Dvoufaktorová autentizace v mojeID, tentokrát ještě jednodušeji

Pro uživatele, kteří dbají na zabezpečení svého účtu, je zbytečné doufaktorovou autentizaci představovat. Ale nebudeme si nic nalhávat, těch, co o ní vůbec neslyšeli je stále ještě dost. Přitom je to nejsilnější nástroj umožňující zabezpečit svůj účet proti jednoduchým formám phishingu, hádání hesel a dalším podobným útokům na obyčejná hesla. Principem tohoto mechanismu je v průběhu ověřování identity uživatele prokázat nejen znalost nějakého tajemství (typicky hesla k účtu), ale navíc prokázat vlastnictví nějakého zařízení (typicky mobilního telefonu). Nejběžnějším standardem pro tento typ dvoufaktorové autentizace je OTP (one time password) neboli mechanismus jednorázových hesel, které generuje aplikace například v mobilním telefonu. Tento mechanismus je v mojeID již několik let a nejběžnější aplikací, která se pro ní využívá, je populární Google Auhenticator. Drobnou nevýhodou, spojenou s tímto typem ochrany, je nutnost opisovat šestimístná čísla z mobilního telefonu a to dostatečně rychle, aby nevypršelo časové okno pro jeho použití. Vždy jsme si říkali, že dvoufaktorová autentizace by mohla být jednodušší. No a nyní vám takovou jednodušší dvoufaktorou autentizaci v mojeID můžeme konečně představit.

Zjednodušení dvoufaktorové autentizace v mojeID je postaveno na myšlence, že pro splnění podmínky potvrzení vlastnictví mobilního telefonu stačí, aby si služba mojeID mohla vyměňovat s takovým telefonem zprávy. Technologií, která takovou možnost nabízí, je služba Google Cloud Messaging. Tu využívají služby na Internetu, aby informovaly majitele telefonů o různých událostech. Rozhodli jsme se vyzkoušet, jak by se dala tato služba využít právě pro zjednodušení naší dvoufaktorové autentizace. Pro využití nového způsobu autentizace musí mít uživatel ve svém telefonu nainstalovanou naši mobilní aplikaci nazvanou jednoduše MojeID Autentikátor. Postup, jak jí nainstalovat, se uživatel dozví, pokud v editoru profilu mojeID stiskne na stránce Nastavení v sekci MojeID Autentikátor tlačítko „Nastavit“. Instalaci lze provést naskenováním QR kódu s odkazem do systému Google Play.

screenshot_autentikator_1autentikator

Po instalaci aplikace do telefonu je možné pokračovat na další stránku a tam tuto aplikaci propojit s mojeID účtem. K tomu slouží velké tlačítko s logem QR kódu v mobilní aplikaci. Po jeho stisknutí stačí nasměrovat čtečku na QR kód na stránce v profilu a chvíli počkat. Poslední krok je pak vyplnění hesla k účtu, a to čistě jako potvrzení, že nastavení provádí oprávněný uživatel a ne někdo, kdo shodou okolností zrovna přišel k jeho počítači.

auth-2auth-3

No a to je vše. Od tohoto okamžiku bude uživatel při každém přihlášení, kdy použije jméno a heslo, vyzván zprávou na mobilním telefonu, aby potvrdil, že přihlášení k účtu je legitimní. Uživatel by měl překontrolovat, že identifikátor požadavku v přihlašovacím dialogu je stejný jako identifikátor zobrazený v mobilní aplikaci. Pokud se shodují, je možné žádost potvrdit a přihlášení uživatele bude automaticky dokončeno.

auth-4autentikator2

Podobným ověřením jako při přihlášení do účtu projde uživatel při každém pokusu o změnu hesla nebo přenastavení e-mailu; stejně tomu je také u staršího způsobu dvoufaktorové autentizace s využitím OTP. Snaha mít u těchto dalších zabezpečených změn co nejjednodušší uživatelské rozhraní nás bohužel omezila v tom, že buď umožníme uživateli nastavit OTP nebo MojeID Autentikátor, ale nikdy oba způsoby najednou. Neočekáváme ale, že by to bylo pro uživatele nějak limitující. Pokud se uživatel rozhodne již tento způsob autentizace nepoužívat, například protože mu OTP přijde přeci jenom lepší, je nutné nejprve odpojit autentikátor v nastavení profilu. Teprve potom je možné odinstalovat aplikaci v mobilním telefonu. Pokud by se náhodou stalo, že si tento způsob uživatel nastavil a poté telefon ztratil, vyměnil nebo aplikaci odinstaloval, je nutné obrátit se, podobně jako v případě OTP, na naší podporu na adrese podpora@mojeid.cz. Tam mohou kolegové zajistit znovu aktivaci přihlašování pouze heslem. V tuto chvíli je také aplikace dostupná jen pro operační systém Android. Než se vrhneme na iOS, rádi bychom si ověřili, že jdeme správnou cestou, a získali nějakou první zpětnou vazbu od uživatelů. Pokud jste si tedy nový způsob vyzkoušeli a máte nějaké nápady nebo připomínky, napište nám do komentářů pod tento článek. Bude to pro nás cenný zdroj informací.

Autor:

Komentáře (13)

  1. Ondřej Douša říká:

    Dobrý den, tak jsem si Váš autentifikátor stáhl, moc se mi líbí, mám ale zásadní problém. Na mém telefonu (Xiaomi Redmi Note 2, Android 5.0.2, MIUI 7.1.1.0 – stable) vykočí v liště hláška „Žádost z mojeID, Autentizační kód XYZ. Povolit?“ ale na hlášku se NEDÁ klepnout nebo ji jinak povolit, není tam tlačítko ani nic jiného. Když na notifikaci klepnu, nic se nestane. Když otevřu aplikaci, je tam jen tlačítko s nápovědou. Prosím, dejte možnost povolit autentizaci i do aplikace samotné, aktuálně se ke svému mojeID účtu nemohu vůbec přihlásit. Děkuji.

    • Jaromír Talíř říká:

      Dobrý den, díky za zprávu a mrzí nás tato špatná zkušenost. Kolegové podnikli pátrání a z některých diskuzních fór to vypadá že se jedná o problém více lidí u telefonů Xiaomi, které přidává do UI nějaká svoje rozšíření. Zvažujeme tedy úpravy, které by toto vyřešili.

    • Ondřej Douša říká:

      Děkuji za odpověď, tušil jsem, že to bude problém Xiaomi. Ale opravdu bych rád, pokud dáte autorizaci do pořádku. Aktuálně se nemohu přihlašovat do některých služeb a ani do svého účtu abych ověření vypnul.

  2. Vláďa říká:

    Jen bych chtěl upozornit případné zájemce a upřesnit, co se stane, pokud telefon ztratíte/vyměníte/promažete a napíšete na podporu.
    Bude vám zaslán formulář, který vyplníte, vytisknete, podepíšete, podpis necháte ověřit (30 Kč) a pošlete poštou na adresu podpory. Teprve poté vám bude 2FA deaktivována. Jiná možnost (SMS, telefon, jednorázový kód) bohužel není.

    Jinak chválím snahy o zvýšení bezpečnosti spolu se zachováním pohodlí uživatelů.

  3. Ondřej Caletka říká:

    Je škoda, že nenabízíte podobně jako ostatní poskytovatelé dvoufaktorové autentizace záložní hesla pro případ poruchy mobilního zařízení. Nechci riskovat, že se v časové tísni k MojeID nedostanu kvůli ztracenému nebo porouchanému mobilu a budu muset kontaktovat lidskou podporu.

    • Jaromír Talíř říká:

      U OTP tato možnost byla a stále je. U nové metody jsme se zatím neshodli, jestli bude lepší metoda záložních kódů nebo offline záloha konfigurace mobilní aplikace. Určitě v brzké době jednu z těchto variant implementujeme.

  4. David Růžička říká:

    Dobrý počin, ale určitě se přikláním k offline kódům, přece jen je to řešení i pro případ hodně velkých technických problémů. Zálohu konfiguryce bych pak bral jako vhodný doplněk :)

  5. Peter Ondruška říká:

    Kdo řešíte problém se zálohou kódů, tak Authy nabízí zálohu klíčů (záloha klíčů je šifrovaná), takže ztráta telefonu neznamená ztrátu klíčů.

  6. Václav Pávek říká:

    Prosím rychle opravit pro Xiaomi nebo mít možnost zrušit přes podporu. Tohle je fakt pech, příště raději už nebudu nic takového testovat. Nyní se nepřihlásím ani turris.cz a všude kde používám mojeid.cz :-(

    • Jaromír Talíř říká:

      Díky za pomoc při testování! Publikovali jsme novou verzi, která funguje již i na Xiaomi Redmi 2.

  7. Borek říká:

    Přijde mi to jako velice dobrý nápad! Jen si to na Lumče nevyzkouším.

  8. Vit Hnilica říká:

    Dobry napad, ale ta nemoznost zmenit nastaveni pri ztrate mobilu je dost neprijemna a tak to vyuzivat radsi nebudu.

Zanechte komentář