Hlavní navigace

Telefon s Androidem může být klíčem pro bezpečné přihlašování do Googlu. Jak to funguje?

Michal Špaček

Čerstvě představená novinka umožňuje využít telefon s Androidem 7+ jako hardwarový klíč k dvoufázovému ověřování přihlášení do služeb Googlu. Uvnitř: NÁVOD.

Doba čtení: 4 minuty

Sdílet

Google představil další bezpečnostní klíč (Security Key), který se dá použít pro dvoufaktorovou autentizaci (2FA, Two-Factor Authentication, někdy též dvoufázové ověření, 2-step verification, 2SV) pro služby Googlu.

Tenhle je rovnou vestavěný v Androidu 7+, takže ho už možná máte v kapse, používá Bluetooth (ale není třeba nic párovat) a funguje zatím jen v Chrome – Google jej sám označuje za betaverzi. A to je v podstatě všechno, co o něm víme. Používám 2FA všude, kde se dá, doporučuji to, kudy chodím, takže jsem to prostě musel zkusit.

Google už nabízí vlastní bezpečnostní klíč Titan. Stojí 50 USD, musíte ho párovat (v případě Bluetooth verze) nebo připojovat do USB (a do USB-C navíc přes redukci) a je to prostě další věc, kterou musíte nosit. Jsem si celkem jist, že něco z toho od používání odradí naprostou většinu uživatelů. Ani výrobce YubiKey, podobných ověřovacích čudlů, nebyl z Titanu příliš nadšený.


Autor: Google

Bezpečnostní klíče Google Titan

Google pro 2FA podporuje i tzv. výzvy (Google Prompt): po zadání jména a hesla vás telefon (Android nebo iOS s patřičnou aplikací) připojený k internetu vyzve, abyste potvrdili, že jste to opravdu vy. Tohle je skvělé, jen potřebujete připojení k internetu v telefonu (a dá se to použít jen pro Google).

Bezpečnostní klíč vestavěný v Androidu funguje podobně, ale nepotřebuje ani ten internet. Google zatím neprozradil, jak je to vyřešeno technicky, nicméně když v browseru vypnu podporu Bluetooth klíčů pro Web Authentication API, tak to stále funguje.

Snad je bezpečnostní klíč v mobilu postavený na standardech a takové ověřování bude brzy dostupné i pro jiné služby, systémy a aplikace. Moc se mi líbí, že se na tomhle poli něco děje a nezůstáváme jen u přepisování číslíček, která se každých 30 sekund mění. Čím to bude pro lidi jednodušší, tím víc to budou používat a tím méně je nějaká uniklá hesla ohrozí.

Takhle se to používá

Pokud si chcete používání bezpečnostního klíče vestavěného do Androidu nastavit, tak se můžete podívat do nápovědy Googlu nebo na moje screenshoty níže.

Když se v telefonu přihlásíte k účtu Google, můžete si v nastavení dvoufázového ověření zvolit, jaký „druhý krok“ chcete při přihlášení použít. Jednou z možností je i bezpečnostní klíč:


Nelekněte se, že v popisu (zatím?) chybí klíč v telefonu

Poté si vyberete, jestli chcete používat externí USB nebo Bluetooth klíč, nebo ten vestavěný v mobilu, ve kterém jste přihlášení ke Google účtu:


Po zvolení možnosti používání vestavěného klíče v mobilu se dozvíte, že musíte mít zapnutý Bluetooth v mobilu i počítači, že telefon musí umět určit polohu (a musí mít Android verze 7 a novější) a že to funguje zatím jen v Chrome:


Kliknout na „Přidat“ a je hotovo, není potřeba párovat žádná Bluetooth zařízení ani nic opisovat nebo potvrzovat v e-mailu:


Po návratu do nastavení se dozvíte, že bezpečnostní klíč je výchozí (je vhodné mít nastavené i další „druhé kroky“ např. pro případ ztráty telefonu) a že se používá ten v telefonu:


Přihlášení do Googlu

Po zadání jména a hesla vyskočí v Chrome okýnko, ve kterém vám radí se podívat na telefon. Můžete také vybrat možnost externího USB klíče:


Na telefonu bude po odemčení zobrazen dotaz, jestli se k uvedenému účtu pokoušíte přihlásit, s možností „Ne, nejsem to já“ a „Ano“:


Když vyberete „Ano“, tak tím to končí a jste přihlášení. Pokud to budete provádět z nového zařízení nebo anonymního okna prohlížeče, tak vám nejspíš ještě přijde jeden dotaz na potvrzení zařízení. Na stránce Nedávno použitá zařízení se pak můžete podívat, kde všude jste k účtu přihlášení, a případně některá stará již nepoužívaná zařízení odstranit. Doporučuji se tam občas podívat.

V případě, že se z nějakého důvodu potvrzení v telefonu nezobrazí, máte možnost použít další nastavený druhý krok. (Podobně to funguje, když se chcete přihlásit na jiném počítači, který nemá Bluetooth – pozn. redakce).


Nastavte si 2FA

Fakt bych doporučil si dvoufázové ověření (2FA, 2SV, jak tomu budeme říkat, je teď asi celkem jedno) nastavit, a to i když používáte správce hesel (používáte, že jo?) – jako další úroveň ochrany. Pokud máte Android 7 a novější, tohle je krásná a vysoce použitelná možnost pro každého. Snad se rozšíří i do jiných systémů a aplikací. Nastavte si i další „druhé kroky“ pro případ, že vám telefon kamsi odejde (nebo uplave).

A nezapomeňte tuhle (nebo jinou, pro všechny použitelnou metodu ověřování přihlášení) taky nastavit ve firmě, hned poté, co lidem rozdáte správce hesel.

Text Bezpečnostní klíč pro 2FA rovnou v Androidu původně vyšel na blogu autora.