Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam měl nastavené dvoufaktorové ověření. Ať už pomocí aplikace nebo pomocí SMS (protože musel změnit telefonní číslo, například).
Celé to má řadu různorodých zádrhelů a v mnoha případech jsou součástí velmi komplikované snahy jak se dostat k účtům bez možnosti ověřit dvoufaktorem přihlášení. A v mnoha případech je následek ten, že už se k těm účtům nikdy nedostanete.
Ale začněme u něčeho jiného – pokud vám někdo telefonu ukradne nebo ho ztratíte, tak je zásadní riziko, že kdyby se zloděj či nálezce dostal dovnitř, tak ho může využít pro přihlášení ke všemu co máte. V takovém případě bývá velmi vhodné nechat zablokovat SIM u operátora. Platí to tak trochu i u firemních telefonů, protože vaše číslo (a váš telefon) může dostat někdo jiný.
Co se dvoufaktoru týče, tak je na tohle nutné myslet předem
První podstatné – použijte dvoufaktor co je “cloudový” a můžete ho zprovoznit či přenést na jiné zařízením (ideálně ho i mějte na víc zařízeních). Umí to například Authy, ale možností bude mnohem více. Tohle je něco, co si zjistěte a nastavte dříve, než bude pozdě.
Určitě nezapomeňte, že případné “recovery” procesy budou založené na znalosti původního čísla mobilu ale také na e-mailu se kterým jste si 2FA registrovali´. A totéž bude platit pro online služby, kam se potřebujete bez 2FA dostat.
U vaší dvoufaktorové aplikace si ověřte i možnost obnovení pro případ ztráty telefonu. Mohou tam být záložní kódy (ty hlavně jsou u konkrétních účtů), e-mail pro obnovu, bezpečnostní otázky. Může tam být i možnost kontaktovat zákaznickou podporu a ověřit identitu (popravdě většinou něco nejméně průchozí). Některé 2FA aplikace podporují bezpečnostní klíče, takže možná není od věcí nějaký takový mít.
Příklad jak je to u Authy najdete v Restoring Authy Access on a New, Lost, or Inaccessible Phone. Podobné postupy byste si měli nastudovat pro tu vaši 2FA aplikaci.
Vhodné čtení najdete v Jak chránit online účty pro případ zapomenutí hesla?
Účty bez 2FA?
Samotné online účty sice máte podmíněné 2FA ověřením, ale prakticky vždy existuje možnost přihlásit se bez – zpravidla to jde pomocí záložních kódů – háček je, že ty vytvoříte při aktivaci dvoufaktoru a musíte si je v té době bezpečně uložit právě pro případ nehody.
Různé služby mají i další možnosti “recovery” – pomocí e-mailu, telefonního čísla, bezpečnostní otázky, atd. Opět platí, že tohle byste si měli ověřit a hlavně nastavit předem.
Nezapomínejte, že příliš neúspěšných pokusů o vstup na účet zpravidla přinese zablokování účtu a tím ztížení či znemožnění získání přístup zpět.
Vhodné čtení tady je Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam a Jak na “záložní” e-maily pro obnovení účtu? Hlídáte si je? Nehrozí vám riziko?
Co poté co získáte účty zpět?
Pokud se vám telefon podařilo ztratit či byl ukraden, tak vhodné bezpečnostní následné opatření je nejenom změna všech hesel v telefonu uložených, ale také nové nastavení dvoufaktorového ověření (včetně nových záložních kódů).
Jakkoli může 2FA s rizikem ztráty vypadat jako nepříjemnost nemělo by to znamenat, že se rozhodnete dvoufaktorová ověření nepoužívat. Byl by to hodně hloupý nápad.
PS
Rozhodně pamatujte na to, že potřebujete dobrého a bezpečného správce hesel a být velmi důslední při ukládání a aktualizaci hesel. Je vhodné sem i ukládat takové ty různé (a extrémně nebezpečné) bezpečnostní/obnovovací otázky. A hodí se i pro úschovu záložních kódů pro přihlášení bez 2FA ověření.
Tipy týkající se Bezpečného Internetu
-
TIP#2836: VPN pro (nejen) Android/iOS zdarma i placené. Co pořídit a pár praktických postřehů
Je taková doba, kdy je vhodní mít pro ruce VPN. Zejména pro nápady EU, které vedou k nedostupnosti některých věcí z USA (jako třeba Advanced Voice Mode od ChatGPT donedávna). Nebo pro…
-
TIP#2819: Máte podezření, že váš iPhone byl hacknut? Dá se to nějak poznat? A hlavně, co se dá dělat?
Hacknutý iPhone (či iPad) je poměrně méně obvyklá situace, ale i přes veškerá tvrzení to možné je. Různé bezpečnostní chyby, ale i nepozornost uživatelů, může vést k tomu, že se útočníkům podaří…
-
TIP#2795: Spam nebo Phishing? Jak se to pozná a proč (ne)nahlašovat
Je nějaký rozdíl mezi spamem a phishingem? A jak s tímto typickým nešvarem (v prvním případě) či extrémně nebezpečným bezpečnostním útokem zacházet?
-
TIP#2784: Co je to shovelware?
Člověk se stále učí nová zajímavá slovíčka a také nové podivuhodné taktiky. V tomto případě, jak -ware napovídá, týkající se software.
-
TIP#2713: Jak poznám phishingový e-mail? Co dělat, pokud máte podezření na phishing?
Nedávná záplava phishingových e-mailů snažících se ukrást účet na Substacku (viz Phishing tvářící se jako Substack. Má to ale několik háčků) mi připomněla, že je možná dost dobré shrnout základní postup jak…
-
TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon?
Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam…
-
TIP#2589: Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam
Gmail má užitečnou funkci. Můžete si přidat jiný e-mail a/nebo telefonní číslo pro obnovení účtu. Tedy pro situace kdy se na účet nemůžete dostat, ať už pro zapomenuté heslo nebo pro napadení…
-
TIP#2584: Co je to Quishing?
V médiích teď frčí psát o quishingu, takže proč nepřipomenout něco, co probíral jeden ze zdejších tipů už v roce 2021: Jsou QR kódy bezpečné? Co hrozí při používání?
-
TIP#2523: Jak (bezpečně) chodit do internetového bankovnictví? Přes vyhledávač v žádném případě!
Připadá vám otázka „Jak chodit do internetového bankovnictví?“ zbytečná? Není tomu tak, jde totiž o bezpečnost – konkrétně o to, že když někdo chce jít do své banky na Internetu, tak mu…
-
TIP#2516: Nakupovat na “marketplace” jako tom od Kauflandu, Allegro či AliExpress? Co vám hrozí
Marketplace je chytré zaklínadlo pro online tržiště (obchod), které zprostředkovává prodej mezi kupujícím a prodávajícím – tím není samotné tržiště, takže i když zdánlivě kupujete něco od (například) Kauflandu či Allegro, tak…
-
TIP#2513: Od kolika let by mělo (mohlo) mít dítě mobilní telefon? A jaký?
Někdy před pár lety, když vznikla knížka Dítě v sítí, se to tu určitě někde objevilo, ale ne jako samostatný tip. Přitom jde o poměrně časté dilema, které mají rodiče. Dilema, na…
-
TIP#2498: Co je to vishing?
Vishing je slovo vytvořené z voice phishing. A protože už phishing je nástroj podvodníků, tak je tomu tak i u vishingu. K phishingu případně viz Co je to phishing a proč tomu…
-
TIP#2486: Jak rizikové je někomu sdělovat sériové číslo, IMEI a IMEI2 mého telefonu?
Sdělení sériového čísla, IMEI a IMEI2 vašeho iPhone někomu může představovat riziko, zejména pokud nemáte důvěru v danou osobu nebo organizaci, které tyto informace poskytujete. Zde jsou hlavní obavy:
-
TIP#2325: Jak bezpečně hledat na Google? Ochrana soukromí při vyhledávání
“Bezpečně” hledat na Google? Téma posledních dnů, které má ale několik samostatných (ale zároveň i souvisejících) aspektů. Prakticky všechny jsou již v jiných tipech, ale s ohledem na množící se dotazy a…
-
TIP#2322: Jak nenaletět podvodníkům, když něco prodáváte přes Internet. Co nikdy nedělat
Věnoval jsem tomu v září podcast Phishing, rhybaření a jak lidé přicházejí o peníze z účtu či účty na Facebooku, takže pokud máte chuť si poslechnout zhruba čtvrt hodiny, můžete začít tím.…
