Google na svém oficiální blogu oznámil, že jakýkoli telefon se systémem Android 7.0 a vyšším lze nyní používat jako fyzický klíč pro dvoufaktorovou autentizaci. Chce tak poskytnout jednoduchý, a přitom dostatečně bezpečný způsob přihlášení do svých aplikací.
Nový způsob ověřování je rychlejší a pohodlnější alternativou k fyzickým hardwarovým klíčům, které existují nejčastěji v podobě USB „kolíčků“. V případě běžných počítačů však bude možná problém ve skutečnosti, že telefon komunikuje s prohlížečem Chrome přes rozhraní Bluetooth.
Jeden mobil vládne všem
Nový způsob ověřování bude možné použít při přihlášení ke službám Gmail, G Suite a Google Cloud, ale i všem ostatním, jež používají autentizační standard FIDO. Později mohou přibýt další webové stránky, nicméně v tuto chvíli ještě běží proces certifikace autentizační služby.
Dvoufaktorové ověřování má zabránit neoprávněnému přihlášení v případě, že někdo získá přihlašovací údaje. Kromě znalosti jména a hesla je totiž nutné mít k dispozici ještě další ověřovací faktor v podobě hardwarového klíče, nebo v tomto případě telefonu. Lze tak například zabránit zneužití údajů, získaných pomocí phishingu.
Google doporučuje, aby telefon jako bezpečnostní klíč používal každý. Zejména vhodné je toto řešení pro „novináře, aktivisty, obchodníky a členy politických stran, kterým hrozí cílené online útoky“. V minulosti bylo možné pro tyto účely použít například kódy posílané jako SMS či aplikaci Google Authenticator.
Jak to má fungovat?
Již jsme naznačili, že komunikace mezi „klíčem“ v podobě telefonu a počítačem má probíhat přes Bluetooth. Ač toto řešení může působit trochu „retro“ dojmem, má své opodstatnění. Jeho cílem je zajistit, že se telefon nachází v blízkosti počítače.
Aby vše fungovalo, budete potřebovat dvě věci: telefon s operačním systémem Android 7.0 nebo vyšším se zapnutým Bluetooth a webový prohlížeč Chrome (může běžet na systému Chrome OS, MacOS nebo Windows 10). Na telefonu musíte být přihlášeni stejným účtem Google, jaký hodláte použít na počítači.
Následně na stránce zabezpečení účtu Google klepněte v sekci Přihlášení do Googlu na položku Dvoufázové ověření. Na další stránce použijte tlačítko Začínáme, ověřte svou identitu zadáním hesla a spatříte seznam dostupných telefonů, které můžete používat k ověřování (v případě potřeby lze seznam později upravit).
Po klepnutí na tlačítko Zkusit se na všech zařízeních přihlášených k vašemu účtu Google zobrazí výzva, kterou potvrdíte stiskem tlačítka Ano. Následuje zadání telefonního čísla, na které bude zaslána autorizační SMS v případě, kdy nebudete mít telefon k dispozici (například ho ztratíte, nebo zničíte). Číslo je poté ověřeno verifikačním kódem a pak už zbývá jen Zapnout dvoufázové ověření.
Další možnosti nastavení
Na stránce zabezpečení účtu Google můžete poté nastavit, na kterých telefonech má, či nemá být zobrazován požadavek na autorizaci. Stačí deaktivovat volbu Dostávejte výzvy od Googlu do všech telefonů, ve kterých jste přihlášen a následně pomocí ikony s odpadkovým košem vyřadit ty, jež nehodláte používat.
Když se poté pokusíte přihlásit účtem Google k některé z podporovaných služeb, zobrazí se po zadání hesla na telefonu požadavek na potvrzení. To lze provést tlačítkem Ano, případně na telefonech Pixel 3 stiskem hardwarového tlačítka pro snížení hlasitosti. Vidět to můžete na následujícím videu.
Služba je zatím k dispozici pouze na telefonech se systémem Android a je určena výhradně pro přihlášení ke službám Google, nikoli pro weby třetích stran. Jelikož nová technologie běží na stejných protokolech, včetně standardů FIDO, bude jen otázkou času, kdy přijde i podpora dalších aplikací.
