A tavalyi évben számtalanszor volt hangos a világsajtó néhány népszerű rendszerbe (high-profile) történt behatolástól. Ennek következményeként több amerikai színésznő személyes használatra készült képei kerültek nyilvánosságra. Sokan ennek örültek, az érintettek kevésbé... pedig ha tudnák, hogy ez a legtöbb esetben csupán az egyszerű jelszavak találgatásával valósulhatott meg. Íme az újabb bizonyíték arra, mennyire nehéz igazán biztonságos jelszót választani!

A közösségi oldalaktól eltérően a számlázó programok biztonságos használata kulcsfontosságú, már csak a benne tárolt adatok jellege miatt is. Erre a Billingo fejlesztésekor is különös hangsúlyt fektettünk. Az új verzióban ezt még tovább fokoztuk, hiszen itt már a kéttényezős bejelentkezés (Multi-factor authentication) is beállítható. Miért van erre szükség, miért lesz ettől biztonságosabb a Billingo fiókod és mit is jelent ez tulajdonképpen? Összegyűjtöttük.
Mit jelent a kétfaktoros bejelentkezés?
Eddig a Billingo fiókodba a regisztráció során megadott e-mail címmel és jelszóval tudtál belépni. Előfordulhat azonban, hogy a fiókodat egy másik számítógépről vagy böngészőből szeretnéd használni. Ha annak biztonságosságáról nem vagy 100%-osan meggyőződve, a kétfaktoros bejelentkezés miatt azonban ilyen esetekben is nyugodtan számlázhatsz.
A módszer lényege, hogy a bejelentkezéskor a program a felhasználó azonosításához nem egy, hanem két adatot kér. A második tényező több dolog is lehet pl. bankkártya, PIN kód, telefon, USB kulcs, ujjlenyomat vagy akár szem írisz is. Mi a telefon mellett döntöttünk, és természetesen ajánlunk hozzá megbízható és biztonságos alkalmazást is.
A felhasználónév és jelszó megadása után ez az ablak jelenik meg.
Hogyan működik?
Mi történik, ha felhasználóként egy ismeretlen helyről vagy egy másik böngészőből jelentkezel be a Billingo fiókodba? Két tényezős bejelentkezés esetén a felhasználó név és jelszó megadása után a telefonodra egy fix hosszúságú, 6 számjegyből álló jelszót kapsz. Ennek kiküldése egy speciális alkalmazás segítségével történik. A jelszó 30 másodpercig érvényes, megadása után a rendszer beléptet. Új jelszót pedig csak eszköz- vagy böngészőváltáskor kell ismételten kérned. Minden felhasználó egyedi jelszót kap, attól függetlenül, hogy egy időben próbálnak bejelentkezni.
Ezek használatát egyébként két nemzetközi szabvány szabályozza. Az időalapú egyszer használható jelszavak ( TOTP, RFC6238 ) és a HMAC alapú egyszer használható jelszavak ( HOTP, RFC4226 )
Milyen alkalmazást válassz?
A Billingónál a nemzetközi standard implementálása mellett döntöttünk, így bármely alkalmazás használható ami támogatja a TOTP algoritmust.
Mi azért ajánljuk a Google Authenticator alkalmazást, mert a használata egyszerű, ingyenes, és támogatja a személyes adatok QR-kódból való beolvasását is. (Androidra és iOS-re)
Nagyon fontos!
Egyik alkalmazás, így a Google Authenticator sem küld vagy tárol adatokat a mobiltelefonon kívül, az egyszeri jelszó internet kapcsolat nélkül is generálható.
Egyéb alkalmazások:
- Duo Mobile (Android és iOS)
- Authenticator (Windows Phone 7)
- Amazon AWS MFA (Android)
Ha nincs nálam a telefon?
Akkor sincs gond, ha nincs mindig nálad a telefonod. Az egyszer használatos jelszavakat ki is nyomtathatod. Ezek érvényessége nem időben, hanem darabban jár le, tehát miután felhasználtál egyet a jelszavak közül, utána a következőt kell használnod. Érdemes emiatt a lapon kihúzni a felhasznált jelszavakat.
Ezeket a nyomtatott lapokat tartsd mindig biztonságos helyen. Ha pedig véletlenül elveszne a lap vagy ellopnák, azonnal keresd fel az ügyfélszolgálatunkat, hogy érvényteleníthessük a jelszavaidat!
Hogyan tudom beállítani?
A kétlépcsős bejelentkezést a felhasználói fiókodban belépve, a Beállítások fül alatt tudod beállítani. Innen le tudod tölteni az alkalmazásokat is és a papíralapú jelszó listát is ki tudod nyomtatni.