TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon? 

Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam měl nastavené dvoufaktorové ověření. Ať už pomocí aplikace nebo pomocí SMS (protože musel změnit telefonní číslo, například).

Celé to má řadu různorodých zádrhelů a v mnoha případech jsou součástí velmi komplikované snahy jak se dostat k účtům bez možnosti ověřit dvoufaktorem přihlášení. A v mnoha případech je následek ten, že už se k těm účtům nikdy nedostanete. 

Ale začněme u něčeho jiného – pokud vám někdo telefonu ukradne nebo ho ztratíte, tak je zásadní riziko, že kdyby se zloděj či nálezce dostal dovnitř, tak ho může využít pro přihlášení ke všemu co máte. V takovém případě bývá velmi vhodné nechat zablokovat SIM u operátora. Platí to tak trochu i u firemních telefonů, protože vaše číslo (a váš telefon) může dostat někdo jiný.

Co se dvoufaktoru týče, tak je na tohle nutné myslet předem

První podstatné – použijte dvoufaktor co je “cloudový” a můžete ho zprovoznit či přenést na jiné zařízením (ideálně ho i mějte na víc zařízeních). Umí to například Authy, ale možností bude mnohem více. Tohle je něco, co si zjistěte a nastavte dříve, než bude pozdě.

Určitě nezapomeňte, že případné “recovery” procesy budou založené na znalosti původního čísla mobilu ale také na e-mailu se kterým jste si 2FA registrovali´. A totéž bude platit pro online služby, kam se potřebujete bez 2FA dostat.  

U vaší dvoufaktorové aplikace si ověřte i možnost obnovení pro případ ztráty telefonu. Mohou tam být záložní kódy (ty hlavně jsou u konkrétních účtů), e-mail pro obnovu, bezpečnostní otázky. Může tam být i možnost kontaktovat zákaznickou podporu a ověřit identitu (popravdě většinou něco nejméně průchozí). Některé 2FA aplikace podporují bezpečnostní klíče, takže možná není od věcí nějaký takový mít. 

Příklad jak je to u Authy najdete v Restoring Authy Access on a New, Lost, or Inaccessible Phone. Podobné postupy byste si měli nastudovat pro tu vaši 2FA aplikaci. 

Vhodné čtení najdete v Jak chránit online účty pro případ zapomenutí hesla?

Účty bez 2FA?

Samotné online účty sice máte podmíněné 2FA ověřením, ale prakticky vždy existuje možnost přihlásit se bez – zpravidla to jde pomocí záložních kódů – háček je, že ty vytvoříte při aktivaci dvoufaktoru a musíte si je v té době bezpečně uložit právě pro případ nehody. 

Různé služby mají i další možnosti “recovery” – pomocí e-mailu, telefonního čísla, bezpečnostní otázky, atd. Opět platí, že tohle byste si měli ověřit a hlavně nastavit předem.

Nezapomínejte, že příliš neúspěšných pokusů o vstup na účet zpravidla přinese zablokování účtu a tím ztížení či znemožnění získání přístup zpět.

Vhodné čtení tady je Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam a Jak na “záložní” e-maily pro obnovení účtu? Hlídáte si je? Nehrozí vám riziko? 

Co poté co získáte účty zpět?

Pokud se vám telefon podařilo ztratit či byl ukraden, tak vhodné bezpečnostní následné opatření je nejenom změna všech hesel v telefonu uložených, ale také nové nastavení dvoufaktorového ověření (včetně nových záložních kódů). 

Jakkoli může 2FA s rizikem ztráty vypadat jako nepříjemnost nemělo by to znamenat, že se rozhodnete dvoufaktorová ověření nepoužívat. Byl by to hodně hloupý nápad. 

PS

Rozhodně pamatujte na to, že potřebujete dobrého a bezpečného správce hesel a být velmi důslední při ukládání a aktualizaci hesel. Je vhodné sem i ukládat takové ty různé (a extrémně nebezpečné) bezpečnostní/obnovovací otázky. A hodí se i  pro úschovu záložních kódů pro přihlášení bez 2FA ověření. 

Tipy týkající se Bezpečného Internetu

Bezpečnost Dvoufaktorové ověření Hesla Jak na bezpečný Internet Seriál: Bezpečnost pro novináře