Dvoufaktorová autorizace

Když jen heslo nestačí...

Co je dvoufaktorová autorizace? Zjednodušeně je to zvýšení úrovně zabezpečení, kdy je pro přihlášení zapotřebí nejen heslo, ale i nějaký další prvek, něco, co uživatel vlastní. Způsobů jak implementovat druhý faktor je několik - např. poslání kódu do SMS, jednorázové kódy na bázi času, aplikace v telefonu nebo hardwarový klíč atd.

Dvoufaktorová autorizace není nic povinného. Její zapnutí je čistě dobrovolné a je na rozhodnutí každého uživatele, zda ji využije nebo ne. Stejně tak se dvoufaktorová autorizace použije pouze při přihlášení heslem, při použití externího autorizačního systému (jako je např. MojeID) se spoléhá na dostatečné zabezpečení v daném systému.

Na XChatu jsme v současné době implementovali druhý faktor pomocí jednorázového kódu na bázi času. V nastavení v sekci Nastavení hesla a zabezpečení je nově možnost Dvoufaktorová autorizace. Zde je možnost zapnutí, případně vypnutí. Po zapnutí se vygeneruje unikátní klíč pro daného uživatele a zobrazí se QR kód pro přidání do aplikace. Aplikací pro jednorázové kódy na bázi času je několik, například Google Authenticator. V aplikaci se naskenuje QR kód a tím se do ní přidá položka propojená s XChatem. Následně je nutné pro ověření zadat do XChatu aplikací vygenerovaný kód, čímž dojde k aktivaci dvoufaktorové autorizace. Při zapnutí dvoufaktorové autorizace jsou zároveň vygenerovány záložní kódy. Ty se zobrazí v dalším kroku a je možné si je stáhnout. Záložní kódy je potřeba uchovat bezpečně, ale dostupně pro případ např. ztráty telefonu s propojenou aplikací. Záložní kódy již není možné znovu zobrazit, nicméně je zde možnost vygenerovat novou sadu.

S dvoufaktorovou autorizací je spojená i změna v obnově hesla. Při obnově hesla pomocí emailu je nutné při zapnuté dvoufaktorové autorizaci zadat kód druhého faktoru. Obnova pomocí premium SMS zůstala beze změny. Dále je možné při nastavování nového hesla vybrat, aby došlo zároveň k deaktivaci dvoufaktorové autorizace.