Dvoufázové přihlašování bez kódů i internetu. Google udělal klíč z mobilu

19
Android 7.0+ jako bezpečnostní klíč pro 2FA
Android 7.0+ jako bezpečnostní klíč pro 2FA

Google má nejširší možnosti, jak zabezpečit účet nad rámec uživatelského jména a hesla. Již od roku 2007 nabízel extra ochranu v podobě jednorázových kódů odesílaných pomocí SMS, hlasových zprávy nebo generovaných ve zvláštní aplikaci (tzv. OTP klientech, jako je Google Authenticator).

Od roku 2016 nabízí pro Android a iOS ještě možnost schvalovat přihlášení pomocí aktivních notifikací. Kromě toho lze účet chránit i bezpečnostními klíči využívající USB nebo Bluetooth, jako jsou Yubikey či Google Titan Key. Tolik možností, nicméně dvoufázové ověřování stejně používá jen desetina uživatelů. Google proto chce bezpečnější autentizaci ještě více zjednodušit a spojil výhody několika řešení.

Nově lze jako bezpečnostní klíč použít libovolný telefon s Androidem 7.0 a aktivními Google Play Services (u běžně prodávaných mobilů to tam bude). Na mobilu musí být uživatel přihlášen pod stejným účtem jako na zařízení, kde se teprve bude chtít přihlašovat.

Mobil já jedinečnou identifikaci podobně jako USB/Bluetooth klíč, ty ale musíte při přihlašování fyzicky zapojit nebo spárovat. Nová metoda Googlu pouze vyžaduje, aby na obou zařízeních bylo Bluetooth zapnuté (není třeba nic párovat). Na mobilu pak automaticky vyskočí výzva k potvrzení přihlášení do účtu, kterou je třeba odsouhlasit stiskem tlačítka. Výhoda je zřejmá, mobil se nemusí nikam připojovat kabelem, nikde se nezadávají žádné kódy a mobil ani nemusí být připojený k internetu.

Novinku doporučuje i bezpečnostní expert Michal Špaček, navíc má zajímavý postřeh. Funkce – zdá se – využívá standardu FIDO U2F, který se pro dvoufázové/dvoufaktorové přihlašování používá v řadě dalších služeb včetně Facebooku, Microsoftu apod. Je tedy šance, že by Android 7.0 a novější mohl fungovat jako pohodlný bezpečnostní klíč i u nich a také v jiných prohlížečích. Google sice mluví jen o Chromu, FIDO Alliance ale úzce spolupracuje s Googlem a Android 7 certifikovala jako zařízení vhodné pro FIDO2 již letos v únoru. Je tak možná jen otázkou času, než bude mobilní klíč fungovat i ve Firefoxu, Edgi nebo Safari, které protokoly FIDO2 podporují také.

PS: Mobilní klíč jsem vyzkoušel na Xperii X Compact s Androidem 8 a na žádném ze tří počítačů jsem se nepřihlásil, výzva nebyla doručena. Chyba ale může být i v mobilu. Jiný Android po ruce jsem zrovna neměl.


Dvoufázové přihlašování bez kódů i internetu. Google udělal klíč z mobilu
Ohodnoťte tento článek!
3.8 (75%) 8 hlas/ů

19 KOMENTÁŘE

  1. Super clanek, takze sice teoreticky Google super, ale prakticky to nefungovalo.

    Pouzil jsem dvoufazove overovani na svem Google uctu a pouzil jsem to na UPlay pres Google autentifikator. Na Googlu se mi pak nastesti podarilo zadat ten offline kod, na UPlay ne, ale nastesti mi to Ubisoft byl schopen po overeni, ze jsem majitelem toho uctu, zrusit na dalku.
    Tim jsem s dvoufazovym overovanim skoncil na dlouhou dobu.
    Pak jsem vyzkousel dvou fazove overovani na Steamu (Steam Guard) a na MS uctu (MS Autentifikator) a ono to bez problemu funguje.
    Bohuzel vetsina firem pouziva stale Google autentifikator a tudiz ja pouzivam dvoufazove overovani na email, coz neni prilis bezpecne a ani idealni.
    Google sluzby odmitam pouzivat, dokud nekdo neproveri, ze to funguje, tudiz kdyz si prectu praktickou poznamku, ze to nefungovalo, hned vim na cem jsem.

    Google se muze teda divit, proc lidi nepouzivaji dvoufazove overovani, ale lidi nejsou padli na hlavu, aby pouzivali tak nebezpecnou sluzbu, u ktere pri nefunkcnosti hrozi, ze o ucet prijdete.

    • Je třeba odlišovat dvě věci. Google Authenticator je jeden z mnoha klientů, kteří umí generovat OTP (one-time password). Alternativně můžeš použít Microsoft Authenticator, Authy, Authenticator Plus, LastPass Authenticator atd. Všechny fungují na stejném principu a Google tam nedělá nic jiného než ostatní.

      A pak jsou služby, které OTP používají jako jedno z možností dvoufázového ověřování. Nasadil to Google, ale má to tam stejně i Microsoft, FB, Twitter, Dropbox, Mozilla, Adobe, Amazon, Ubisoft atd. U všech můžeš použít libovolný ze zmíněných Authenticatorů.

      No a teď nevím, kde je chyba u tebe konkrétně. Sám jsem s OTP neměl problém ani v účtu Googlu, ani přímo s Google Authenticatorem, který jsem používal i pro další účty.

      • Myslím, že tam evidentně byla chyba mezi židlí a klávesnicí 😁 .

        Mám mnoho 2FA založených na HOTP a pár TOTP a s funkčností jsem problém nikdy neměl. Aktuálně používám MS Authenticator (předtím Google Authenticator), ale zvažuji přechod na LastPass, protože ten umí u zálohu a obnovení (MS Authenticator to umí pouze na iOS) a tak jednoduše řeší výměnu telefonu (při ztrátě bych ale asi neriskoval a vygeneroval si nové přístupy).
        Průšvih ale je, pokud nemá služba implementované záložní kódy. Zatím jsem to potkal u HumbleBundle.

        K UPlay – to je chaos sám o sobě, tam mám s přihlašováním problémy často také, mají to strašně zprasené. Mají mnoho domén (jednou se člověk přihlašuje na https://uplay.ubisoft.com, pak na https://store.ubi.com , Ubisoft Club ,… Jiné domény, takže problémy s cookies (navíc často blokovanými v prohlížeči atd.
        S jejich klientem problém co se týká přihlašování nemám, ale u nich na webu je to často peklo.

        Lukáši – nepochopil jsem jednu věc – je to nějak vázané na Google účet? Když o něj přijdu, přijdu i o klíče? A naopak, když budu mít nový telefon, stačí se na něm jen přihlásit ke Google?

        • Rychlý tip, než o tom někdy napíšu článek. Na integrovanou zálohu se nemusíš spoléhat. Ty QR kódy nebo čísla si můžete uložit sám a později použít v jiných programech. Nebo současně používat ve více aplikacích najednou. U mě se to generuje v MS Authenticatoru a správci hesel Enpassu, protože tam si to můžu pohodlně vyplňovat i na PC.

          Jinak ta metoda s Androidem 7 jako klíčem je zatím vázaná na googlovský účet a funguje to jen s ním. Ale právě kvůli té spolupráci s FIDO aliancí věřím, že se to pak otevře i ostatním.

          • QR kódy (nebo číselné, pokud to služba s QR nabídne současně (nemyslím teď záložní)) si schovávám a ty, co jsem schované neměl jsem si znovu registroval. To je asi jediné univerzální řešení, pokud aplikace nepodporuje zálohu a obnovení.
            Více aplikací najednou ale podle mě problém neřeší, protože když ztratím mobil, tak jsem opět v háji.
            Mít dva mobily nebo cesta přes Enpass na desktopu je zajímavá a částečně řeší vlastní přihlášení, ale opět mi nepomůže při změně mobilu, ten už z ničeho “nenakrmím” (pokud aplikace neumí zálohu/obnovení nebo ty kódy nemám schované).

            Asi budu muset používat asi dvě aplikace, protože MS Auth musím používat pro specifický způsob ověřování u některých služeb MS (schválením notifikace nebo výběrem ze tří zobrazených číselných možností namísto opisování kódu), což není standard. Škoda, že ten MS Auth. na Androidu nepodporuje zálohu a obnovení, když na iOS to umí 🙁

            • Pokud mobily neměníš moc často, tak se přece obejdeš bez zálohy. Pokud máš ty QR kódy někde uložené, tak je pak prostě jen znovu naskenuješ v nové aplikaci bez dalšího nastavování. Jinak pro desktopy jsou taky různé OTP appky, není třeba používat zrovna Enpass. Já jej ale používám i na hesla, tak jsem to spojil do jednoho. Byť je to tedy rozhodně bezpečnostní riziko mít hesla i generátor OTP v jednom programu, proto bych to nikomu nedoporučoval. 🙂

            • Já se bavil o situaci, když bych si kódy neuchovával, aplikace neuměla zálohu a obnovení a chtěl jsem řešit jak jsi psal – další aplikací, třeba do PC. To řešení s opruzem byť při řízeném generování nových kódů není. Aktuálně mám 21 OTP služeb.

      • EA i Ubisoft ma napsano, ze je treba pouzit Google Autentifikator. U Ubisoftu jsem se ptal na podpore a rekli mi, ze je podporuji jen Google Autentifikator.
        Problem byl, ze jsem si zapnul na UPlay dvoufazove overovani a mel jsem nejak jit do Google Autentifikatoru a vygenerovat si zalozni kody, ty se mi nevygenerovaly a mne uz se neslo prihlasit. Emailoval a psal si na Facebooku s podporou Ubisoftu a chteli po mne, co tam mam za hry, kdy probehlo posledni prihlaseni, kdy jsem neco kupoval atp. a pak mi to na dalku odblokovali na pristup jen na heslo a uz jsem to tak nechal.
        Jelikoz chodim na jedno herni forum, tak jsem tento postup radil uspesne (snad, v nekterych pripadech se tazatele ozvali a podekovali za pomoc a nekdy ne) mozna dvou desitkam dalsich uzivatelu UPlay, tudiz pomerne bezny problem.

        Podobne jsem se nemohl prihlasit k samotnemu Google uctu, proc mi tam kody nesly zadat netusim, ale nastesti fungovaly ty zalozni, tak jsem to zrusil.

  2. Já na ty OTP kódy používám Authy. Umí zálohovat kódy do cloudu a takto jsem to přenesl z telefonu na telefon bez problémů. Každopádně, fakt není dobrý ty klíče skladovat s heslama – to pak nemá valný význam. Když už, tak prostě někde v jiném správci.