Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Dvoufaktorová autentizace: Steam

(29. 7. 2015) Dnešním článkem zahajujeme miniseriál návodů jak zabezpečit své online služby pomocí dvoufaktorového přihlášení (autentizace). Výrazně tím zvýšíte bezpečnost svých online účtů a nemusíte se obávat složitosti přihlašování. Jelikož je léto a doba odpočinku, zahájíme seriál méně vážně, a podíváme se na zabezpečení herního klienta Steam.

Gabe Newell jako Ježíš přinášející slevy

Steam si získal popularitu zejména velkými sezónními slevami her, kterými způsobil revoluci na trhu. Na obrázku jeho zakladatel Gabe Newell, kterého PC hráči milují a neváhají ho vyobrazit jako Ježíše.

K čemu je dobrá dvoufaktorová autentizace?

Jedná se pokročilý způsob přihlášení, kdy kromě jména a hesla používáte ještě jeden (tedy druhý) faktor - něco, co musíte mít navíc ke jménu a heslu. Nejčastěji budete tento princip znát ze svého internetového bankovnictví. Drtivá většina bank vyžaduje pro přihlášení zadání kódu zaslaného SMS zprávou nebo vytvořeného speciálním zařízením (tzv. token, generátor kódů). Pokud vám někdo zcizí jméno a heslo, nebude se schopen přihlásit, protože zadání jména a hesla nestačí a kód pro přihlášení útočník nemá.

Steam zná dvě podoby dvoufaktorové autentizace a nazývá je Steam Guard. Po jeho zapnutí vám bude chodit při každém přihlášení na neznámém počítači kód e-mailem; tento kód musíte zadat do Steamu, jinak se nepřihlásíte. Kromě jména a hesla potřebujete zmíněný kód z e-mailu a pokud by měl někdo pouze vaše přihlašovací údaje, nepřihlásí se do vašeho Steam účtu.

Steam guard a jeho zapnutí 

Steam Guard je zapnut automaticky, pokud jste ve Steamu ověřili váš e-mail a minimálně 2x už od ověření Steam spustili.

Pokud Steam Guard zapnutý nemáte, najdete tuto možnost v nastavení Steamu (hned první obrazovka). V prvním kroku ověřte váš e-mail a nechte si poslat zprávu s odkazem, na který kliknete. Tak bude Steam vědět, že je e-mail skutečně váš.

Po tomto potvrzení Steam 2x restartujte a Steam Guard se automaticky zapne. Jeho zapnutí potvrzuje zelená ikonka štítu (která je při vypnuté ochraně červená). Na následujícím obrázku je už vidět zapnutá ochrana pomocí mobilního Steam Guard; standardně chodí přihlašovací kódy na váš ověřený e-mail.

Detaily účtu ukazují zapnutí Steam Guard a ochrany účtu

Se Steam Guard zvýšíte bezpečnost přihlášení a nebude k němu stačit pouze jméno a heslo. Pokud vám jméno a heslo útočník ukradne, nebude schopen se bez "druhého faktoru" na váš účet přihlásit.

Slabé místo je však e-mailová schránka. Tu může útočník hacknout a jakmile získá příštup k vaší e-mailové schránce, je zle. Určitě v ní najde mnoho různých přihlašovacích údajů a co je nejhorší, může přes váš e-mail heslo k účtům měnit. Proto je vhodné řešit dvoufaktorovou autentizaci mimo e-mail a použít generátor kódů - v tomto případě v mobilní aplikaci Steam

Mobilní aplikace a Steam Guard

Steam nabízí vyšší zabezpečení vašeho účtu díky mobilní aplikaci a Steam Guard. Je to bezpečnější než přihlášení ověřovat s kódy zaslanými e-mailem. Při hacknutí vaší e-mailové schránky tento způsob příliš nepomůže, proto raději pro přihlášení používejte plnohodnotnou dvoufaktorovou autentizaci. Steam Guard je součástí mobilní aplikace Steam. Přínosem aplikace je tedy nejen Steam ve vaší kapse, ale také generátor kódů pro přihlášení.

Po otevření mobilní aplikace Steam najděte v menu položku Steam Guard.

Steam Guard

Uvítací obrazovka Steam Guard informuje o tom, jak princip funguje, a vespod vidíte možnost nastavení (Setting). Klepněte na tuto možnost.

Informace Steam Guard

Na následující obrazovce uvidíte možnost nastavení a tři možnosti - používat kódy vytvořené mobilní aplikací (nejbezpečnější), posílat kód e-mailem a vypnout Steam Guard. Zvolte tedy první možnost.

Volba, jak zasílat heslo pro Steam Guard

Budete vyzvání k ověření telefonního čísla přes zaslanou SMS zprávu. Kód, který vám Steam pošle SMS zprávou, vložte do tohoto dialogu a vaše telefonní číslo bude s účtem spojeno.

Ověření telefonního čísla pro Steam Guard

Posledním krokem nastavení je získání a uložení vašeho záložního kódu. Jeho funkci zmiňuji v dalším odstavci - zatím si ho opište, aby se vám po zavření dialogu neztratil.

Záložní kód pro Steam Guard

Tím je nastavení dokončeno. Můžete začít Steam Guard používat. Vraťte se do hlavního menu Steam Guard.

V mobilní aplikaci najdete na obrazovce Steam Guard vždy aktuálně platný kód. Generuje ho pro vás generátor kódů a po určitém počtu sekund se mění. 

Generátor kódů ve Steam Guard

Vygenerovaný kód z mobilní aplikace zadejte do Steamu na svém PC a budete úspěšně přihlášeni.

Nyní používáte bezpečné dvoufaktorové přihlášení a výrazně jste snížili riziko ukradení vašeho Steam účtu. To se zcela vyloučit nedá, protože i autoři někdy vytvoří chybu vedoucí ke zranitelnosti a možnosti zcizení účtu, jako tomu bylo nedávno.

Záložní kódy a možnost vypnutí

Zřejmě si v tuto chvíli kladete otázku, co se stane v případě, že ztratíte zařízení se Steam Guardem. Steam myslí i na tento nepříjemný scénář a pokud by se tato nepříjemnost stala, použijete předem vygenerovaný záložní kód. Ten najdete v mobilní aplikaci při aktivaci Steam Guard (viz výše) a je nutné si ho poznačit mimo váš telefon.

V nastavení Steamu si otevřete detaily zabezpečení a klikněte na Manage Steam Guard security

Nastavení Steam Guard a zabezpečení účtu

V tomto přehledu najdete možnost vypnout Steam Guard Authenticator (v mobilní aplikaci), můžete si vytisknout záložní kódy a také zrušit autorizaci počítačů a zařízení, kde jste dříve měli Steam spuštěn. To se hodí například pokud jste se přihlašovali u kamaráda a autorizovali jeho PC (to je potřeba pro funkci Sdílení knihovny).

Uložení přihlašovacích údajů

Nemusíte se bát nutnosti zadávat kód při každém přihlášení. Pokud si přihlašovací údaje ve Steamu uložíte, nebude po vás zadání kódu chtít a spustí se rovnou.

Možnost uložení hesla ve Steamu

Tato důležitá volba je na vás. Zvažte, zdali je počítač pro uložení přihlašovacích údajů skutečně bezpečný, nebo k němu mají příštup osoby, kterým nechcete svůj Steam zpřístupnit. Rozhodně neukládejte přihlašovací údaje na cizí počítače, jako například v kavárnách, hernách a na počítače u přátel.

Pokračování příště

V dalších dílech seriálu se podíváme na dvoufázové zabezpečení Facebooku, Gmailu, Twitteru a dalších služeb. Zůstaňte naladěni.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

  • dotaz

    8. 2. 2016 20:05:06 | Petr Peter

    co delat kdyz sem si omylem vymazal steam z telefonu a ztratil zalozni heslo ?
    dekuji za odpoved

    Odpovědět

  • Zpoplatnění

    14. 2. 2016 13:46:57 | Jarda007cz

    Když mám mobil před sebou a mám ho zaplej, pořád se mi tam ukazuje klíč ke Steamu který se každých cca 10 sec mění. Platí se za tuto službu ? Kolikrát mám tuto službu zapnutou, nechci pak platit nehorázné sumy ve faktuře.

    Odpovědět

  • Dotaz

    29. 5. 2016 19:54:15 | Maty242

    Dobrý den,
    co dělatt když sem si omylem vymazal steam z telefonu a ztratil zakladní heslo ?
    Děkuji za odpověd

    Odpovědět