Google Authenticator to jeden ze sposobów na wzmocnienie bezpieczeństwa logowania do różnych usług, takich jak poczta elektroniczna, broker, giełda kryptowalut czy sieci społecznościowe. Dzięki tej aplikacji mobilnej możliwe jest zweryfikowanie, czy osoba logująca się jest prawdziwym właścicielem konta, czy też jest to nieautoryzowana próba dostępu.
Jest to jedna z możliwych implementacji tzw. uwierzytelniania dwuczynnikowego (czasem także 2FA). Czyli uwierzytelniania wtórnego, które zwykle odbywa się po uwierzytelnieniu pierwotnym – np. po standardowym wprowadzeniu nazwy użytkownika i hasła. Google Authenticator jest obecnie standardem 2FA i jest zaimplementowany w wielu różnych platformach.
W tym artykule pokażemy Ci jak używać Google Authenticator, ze wszystkimi szczegółami. Od instalacji po rozwiązywanie problemów i sytuacje kryzysowe, takie jak utrata urządzenia, na którym zainstalowana jest aplikacja.
Czym jest Google Authenticator i jak działa?
Google Authenticator to aplikacja mobilna na telefony z systemem Android i iOS, ale obsługuje również rzadziej używane Blackberry. Została ona zbudowana przez firmę Google. Celem było stworzenie kolejnego sposobu dwuczynnikowej autoryzacji użytkownika, która w znacznym stopniu zwiększa bezpieczeństwo połączonych profili.
Cała magia Google Authenticator i innych aplikacji 2FA, takich jak Authy, tkwi w tzw. TOTP wykorzystującym algorytm zdefiniowany w RFC 6238.
Serwer i urządzenie końcowe użytkownika, np. telefon, początkowo współdzielą tajny klucz. Klucz ten, wraz z czasem, jest następnie wejściem do powyższego algorytmu, z którego generowane są sześciocyfrowe kody.
Po wprowadzeniu tego kodu z telefonu podczas logowania, serwer weryfikuje, czy wprowadzony kod jest taki sam jak kod, który sam obliczył. Jeśli tak, to weryfikacja przebiegła pomyślnie.
Działanie aplikacji jest dość proste i nieskomplikowane – wystarczy najpierw zeskanować kod QR tajnego klucza, który pokaże serwer. Następnie wystarczy, że spojrzysz na aplikację za każdym razem, gdy zalogujesz się do swojego miejsca docelowego i wpiszesz kod. Nie martw się, pokażemy ci wszystko w poniższym tutorialu.
Pomimo tej prostoty, Google Authenticator, wraz z innymi aplikacjami 2FA, jest jednym z najlepszych i najskuteczniejszych sposobów, aby uczynić swoje konto jeszcze bardziej bezpiecznym.
Zasada generowania kodu
Podstawowe działanie aplikacji opiera się na generowaniu kodów. Kody te są ważne zazwyczaj przez 30-60 sekund, w tym czasie należy je wpisać podczas logowania. Ograniczona ważność kodu jest kolejnym środkiem bezpieczeństwa. W przypadku, gdy ktoś w przenośni „zagląda Ci przez ramię”, będzie miał stosunkowo niewielkie okno czasowe na włamanie się na Twoje konto.
Na zdjęciu widać ikonę odliczania po prawej stronie do kolejnej zmiany kodu. Zwykle jednak kod jest ważny przez kilka sekund po jego zmianie.
Łączenie się z telefonem
Google Authenticator jest specjalnie powiązany z urządzeniem, na którym zainstalowana jest aplikacja. Wynika to z zasady opisanej powyżej – aplikacja musi mieć zapisany w swojej bazie danych tajny klucz dla konkretnego połączenia. Przeniesienie jej na inny telefon jest możliwe tylko poprzez przeniesienie tajnego klucza, co pokażemy w dalszej części tego tekstu.
Wszystko działa poza połączeniem internetowym
Jedną z najlepszych rzeczy w Google Authenticator jest fakt, że cały system działa bez połączenia internetowego. Aplikacja zawsze będzie działać, nawet gdy Twoje urządzenie nie jest podłączone do sieci. Ponownie, ma to związek z tajnym kluczem i algorytmem używanym do obliczania kodów – sekwencja kodów jest ustalana na podstawie tajnego klucza; ważność konkretnego kodu jest zależna od czasu.
Uwaga: Oznacza to, że jeśli zalogujesz się na swoje konto Binance na komputerze i wpiszesz kod Google Authenticator na telefonie, nie musisz być podłączony do internetu w telefonie.
Oczywiście pewną rolę odgrywa samo połączenie internetowe na komputerze, a raczej szybkość odpowiedzi – jeśli jest ona zbyt długa, wysłany kod może dotrzeć do serwera z opóźnieniem i może być już nieważny. Ten margines czasowy jest jednak uzupełniany przez opisane powyżej niewielkie przesunięcie.
Odłączenie od sieci ma również uzasadnienie w kwestii bezpieczeństwa – jeśli nie jesteś podłączony do Internetu w swoim telefonie, to skutecznie ustanowiłeś kolejną barierę bezpieczeństwa.
Wady Google Authenticator
Choć Google Authenticator ma wiele zalet to w niektórych aspektach wypada słabo.
Największą porażką jest niskie bezpieczeństwo samej aplikacji. Niestety, nie zawiera ona żadnej formy hasła ani skanu biometrycznego w postaci odcisku palca lub skanu twarzy. W przypadku, gdy ktoś ukradnie Twój telefon i go odblokuje, może natychmiast dostać w swoje ręce kody i wykorzystać je do odblokowania Twoich kont. Jeśli więc zna Twoje hasło do giełdy kryptowalut, a Twoim zabezpieczeniem jest 2FA z Google Authenticator, nic go nie powstrzyma. Jedyne zabezpieczenia, które można znaleźć w aplikacji, to blokowanie zrzutów ekranu na głównej stronie kodu i uwierzytelnianie podczas eksportu kont.
Kolejnym dużym minusem Google Authenticator jest fakt, że nie ma możliwości tworzenia kopii zapasowych kodów. Zwiększa to zasadniczo bezpieczeństwo (atakujący nie ma wyboru i musi dostać się bezpośrednio do Twojej aplikacji), ale radykalnie zmniejsza doświadczenie użytkownika. Jeśli stracisz telefon z Google Authenticator, stracisz swoje kody.
Gdzie mogę korzystać z Google Authenticator?
Jak podaje enlyft.com, na całym świecie z Google Authenticator korzysta obecnie ponad 206 firm. Podobno najczęściej są to firmy o obrotach powyżej miliarda dolarów, a także zatrudniające co najmniej 10 000 pracowników.
Jest jednak wielce prawdopodobne, że rzeczywista liczba jest znacznie wyższa. Należy również zauważyć, że powyższa liczba obejmuje tylko firmy, które używają Google Authenticator stricte jako część ich wieloczynnikowego uwierzytelniania, ale oczywiście nie jest to jedyna aplikacja, która zapewnia uwierzytelnianie TOTP oparte na 2FA.
W dzisiejszych czasach zobaczysz Google Authenticator lub inne formy uwierzytelniania wieloczynnikowego prawie wszędzie. W ramach branży kryptowalutowej uwierzytelnianie wieloczynnikowe jest obecnie absolutnym standardem dla giełd kryptowalutowych.
Badanie z 2021 roku przeprowadzone przez LastPass, jednego z producentów wiodących menedżerów haseł, a także generatorów TOTP, dostarcza ciekawych wniosków. Uwierzytelnianie wieloczynnikowe jest powszechnie stosowane najbardziej w dziedzinach technologicznych, finansach i edukacji. I odwrotnie, jest najmniej używane w organizacjach non-profit, firmach nastawionych na marketing oraz firmach z branży prawnej i ubezpieczeniowej.
Jak zainstalować i aktywować Google Authenticator?
Teraz wyjaśnimy, jak zainstalować aplikację i jak z niej korzystać. Pokażemy, jak wprowadzić tajny klucz do Google Authenticator, który pokaże strona, dla której ustawiasz 2FA, oraz jak wygląda później generowanie kodu.
Instalowanie aplikacji
Instalacja aplikacji Google Authenticator jest dość prosta:
- Otwórz stronę aplikacji w Sklepie Play dla Androida lub App Store dla iOS.
- Pobierz i zainstaluj aplikację.
Jeśli instalacja przebiegnie pomyślnie, możesz zacząć łączyć aplikację ze swoimi kontami lub wprowadzać tajne klucze.
Jak powiązać Google Authenticator z obcą aplikacją?
Praca z Google Authenticator jest tak prosta, jak jego instalacja. Nie ma w tym nic skomplikowanego. Trudną częścią może być czasami znalezienie sekcji ustawień 2FA na platformie, którą próbujesz połączyć z Google Authenticator – ustawienia nie zawsze są jasne. Niektóre firmy oferują te ustawienia podczas samego procesu rejestracji, ale gdzie indziej będziesz musiał zajrzeć głębiej w ustawienia.
Jedną z aplikacji, w której można, a raczej trzeba, włączyć uwierzytelnianie 2FA jest Konto Google. Możesz połączyć Google Authenticator z kontem Google w następujący sposób.
Po kliknięciu w opcję uwierzytelniania dwuskładnikowego zostaną nam przedstawione jego poszczególne opcje. Google oferuje wiele opcji, od tradycyjnego klucza bezpieczeństwa po weryfikację SMS-em lub podpowiedzi na urządzeniach, na których jesteśmy już zalogowani za pomocą konta Google.
Aby skonfigurować uwierzytelnianie dwuskładnikowe, kliknij Ustawienia dla Authenticatora. Google pokaże Ci wtedy kod QR, który możesz zeskanować w aplikacji na telefonie. Jeśli nie możesz, Google Authenticator oferuje opcję ręcznego wpisania kodu. Dostęp do niego uzyskasz klikając na niebieski tekst pod kodem QR.
Uwaga: Na tym etapie warto również zapisać tajny klucz w bezpiecznym miejscu – zrobić zdjęcie kodu QR lub zanotować klucz w formie tekstowej. Tworzenie kopii zapasowej tajnego klucza w ten sposób może zaoszczędzić Ci wielu kłopotów w przyszłości, jeśli zgubisz telefon. Bardziej szczegółowo omawiamy tę kwestię poniżej.
Kolejny krok trzeba będzie wykonać na telefonie, na którym jakiś czas temu zainstalowałeś Google Authenticator. Po otwarciu aplikacji zobaczysz jedynie puste okno. W prawym dolnym rogu będzie małe kółko z symbolem +, które służy do łączenia innych kont.
W tym miejscu widzimy dwie opcje. Zeskanowanie kodu QR jest najwygodniejszym sposobem dodania konta do Google Authenticator.
Jeśli jednak z jakiegoś powodu nie działa twój aparat, nie martw się. Google Authenticator można również skonfigurować ręcznie. Naciśnij niebieski tekst pod kodem QR, aby zobaczyć kod w formie tekstowej, a następnie ręcznie wprowadź go do aplikacji. W Google Authenticator możesz uzyskać dostęp do okna dialogowego do jego wprowadzenia poprzez opcję Wprowadź klucz ustawień.
Drugie pole służy jako identyfikator klucza i jest wyłącznie do Twojego użytku – możesz wpisać swój e-mail lub cokolwiek innego, co pomoże Ci wyróżnić kod. Unikalne oznaczenie kodu docenisz zwłaszcza wtedy, jeśli masz ich w aplikacji dużo.
Dzięki temu natychmiast dodasz pole swojego konta w aplikacji, a sześciocyfrowy kod obok niego będzie się zmieniał co jakiś cazas. Strona internetowa, z której zeskanowałeś tajny klucz (w naszym przypadku konto Google) poprosi cię tylko o wpisanie odpowiedniego kodu w celu potwierdzenia i to tyle.
Możliwe problemy z Google Authenticator i jak je rozwiązać?
Google Authenticator ma również pewne ograniczenia wynikające z jego konstrukcji. Jak już omówiliśmy powyżej, Google Authenticator jest aplikacją czysto offline. Sercem tego wszystkiego jest tajny klucz do generowania indywidualnych kodów, które aplikacja przechowuje w swojej bazie danych. W przeciwieństwie do swoich konkurentów, Google Authenticator nie pozwala na wykonanie kopii zapasowej tego tajnego klucza, stąd też poniższe rozwiązanie:
Jeśli dostęp do aplikacji jest niedostępny, czy to z powodu usunięcia aplikacji, czy też utraty samego telefonu, tajny klucz zostaje utracony, a wraz z nim kod dostępu.
Aby w praktyce uniknąć tego nieprzyjemnego doświadczenia, możesz wykonać poniższe kroki, które nie tylko dodatkowo zwiększą bezpieczeństwo Twojego konta, ale także zapewnią Ci dostęp do niego nawet w przypadku braku dostępu do Google Authenticator.
Uwaga: Pamiętajcie też, że jeśli zgubicie telefon, a nie jest on zabezpieczony np. poprzez logowanie biometryczne lub PIN, to nic nie stoi na przeszkodzie, aby potencjalny napastnik uzyskał dostęp do Google Authenticatora.
Dlatego warto też uzyskać dostęp do swojego konta w inny sposób – im szybciej uzyskasz do niego dostęp i wyłączysz Google Authenticator na utraconym telefonie poprzez ustawienia, tym lepiej.
Stosuj wiele metod uwierzytelniania dwuskładnikowego
W zdecydowanej większości przypadków aplikacja generująca hasła TOTP nie jest jedynym możliwym elementem uwierzytelniania dwuskładnikowego; zwykle można ją zastąpić wieloma metodami. Dlatego najprostszym sposobem zabezpieczenia dostępu do konta jest włączenie wielu wariantów uwierzytelniania dwuskładnikowego. Mogą one obejmować:
- 2FA przez SMS: uwierzytelnianie 2FA za pomocą wiadomości tekstowej jest jedną z mniej bezpiecznych, ale szeroko dostępnych opcji. Z jednej strony jest to wygodne rozwiązanie (nie trzeba instalować żadnej aplikacji firm trzecich), ale historycznie posiada dużą podatność na ataki phishingowe.
- Klucz sprzętowy: Dwuczynnikowe uwierzytelnianie przy użyciu klucza sprzętowego to najbezpieczniejsza opcja. Klucze sprzętowe, takie jak YubiKey na zdjęciu poniżej, mają postać małego dysku flash USB, który wystarczy włożyć do portu USB w komputerze lub telefonie, gdy pojawi się monit o uwierzytelnienie. Wysoki poziom bezpieczeństwa pochodzi z niemożności kradzieży, ale to również ma swoje wady. Ponieważ nosisz klucz sprzętowy z tobą, problem pojawia się, jeśli go zgubisz lub zostanie skradziony.
Podstawowe założenie jest takie, że jeśli jedna opcja jest niedostępna, to teoretycznie można ją zastąpić inną. Jeśli Twoja usługa nie oferuje żadnych innych opcji uwierzytelniania dwuskładnikowego lub jeśli wymaga wprowadzenia wielu opcji jednocześnie w celu zapewnienia wysokiego poziomu bezpieczeństwa, nie pozostaje Ci nic innego, jak skontaktować się z obsługą klienta.
Zapisz tajny klucz
Innym sposobem na zabezpieczenie się przed utratą dostępu do konta jest zanotowanie tajnego klucza, którego Google Authenticator używa następnie do generowania kodów bezpieczeństwa. Możesz zanotować tajny klucz podczas nawiązywania połączenia, aby być bezpiecznym; jeśli zgubisz telefon, możesz użyć klucza Google Authenticator na innym urządzeniu. Wygenerowane kody bezpieczeństwa będą wtedy identyczne.
Po powiązaniu Google Authenticator na nowym urządzeniu i uzyskaniu dostępu do konta, dezaktywuj ten klucz bezpieczeństwa i utwórz nowy, aby uniemożliwić komukolwiek niewłaściwe wykorzystanie utraconego telefonu.
Jeśli platforma oferuje zapasowe kody bezpieczeństwa, zanotuj je
Kolejny środek ostrożności nie jest związany z uwierzytelnianiem dwuskładnikowym, ale dodatkową opcją, którą oferuje wiele platform. Zazwyczaj są to specjalne zapasowe kody bezpieczeństwa, wybrane przez Ciebie frazy lub Twoje unikalne odpowiedzi na różne pytania (np. nazwisko panieńskie matki). Te środki mogą ułatwić Ci dostęp do konta, gdy wszystkie inne opcje zawiodą.
Na przykład Google pokaże Ci 10 kodów, które mogą pełnić rolę kopii zapasowej na wypadek, gdyby inne drogi uwierzytelniania dwuskładnikowego były niedostępne.
Utwórz kopię zapasową całego Google Authenticatora
Tworzenie kopii zapasowych Google Authenticator nie działa tak, jak prawdopodobnie spodziewałbyś się na pierwszy rzut oka – zauważyliśmy już powyżej, że brakuje przechowywania kopii zapasowych połączonych kont. Aplikacja pozwala jednak eksportować dane połączonych kont za pomocą kodu QR i importować je ponownie na nowym urządzeniu, skanując wspomniany kod QR z pierwszego urządzenia.
Na głównej stronie aplikacji wystarczy otworzyć ustawienia i kliknąć w opcję Transfer Accounts. Tutaj na urządzeniu, z którego robisz kopię zapasową danych, kliknij Export Accounts, a na urządzeniu, na które chcesz przesłać dane, wybierz Import Accounts. Podczas eksportu możesz wybrać, które konta mają zostać objęte kopią zapasową, a które nie. Jednocześnie aplikacja będzie wymagała od Ciebie uwierzytelnienia, zazwyczaj poprzez odcisk palca.
Uwaga: Na koniec eksportu Google Authenticator zapyta Cię, czy chcesz usunąć dane połączonego konta z pierwszego urządzenia.
Pamiętaj, że w przypadku utraty jednego z urządzeń, na którym masz aktywne kody bezpieczeństwa, każdy może je niewłaściwie wykorzystać. Dlatego zalecenie z rozdziału powyżej ma zastosowanie również w tym przypadku – jeśli stracisz urządzenie, dezaktywuj tajny klucz na swojej platformie i utwórz nowy.
Zabezpiecz swój telefon
Google Authenticator nie ma własnego zabezpieczenia w postaci hasła lub skanu biometrycznego. Jeśli ktoś dostanie się do Twojego urządzenia i zdoła się zalogować, może natychmiast uzyskać Twoje kody.
Dlatego warto upewnić się, że telefon jest odpowiednio zabezpieczony za pomocą wszelkich dostępnych opcji – zalecamy korzystanie z opcji uwierzytelniania biometrycznego, takich jak skanowanie odcisków palców lub twarzy.
Niektóre urządzenia umożliwiają również całkowite szyfrowanie. Wymaga to podania hasła deszyfrującego przy każdym uruchomieniu telefonu – jeśli zdarzy się, że zgubisz telefon i ktoś znajdzie go już rozładowanego, nie będzie mógł uzyskać do niego dostępu po naładowaniu bez hasła deszyfrującego. Można wybrać dowolne hasło, najlepiej długie i złożone, a więc znacznie bardziej bezpieczne niż czterocyfrowy PIN.
Uwaga: Jeśli zaszyfrujesz telefon i zapomnisz hasła, możesz się do niego dostać tylko po resecie fabrycznym, który wymaże wszystkie Twoje dane (a więc także sam Google Authenticator i zanotowane tajne klucze).
Samo szyfrowanie również trwa zwykle ponad godzinę.
Jakie są alternatywy dla Google Authenticator?
Chociaż Google jest pionierem w dziedzinie 2FA, istnieje dziś wiele alternatyw – takich jak wspomniane Authy, Microsoft Authenticator, LastPass czy 1Password. Powyżej wspomnieliśmy o Binance, największej giełdzie kryptowalut – wymyśliła ona nawet własne rozwiązanie o nazwie Binance Authenticator.
Pamiętaj o tym – jeśli nie jesteś zadowolony z Google Authenticator, możesz zainstalować dowolną inną aplikację, skopiować do niej swoje tajne klucze i używać jej zamiast Google Authenticator.
Powyżej mówiliśmy, że algorytm generowania TOTP jest ustandaryzowany. Dlatego na przykład dla Binance możesz bez problemu używać Authy lub ich Binance Authenticator zamiast Google Authenticator.
W skrócie – Co zrobić w przypadku utraty dostępu do Google Authenticator?
Tutaj wszystko zależy od tego czy nadal masz dostęp do swojego konta i czy masz w jakiś sposób zarchiwizowany tajny klucz. Poniżej przedstawiamy jak sobie poradzić w takiej sytuacji:
- Czy nadal masz dostęp do swojego konta? Jeśli jesteś już zalogowany na platformie innej firmy, dezaktywuj tajny klucz dla podłączonego telefonu i utwórz nowy, aby powiązać go z nowym telefonem lub nowo zainstalowaną aplikacją Google Authenticator, jeśli ją usunąłeś.
- Czy możesz użyć innych opcji uwierzytelniania dwuskładnikowego? Jeśli masz włączone inne opcje uwierzytelniania dwuskładnikowego, takie jak uwierzytelnianie za pomocą wiadomości SMS lub klucza sprzętowego, pamiętaj, aby z nich skorzystać. Dotyczy to również opcji korzystania z kodów odzyskiwania kopii zapasowych, jeśli platforma je posiada.
- Czy masz swój tajny klucz zanotowany w tajnej lokalizacji lub przesłałeś go na inny telefon? Jeśli znasz tajny klucz, nie ma problemu. Wystarczy ponownie wprowadzić go do Google Authenticator na nowym urządzeniu, aby odtworzyć to samo powiązanie. Jednak po wejściu na swoje konto dezaktywuj tajny klucz i utwórz nowy, aby zapobiec ewentualnemu niewłaściwemu użyciu utraconego telefonu.
Jeśli nie możesz skorzystać z żadnej z powyższych opcji, skontaktuj się z obsługą klienta platformy, do której się logujesz. Z ich pomocą może udać Ci się uzyskać dostęp do konta. Nadal jednak obowiązuje następująca zasada – gdy dostaniesz się do platformy, dezaktywuj swój już aktywny klucz i utwórz nowy podczas łączenia się z Google Authenticator na nowym telefonie.
