito přihlašovacími údaji dělají?
Jednoduše řečeno jdou po penězích. Útočníci se snaží "vloupat" do cizích účtů a pak v nich najít zneužitelné informace či citlivé údaje. Existuje mnoho typů podvodů, a pořád přibývají nové. Od klasických nigerijských dopisů až po propracované napodobeniny bankovních stránek.

Jeden z novějších podvodů využívá vaši vazbu na přátele. Dostanete od známého e-mail, ve kterém se dozvíte, že byl okraden v cizím městě a potřebuje, abyste mu poslal nějaké peníze, protože o všechno přišel. Tenhle podvod je velmi účinný, zneužívá vazeb mezi lidmi.

A k tomu využívají útočníci uloupený účet?
Ano, to je jeden z příkladů. Pokud útočníci získají vaše heslo, mají přístup ke všem vašim kontaktům. Ale není ani problém podvrhnout v e-mailu odesílatele. Točí se v tom velké peníze, tak jsou vynalézaví. Ve chvíli, kdy mají přístup k vašemu účtu, nebo k účtu někoho z vašich známých, je mají dveře otevřené.

Jak mne před napadením účtu ochrání dvojité zabezpečení (Two Step Verification)?
Mnoho útoků bylo možné díky tomu, že účet je chráněn pouze heslem. Takže jakmile se útočníci dostanou k vašemu heslu (a takových cest je více), mohou s vaším účtem nakládat stejně jako vy. Jsou ve vašem mailu, mají k dispozici vaše kontaktní údaje, mohou prohledat vaše maily a najít čísla kreditek nebo různá hesla.

Když aktivujete dvojité zabezpečení, nestačí k přístupu z nového počítače jenom heslo. Heslo je něco, co znáte, ale také potřebujete něco, co máte: a to je váš telefon. Je tedy velmi, velmi nepravděpodobné, že by se někdo dostal k obojímu.

Jak si zapnout dvoufázové ověření

  1. Přihlašte se ke svému Google účtu (např. na gmail.com)
  2. V nastavení účtu (dostupné vpravo přes osobní menu) se dostanete do "Přehledu účtu"
  3. Zvolte "Ověření ve dvou krocích" a postupujte podle instrukcí.
Dvojité zabezpečení lze zapnout v nastavení Google účtu v záložce "Přehled účtu"

Dvojité zabezpečení lze zapnout v nastavení Google účtu v záložce "Přehled účtu".

(pokud jste právě teď přihlášeni, můžete kliknout zde pro přístup do nastavení)

Pojďme se tedy bavit o dvoustupňové verifikaci. Jak dlouho ji už Google testuje? Já na ni narazil v říjnu 2011.
V červenci 2011 jsme dvoustupňovou autentizaci otevřeli pro neanglicky mluvící země, anglicky už nějakou dobu fungovala, a ještě předtím jsme ji interně testovali v Googlu. Při testování jsme vyladili nějaké maličkosti, takže dnes už je tak jednoduchá, že ji může používat každý.

A měl by dvoustupňovou verifikaci používat každý?
Podívejme se, co to vlastně dvoustupňové zabezpečení je. Když se přihlásíte ke službám Google, objeví se vám kromě políčka pro jméno a heslo také otázka na zabezpečovací kód. Ten můžete zadat několika způsoby:

  • speciální aplikace pro iPhone nebo Android, která vygeneruje zabezpečovací kód přímo na míru pro vás a pro daný okamžik,
  • SMS, kterou vám zdarma Google pošle na váš mobilní telefon,
  • telefonní hovor, ve kterém Vám Google sdělí kód hlasem, nebo
  • jeden ze seznamu náhradních kódů, které máte k dispozici pro případ, že žádná z výše uvedených možností z nějakého důvodu právě nepřichází v úvahu.

Obecně se snažíme, aby byl váš účet provázaný se zařízením, které máte stále u sebe.

Náhradní možnosti zaslání kódu.

Náhradní možnosti zaslání kódu.

A co když ztratím přístup ke všem těm možnostem?
Systém jsme navrhli tak, že je to velmi nepravděpodobné. Dopředu si můžete zadat záložní telefon (například pevnou linku, nebo linku na někoho z příbuzných) a také si vytisknout či napsat nouzové náhradní kódy a nosit je s sebou v peněžence. Pokud vám někdo ukradne peněženku, můžete platnost kódů ukončit na dálku.

Vaše zkušenosti

Zeptali jsme se vás, zda používáte dvojstupňové zabezpečení:

Tomáš: "Používal jsem, ale přišlo mi otravné. Při instalaci Google účtu do Androidu jsem ho musel vypnout." (pro Android je možné aktivovat specifická hesla pro aplikace - viz. dále)

Jakub: "Používám k plné spokojenosti. Na začátku to chce nastavit pořádně právě míněná application-specific passwords a jede to spolehlivě."

Tom: "Já používám, hlavně z důvodu, že se pravidelně připojuju z cizích počítačů. Poslední dobou mám problém s doručením kódu pomocí SMS, na začátku chodily cca do pěti sekund. (...) Není to úplně intuitivní."

Martin: "Člověk se musí rozhodnout mezi pohodlím a bezpečím."

Lukáš: "Používám v Británii, zasílání SMS funguje spolehlivě. Ze začátku si Google nerozuměl s mým mailovým klientem na Macu, ale nyní již funguje vše na 100 % (včetně iPhonu atd.), takže mohu jen doporučit. "

Tomák: " Jelikož mám na google napojeno dost věcí, tak prvotní přidávání všech aplikací byl celkem opruz. Ale nyní se cítím bezpečněji. Hlavně když mám gmailovou adresu nastavenou jako defaultní na všech službách na internetu a už jednou na mě v gmailu vyskočilo, že se mi do účtu přihlásil někdo z Ukrajiny."

(Ptali jsme se fanoušků Technet.cz na Facebooku. Připojte se k nám a pomozte nám s tvorbou zajímavých článků.)

Myslíte, že je služba dostatečně jednoduchá i pro začínající uživatele? Několikrát se mi stalo, že jsem musel chvíli hledat, než jsem zjistil, jak pokračovat… Měl jsem pocit, že pro běžného uživatele to ještě není úplně přívětivé. A přitom myslím, že je to důležitá služba právě pro podnikatele a malé firmy, které na službách Google závisejí osobně i finančně.
Rozhodně. A víme, že máme co zlepšovat. Doufám, že povědomí o této možnosti lepšího zabezpečení se zlepší, až o tom napíšete, takže děkuju (smích).

Snažíme se lidem čas od času připomínat, aby si registrovali záložní e-mail nebo mobilní telefon. Každý den jsou "uneseny" (hijacked) tisíce gmailových účtů, a pokud máte nastavený záložní kontakt, obnova je mnohem snazší. Samozřejmě, pokud máte nastavené dvoustupňové ověření, jste zabezpečeni ještě nesrovnatelně lépe.

Jak to vlastně vypadá, když mi někdo ukradne přístup k mému gmailovému účtu?
Takové případy musíme řešit individuálně. Požadujeme co nejvíce údajů, abychom dokázali ověřit, že jde skutečně o váš účet. Ptáme se na méně tradiční věci, které by si ale uživatel jistě pamatoval.

Také se, podobně jako banky, snažíme odhalit netradiční operace. Takže pokud jste se vždy přihlašoval z České republiky a najednou se hodinu nato přihlásíte z Indonésie, budeme podezřívaví a při přihlášení budeme vyžadovat další informace a ověření. Ověřujeme, zda to není bot (pomocí CAPTCHy) a také ověřujeme, zda to není útočník, pomocí bezpečnostní otázky, přednastavené nebo vygenerované.

U dvoustupňového ověření mne příjemně překvapila možnost hesel specifických pro aplikace. Můžete prosím rozvést jejich funkci?
Ráda. Přestože jsme se snažili, aby dvoustupňové ověření fungovalo všude, kde to jde, funkci některých aplikací nemůžeme ovlivnit. Nemůžeme třeba říct Thunderbirdu, že heslo je sice správné, ale je potřeba ještě druhé ověření.

A tak jsme zavedli hesla specifická pro konkrétní aplikace. V nastavení si vygenerujete hesla, která fungují jenom z konkrétních aplikací. Tato hesla nebudou fungovat nikde jinde, a stačí, když je jednou zadáte a uložíte. Ukládání hesel obecně není bezpečné, ale v tomto případě to nevadí, protože jde o heslo, které lze použít jen pro tu konkrétní aplikaci. Stejným způsobem zabezpečujeme i heslo v telefonu nebo tabletu s Androidem (aby nebylo nutné zadávat ověření každých 30 dní – pozn. autora).

Pokud bych ztratila telefon, který jsem měla spárovaný pomocí tohoto hesla, a telefon mi někdo ukradl, můžu se přihlásit na Google a zrušit pro můj telefon toto oprávnění. Takže zloděj má k dispozici jen náhodný řetězec dat, který už nefunguje a nic pro něj neznamená.

Jak jste k tomuto řešení došli?
Během testování jsme na to přišli docela rychle. Potřebovali jsme obejít nutnost dvojitého ověření a přitom zachovat vysoké zabezpečení. A podobná řešení se ujímají i jinde, něco podobného prý plánuje i Facebook. Doufáme, že uživatelům dojde, jak důležité je bezpečí na internetu.

Pro koho byste dvoustupňové zabezpečení doporučila?
Každému, kdo používá Google účet k přístupu na svoji hlavní e-mailovou adresu. Pokud si tam necháváte zasílat jen newslettery, tak dvojité zabezpečení nepotřebujete. Ale pro soukromou nebo firemní poštu je to opravdu užitečné.

Co třeba lidé, kteří hodně cestují a přihlašují se často z různých počítačů? Nebude to pro ně příliš zdlouhavé?
Právě tito lidé jsou ale nejvíce ohroženi: někdo může jejich heslo odchytit v internetové kavárně. Dvojité zabezpečení je v takovém případě efektivně ochrání. Ale dvojité zabezpečení se hodí pro každého, i pro vás, kteří máte v e-mailu "jen" soukromé zprávy a fotky. Pro vás jsou přece tyhle věci právě tak důležité, jako finance nebo firemní tajemství.

Nápověda
Nápověda k dvoustupňovému ověřování je i v češtině

Nápověda k dvoustupňovému ověřování je i v češtině.

Jak se vůbec může někdo dostat k mému heslu? Jako hlavní riziko vidím keyloggery nebo internetové kavárny…
Ano, to jsou některé z cest, ale je jich mnoho dalších. Já za velké nebezpečí považuji opakované používání jednoho hesla pro různé služby. Gmail je služba, do které se hacker jen tak nedostane. Ale pokud stejné heslo používáte na nějaké jiné službě, mnohonásobně zvyšujete šanci, že vaše heslo někdo získá a vyzkouší i na Gmailu. Nikdy nepoužívejte heslo k emailu na jiných službách.

Pak jsou tu slabá hesla. Jestli jste si jako zabezpečovací frázi zvolili nějaké existující slovo, dáváte šanci slovníkovému útoku (dictionary brute-force attack).

Předpokládám ale, že útočník nemůže jen tak vyzkoušet tisíce kombinací, že?
Samozřejmě, Google takové kontroly má. Ale ne všude tyto kontroly existují, a jestli máte stejné heslo na více místech, máte smůlu. Pak nepomůže, že máte silné heslo – když někdo hackne silné heslo na slabé stránce.

Takže silné heslo samo o sobě nic neznamená, když s ním zacházíte lehkovážně…
S tím souvisí i různé phishingové útoky. Člověk dostane e-mail, který se tváří, že je od Googlu, a stojí v něm: potvrďte prosím své heslo, nebo vám smažeme účet.

To byste udělali? Hrůza! (smích)
(smích) Prosím vás, napište tam, že Google ani jiná společnost podobné e-maily neposílá. Ale lidi stejně panikaří, leknou se, že přijdou o data nebo o peníze a pošlou svoje heslo nezabezpečeným způsobem, ať už na cizí stránce nebo dokonce přímo mailem.

Můj oblíbený trik spočíval v lákadle, které mělo lidem umožnit zjistit cizí heslo, ale při následování návodu nechtěně prozradili svoje vlastní (článek najdete zde, a heslo prosím neposílejte – pozn. red.).
Je to pochopitelné. Internetový svět je pro uživatele asi tak matoucí a složitý, jako pro někoho, kdo se z vesnice přestěhuje do velkého města. Na vesnici si ani nemuseli zamykat dveře. Ve městě se musí naučit, jak se chovat na ulicích, jak se bránit podvodníkům, čeho si všímat.

On-line svět je něco úplně nového, a mnoho lidí si s ním neumí poradit, neumí se ubránit všem nástrahám. Proto zavádíme různá opatření, jako právě dvojstupňovou verifikaci, a doufáme, že se o ní dozví co nejvíce lidí. Možná to zní trochu složitě, ale je důležité pochopit, k čemu je užitečná.

Kolik lidí dnes používá dvojité zabezpečení?
Google, jako obvykle, neposkytuje konkrétní čísla. Ale můžeme říci, že si dvojité zabezpečení aktivují tisícovky lidí denně, což je skvělé.

Aha. Ale také říkáte, že denně je uneseno tisíce účtů. Nejsou to náhodou právě ti únosci, kteří si na čerstvě unesených účtech zařizují dvojité zabezpečení?
(smích) No, to teda doufám, že ne. Na to by potřebovali velké množství falešných telefonních čísel.

Autor:




Hlavní zprávy

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.