Biztonságos Gmail használat kétlépcsős azonosítással
2011. március 16. írta: Asszem

Biztonságos Gmail használat kétlépcsős azonosítással

Lépésről-lépésre bemutatom, hogyan állítsuk be a kétlépcsős azonosítást Gmail fiókunkhoz. De először tisztázzuk azt, hogy mi ez és miért jó.

Az egész nálam úgy kezdődött, hogy kaptam egy figyelmeztetést, miszerint Iránban valaki belépett a Gmail fiókomba:

Ez azért elég ijesztő, úgyhogy gyorsan megváltoztattam az amúgy erős jelszavam, de ha egyszer sikerült valakinek ellopnia, úgy az új jelszót is bármikor megszerezhetik idegenek, akármilyen erős is legyen. Főleg azért, mert számos mobilalkalmazásnál meg kell adni a fiók jelszót, hogy használni tudjuk azokat. Ezek valamelyike lehetett a ludas.

Én többek között azért is szeretem nagyon a Gmail-t, mert figyelmeztet a gyanús aktivitásokra: a Gmail legaljára görgetve a lábléc szövegében a "Last account activity" kezdetű sorban a "Details" gombot megnyomva tudjuk előhívni ezt ablakot. 

Érdemes megjegyezni, mert nagyon hasznos, főleg az, hogy egyetlen gombnyomásra ki tudjuk jelentkeztetni a Gmailt az összes nyitva lévő fiókunkból.

Tehát ha kijelentkezünk mindenhonnan és megváltoztatjuk a jelszavunkat, akkor valamennyire biztonságban vagyunk, de ha igazán megnyugtató megoldást keresünk, akkor kapcsoljuk be a Google kétlépcsős azonosítás módszerét.

A módszer lényege, hogy minden belépéskor a felhasználói név és jelszó megadása után a Google generál egy azonosító kódot a mobilunkra telepített alkalmazásban és csak ennek a kódnak a megadásával tudunk hozzáférni a fiókunkhoz.

Első olvasásra lehet, hogy kicsit bonyolultnak tűnik beállítani (ezért is írom ezt a posztot), de megéri, mert ha bekapcsoljuk, akkor ezután csak a telefonunkra küldött azonosító kód segítségével lehet belépni, tehát a jelszó és felhasználói név megadása ugyanúgy szükséges, de már nem elégséges a fiókunk eléréséhez...

Pár dolgot tisztáznék még az elején, nehogy az ezektől való félelmek tartsanak vissza bárkit is a kipróbálástól:

  1. A szolgáltatásért nem kell fizetni.
  2. A Google nem SMS-ben fogja elküldeni a kódot a telefonunkra.
  3. A kódot az alkalmazás generálja, nem pedig elküldi ezért nem kell hozzá internet kapcsolat.
  4. Ezért az alkalmazást telepítenünk kell a telefonunkra.
  5. Ebben a formában csak iPhone, Android, vagy BlackBerry készülékkel működik.
  6. Ha nincs ilyen telefonunk, akkor van lehetőség SMS fogadásra is (erről viszont nincs tapasztalatom).
  7. Ha elhagyjuk a telefonunk, akkor is vannak biztonsági pótmegoldások a fiókunk elérésére (ld. később).
  8. Bármikor visszaállhatunk a hagyományos beléptetésre, ha meggondoljuk magunkat.
  9. Megbízható gépeken (otthon, munkahely) beállíthatjuk, hogy ne kérje a telefonos kódot.
  10. Lehet alkalmazás specifikus kódot generálni azokhoz a programokhoz (mobil alkalmazások, Picasa Desktop változata, stb.), amelyek még nem támogatják a kétlépcsős azonosítást (részletek ld. később).

Összefoglalva, ha bekapcsoljuk a kétlépcsős azonosítást, még akkor is biztonságban tudhatjuk a fiókunkat, ha illetékteleneknek sikerülne megszerezniük a jelszavunkat, mert csak a mobilra küldött azonosító kóddal együtt lehetséges hozzáférni a levelekhez.

Így nyugodtabban használhatjuk fiókunkat nyilvános hálózatokon, barátunk, ismerősünk gépén, repülőtereken, internet kávézókban vagy bárhol, ahol amúgy nem szívesen gépelnénk be jelszavunkat.

Most pedig nézzük meg lépésről-lépésre, hogyan kell bekapcsolni ezt a nagyszerű szolgáltatást.

Első lépés - a Gmail beállítása

A Gmailben a beállítások fülre kattintva először is állítsuk angolra (English US) a nyelvet. Ez akkor szükséges, ha a kétlépcsős azonosítás (2-step verification) magyar nyelven nem érhető el. A folyamat végén természetesen visszaállíthatjuk magyarra a Gmail-t.

 

Válasszuk ki a beállításokból az "Other Google Accounts settings" opciót:

 

Egy új ablak fog megnyílni, ahol a Google Fiókunkat tudjuk beállítani. Válasszuk ki a Personal Settings részen a "Using 2-step verification" gombot.

 

Olvassuk el a lépéseket figyelmesen, hogy tényleg értsük, mit is csinálunk (ha bármi kérdéses, kommentben jelezzétek, szívesen segítek). Az angol súgó majdnem olyan jól leírja a lépéseket, mint ahogy én fogom :-), de magyarul ez sem létezik (még).

Ha úgy érezzük, hogy bevállaljuk, akkor nyomjuk meg a "Set up 2-step verification" gombot.

 

Második lépés - a telefon beállítása

A következő lépésben válasszuk ki, hogy milyen telefonunk van. Mivel most épp nincs nálam androidos készülék, ezért csak az iPhone-t tudom választani, de gondolom túl nagy különbség nem lehet:

 

Miután kiválasztottuk a telefont, megkér minket, hogy töltsük le a Google Authenticator progit az AppStore-ból. Tegyünk így.

 

 

Miután sikeresen telepítettük a telefonra a Google Authenticator alkalmazást, a következő képernyőn egy QR kódot fogunk kapni, amit a telepített programmal olvassunk be, ez fogja tartalmazni a fiókunk információit az alkalmazás számára (megjegyzés: kifejezetten tetszik, hogy ehhez a lépéshez nem kell külön QR kód olvasó programot telepíteni a telefonra, mert azt beépítették a Google Authenticator alkalmazásba).

 

Ha sikerült beolvani a QR kódot, akkor a telefonon máris látjuk a fiókhoz tartozó hatjegyű számból álló azonosító kódot, amit az alkalmazás percenként automatikusan újragenerál.

 

Mielőtt élesíthetnénk a kétlépcsős belépést, ki kell próbálni, hogy működik-e a rendszer, tehát írjuk be a telefonos alkalmazásban a fiókhoz generált kódot és nyomjuk meg a Verify gombot.

Az alapokkal tehát elkészültünk, sikeresen beállítottuk a telefonon a fiókunkhoz az Authenticator-t. De a folyamatnak még nincs vége.

Harmadik lépés - biztonsági tartalék kódok

Felmerülhet a kérdés, hogy mi történik akkor, ha be akarnánk lépni, de épp nincs nálunk a telefonunk, lemerült, ellopták, elveszítettük, akármi...? Semmi gond, a Google erre a lehetőségre is gondolt és két különböző módszert is lehetővé tesz, hogy ideiglenes jelleggel elérjük a fiókunkat:

 

Először is kapunk 10 darab egyszer használható belépési kódot. Ezeket nyomtassuk ki és rakjuk el valami biztonságos helyre. Ha elhasználtuk (vagy elveszítettük) őket, akkor bármikor újakat generálhatunk (én is azért nem takartam ki a képet, mert újakat készítettem). Figyeljük meg, hogy csak akkor enged tovább a telepítésben, ha kipipáljuk azt az opciót, hogy tényleg kinyomtattuk vagy lejegyeztük ezeket a kódokat...

 

A másik lehetőség pedig az, hogy megadjuk egy megbízható ismerősünk (szülők, társ, barát) telefonszámát, és szükség esetén erre a számra fogja a Google SMS-ben elküldeni a belépő kódot:

Ha minden jól ment, akkor már majdnem tényleg kész vagyunk.

 

Negyedik lépés - próbáljuk ki

Azért csak majdnem, mert a kétlépcsős azonosítást sok alkalmazás még nem támogatja. Ebben az esetben arra lesz szükségünk, hogy úgynevezett alkalmazás specifikus jelszót generáljunk és ezt adjuk meg a jelszavunkat kérő alkalmazásoknak. Nem olyan vészes a dolog, mint ahogy hangzik, és a Google itt is lépésről-lépésre végigvezet a folyamaton.

 

Szerencsére nem kell most megcsinálni, ez csupán egy tájékoztatás, tehát ezzel a lépéssel el is értünk a folyamat végére, már bekapcsolhatjuk a 2-lépéses ellenőrzést:

 

Ha megnyomjuk a nagy kék gombot, kapunk még egy utolsó figyelmeztetést:

És ha itt OK-t nyomunk, akkor kiléptet mindenhonnan és innentől csak a 2-lépéses bejelentkezéssel fogjuk elérni a fiókunkat, ami így néz ki:

Első lépésben simán beírjuk a felhasználónevet és jelszót, majd ezután kapunk egy ilyen képernyőt:

 

Indítsuk el a telefonon a Google Authenticator alkalmazást és adjuk meg a kódot, amivel beléphetünk a fiókunkba.

Ha megbízható számítógépről (otthon, munkahely) dolgozunk, akkor a legjobb, ha bepipáljuk "Az ellenőrző kód megjegyzése a számítógépen" opciót, így legközelebb nem fog minket a kóddal zaklatni erről a gépről, viszont ha ismeretlen helyen (pl. netkávézó, repülőtér, nyilvános wifi, stb.) lépünk be, akkor továbbra is csak és kizárólag a telefonra küldött kód segítségével fogunk tudni belépni a fiókunkba.

 

Ötödik lépés - alkalmazás specifikus jelszavak generálása

Első alkalommal ne ijedjünk meg, ha ismét figyelmeztet minket arra, hogy ne felejtsünk el alkalmazás-specifikus jelszavakat gyártani.

 

Lássunk is neki (persze később bármikor elvégezhetjük ezt a műveletet, de jobb túlesni rajta). A következő képernyőn láthatjuk, hogy a fiókunkhoz milyen alkalmazásoknak adtunk hozzáférést. Ezekkel valószínűleg nem lesz gond, itt a Google megoldja a beléptetést.

Viszont azoknál az alkalmazásoknál, ahol be kellett írnunk a felhasználói nevünket és jelszavunkat és nem működik a kétlépcsős beléptetés, ott alkalmazás specifikus jelszót használhatunk. Ez nem más, mint egy Google által kifejezetten a fiókunkhoz generált jelszó, amivel be tudjuk léptetni az alkalmazást.

Mivel korlátlan mennyiségben hozhatunk létre alkalmazás specifikus jelszavakat (és bármikor vissza is vonhatjuk őket), ezért ha nagyobb biztonságra vágyunk, érdemes minden alkalmazásnak külön jelszót generálni.

Én ezt tettem, így ha rájövök, melyik iPhone alkalmazás adta ki a jelszavam, elég lesz csak a számára kijelölt alkalmazás specifikus jelszót visszavonnom, és máris kizártam a rendszerből, anélkül, hogy az összes többi alkalmazásban át kéne írnom a jelszót.

Persze ha gyorsan vagy kényelmesen szeretnénk túlesni a beállításon, akkor használhatunk egy kódot is mindenhová.

Tehát minden egyes specifikus jelszó létrehozásához adjunk meg egy emlékeztetőt magunknak, hogy milyen eszközhöz vagy programhoz generáltuk a jelszót, majd nyomjuk meg a "Jelszó generálása" gombot.

 

Ha megvagyunk, meg is kapjuk a specifikus jelszót (amit bármikor visszavonhatunk és helyette újat generáltathatunk):

 

Ahogy a figyelmeztetésben is elhangzik, mindenképpen írjuk fel ezt a jelszót valahová (nagyon ajánlom jelszavak tárolására a KeePass nevű ingyenes programot), mert ha legközelebb visszatérünk ehhez a képernyőhöz, nem fogjuk újra látni. Ha nem írtuk fel, akkor újat kell generálni.

Ha ezzel is megvagyunk, akkor az összes alkalmazásban, ami eddig a Gmail jelszót kérte, adjuk meg az újonnan generált alkalmazás specifikus jelszavunkat, amivel az működni fog.

És ezzel kész is vagyunk, innentől sokkal nagyobb biztonságban tudhatjuk Gmail fiókunkat.

 

 

 

 

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Álmodója 2012.05.29. 17:09:58

...és vajon hogyan lehet biztonságos az androidos mobilon a gmail használat? Az ellopott mobilunkon bárki el tudja olvasni a leveleinket, ha gmail-fiókunkat hozzáadtuk? Vagyis jelszóváltoztatás kell?
Érdekelne.

Asszem 2012.05.29. 20:47:25

@Álmodója: ha a mobilunkat (vagy laptopunkat) ellopják, akkor egész addig ki vagyunk szolgáltatva a tolvajnak, amíg nem változtattuk meg a jelszót.

Amikor én más miatt kikapcsoltam a két lépcsős azonosítást, majd utána újra be, akkor androidon újra be kellett jelentkeznem, sőt az iOS eszközökön is.

Gmailben amúgy is van olyan opció, hogy minden más nyitott accountot bezár.

De tényleg kicsit veszélyes és para, hogy az egész életünk ott van a telefonon. A legkritikusabb időszak az, amíg nem vesszük észre a hiányt, mert addig nem is tudunk intézkedni.

Álmodója 2012.05.29. 22:10:11

@Asszem: Köszönöm a választ. A blog nagyon informatív és nekem most nagyon aktuális...szóval
asszem elég jó :)

Asszem 2012.05.29. 22:12:24

@Álmodója: köszi, örülök neki, hétvégén ha lesz időm, akkor leírom végre a tapasztalataim iPhone-ról andoidra váltás kapcsán, ha esetleg az kérdés lenne, akkor hátha segít ha látod az én szempontjaimat.
:-)
süti beállítások módosítása