Zabezpečení přihlašování do SSLmarket účtu
Přihlášení do účtu SSLmarket lze zabezpečit dvě způsoby. Můžete si zapnout 2FA pomocí OTP (one-time password), případně bezpečnější a modernější FIDO2 MFA (pomocí YubiKey, Windows Hello či jiného prostředku). Tento článek nápovědy poradí jak na to a co dělat v případě potíží se zabezpečením přihlášení.
Co je to OTP-based 2FA a FIDO2 MFA
Pojďme si nejprve definovat, co jednotlivé metody zabezpečení přihlášení znamenají.
OTP-based 2FA je dvoufaktorová autentizace založená na jednorázovém kódu (např. TOTP), kdy se uživatel přihlašuje pomocí hesla a časově omezeného kódu z autentizační aplikace nebo tokenu. Metoda je široce rozšířená, ale je náchylná k phishingu, protože útočník může kód v reálném čase přeposlat. Pro využití této metody nepotřebujete nic víc než obyčejný Smartphone s aplikací. Nejpopulárnější jsou Microsoft Authenticator a Google Authenticator; obě jsou zdarma pro Android i iOS.
FIDO2 MFA je vícefaktorová autentizace založená na asymetrické kryptografii, typicky pomocí bezpečnostního tokenu (např. YubiKey) nebo platformního autentikátoru (např. Windows Hello). Ověření probíhá pomocí vlastnictví zařízení a PINu nebo biometrie a je navázané na konkrétní doménu, což poskytuje vysokou odolnost proti phishingu. Potřebujete počítač s TPM čipem, Smartphone s biometrii či HW klíč jako YubiKey.
OTP 2FA: Dvoufaktorové ověřování pomocí jednorázového kódu z autentizační aplikace. Můžete se setkat také s označením TOTP, ověřovací kód, kód z autentizační aplikace, Authenticator app 2FA nebo code-based 2FA.
FIDO2-based MFA: Moderní vícefaktorové ověřování založené na kryptografii a bezpečnostním zařízení. Často se označuje také jako passkey, security key, WebAuthn přihlášení, přihlášení pomocí zařízení nebo passwordless přihlášení.
Zapnutí zabezpečení přihlášení
Po přihlášení do účtu SSLmarket klikněte v pravém horním rohu na název majitele účtu a v zobrazeném menu zvolte možnost Zabezpečení. Otevře se dialog, ve kterém je kromě změny hesla možné aktivovat další formy zabezpečení přihlášení.
V sekci Zabezpečení přihlášení si můžete zapnout - nezávisle na sobě - dvě metody vícefaktorového ověřování. Při aktivaci Vám budou nabídnuty ke stažení kódy pro obnovu (recovery), které slouží pro vypnutí dané metody. Bez nich nelze dané ověření vypnout. Doporučujeme si je vytisknout, můžete tak předejít naprosté ztrátě přístupu k účtu.
Dvoufaktorové ověřování (2FA) v SSLmarketu
V účtu si můžete jednoduše aktivovat dvoufaktorové ověřování (2FA). Při přihlašování pak budete kromě hesla zadávat jednorázový kód generovaný autentizační aplikací. Konkrétní způsob závisí na zvolené 2FA aplikaci.
Výhodou 2FA je, že se k Vašemu účtu nemůže přihlásit ani osoba, která zná Vaše heslo. K úspěšnému přihlášení je nutné ověření druhým faktorem, typicky jednorázovým kódem.
Pro využití 2FA doporučujeme aplikace Google Authenticator nebo Microsoft Authenticator. Obě aplikace umožňují snadnou migraci do nového zařízení při výměně telefonu a jejich použití je jednoduché a spolehlivé.
Přihlášení pomocí FIDO2 (passkey / bezpečnostní klíč)
FIDO2 představuje moderní a vysoce bezpečný způsob přihlášení k účtu. Umožňuje tzv. bezheslové přihlášení (passwordless), tedy bez zadávání hesla.
FIDO2 lze využít například prostřednictvím mobilního telefonu s biometrickým ověřením, na počítači s TPM čipem, nebo pomocí hardwarového bezpečnostního klíče (např. YubiKey). Hardwarový bezpečnostní klíč považujeme za nejbezpečnější variantu. Zařízení YubiKey lze navíc využít i k dalším účelům, například k bezpečnému uložení certifikátů.
Zapnutí přihlášení pomocí FIDO2 vypne přihlášení pomocí hesla, které už nezadáváte. Pro úspěšné přihlášení je potřeba mít k dispozici daný FIDO2 prostředek (například YubiKey připojený k počítači) a pak ještě provést ověření druhým faktorem, což je třeba zadání PINu pro YubiKey, biometrické ověření přihlášení na telefonu, atd. Pak budete úspěšně přihlášení i bez hesla.
Řešení potíží s 2FA nebo FIDO2
Nejčastějším problémem bývá ztráta autentikátoru - například výměna mobilního zařízení s nainstalovanou 2FA aplikací nebo zařízení používaného pro FIDO2. Podobná situace může nastat i v případě ztráty hardwarového bezpečnostního klíče (např. YubiKey). Pokud používáte k přihlášení pomocí FIDO2 TPM čip v počítači, tak vězte, že je vázán přímo na daný HW a jinde ho nebudete mít k dispozici (pozor na pracovní vs. domácí PC).
Pokud ztratíte přístup ke svému 2FA zařízení nebo FIDO2 klíči, můžete využít záložní obnovovací kódy (recovery codes), které jste obdrželi při aktivaci. Pouze s jejich pomocí lze obnovit přístup k účtu a následně znovu nastavit vícefaktorové ověřování.
Mrzí nás, že jste zde nenašli potřebné.
Pomůžete nám článek vylepšit? Napiště nám, co jste zde očekávali a nedozvěděli se.