Dvoufaktorové ověření se stalo pro mnohé klíčovým prvkem zabezpečení online účtů, ale současně může být i zdrojem nepříjemností. Při výměně nebo aktualizaci mobilního telefonu totiž aplikace Google Authenticator automaticky nepřenese uložené kódy – je nutné je migrovat manuálně.
Přesun kódů z Google Authenticatoru do nového zařízení sice není složitý, může však být poněkud zdlouhavý a časově náročný. Google to takto nastavil záměrně. Získání ověřovacích kódů z jiného zařízení než toho, které standardně používáte pro dvoufaktorové ověření, by nemělo být příliš jednoduché, jelikož by se tím zpochybnila celá podstata 2FA.
Následující text vám poradí, jak přesunout aplikaci Google Authenticator (včetně všech ověřovacích kódů) ze starého telefonu do nového. Ať už přecházíte mezi platformami, nebo zůstáváte v ekosystému iOS či Android, proces je totožný.
Přenesení Google Authenticatoru na nový telefon
Nejprve neprovádějte žádné změny v aplikaci Google Authenticator na vašem starém telefonu. Nechte ji v původním stavu, abyste se neocitli v situaci, kdy nemáte přístup k 2FA kódům před nastavením nového telefonu. Začněte instalací aplikace Google Authenticator na nové zařízení – buď Google Authenticator pro iPhone nebo Google Authenticator pro Android.
Dále budete potřebovat počítač. Otevřete stránku dvoufázového ověření Google ve webovém prohlížeči a po vyzvání se přihlaste ke svému účtu Google. V sekci „Aplikace Authenticator“ na stránce klikněte na „Změnit telefon“.
Zvolte typ telefonu, na který přecházíte, a klikněte na „Další“.
Nyní by se vám měla zobrazit obrazovka „Nastavení Authenticatoru“ s QR kódem. Spusťte Google Authenticator na novém telefonu a dle pokynů naskenujte QR kód. Klepněte na „Nastavit“ a poté na „Naskenovat čárový kód“.
Po naskenování budete vyzváni k zadání jednorázového kódu pro ověření, že vše funguje správně.
Přenos kódů Google Authenticator pro další služby
Gratulujeme! Úspěšně jste přesunuli ověřovací kód Google na nový telefon. Nicméně, to je vše – zatím jste nastavili pouze Google. Pravděpodobně máte k Google Authenticatoru připojeny i další aplikace a služby, jako například Dashlane, Slack, Dropbox, Reddit nebo další. Budete muset provést migraci každé z nich samostatně. Toto je ta časově náročná část, o které jsme mluvili na začátku.
Celý proces je však jednoduchý, i když se možná budete muset trochu prohrabat v nastaveních. Vyberte web nebo službu, kterou máte v Google Authenticatoru na starém telefonu, a přihlaste se na její webovou stránku nebo otevřete příslušnou aplikaci. Vyhledejte nastavení 2FA pro danou službu. Obvykle se nachází v sekci účtu, hesel nebo zabezpečení. Pokud služba nabízí mobilní nebo desktopovou aplikaci, může se nastavení nacházet i tam. Například nastavení 2FA pro Dashlane najdete v desktopové aplikaci, a ne na webu. Reddit umísťuje ovládací prvky 2FA na webu v nabídce „Uživatelská nastavení“ na kartě „Soukromí a zabezpečení“.
Po nalezení správného nastavení deaktivujte 2FA pro danou službu. Budete pravděpodobně muset zadat heslo k dané službě nebo případně ověřovací kód. Proto je důležité mít u sebe starý telefon a jeho Google Authenticator.
Nakonec znovu povolte 2FA a tentokrát naskenujte QR kód pomocí Google Authenticatoru na novém telefonu. Tento postup opakujte pro každou službu uvedenou ve staré verzi aplikace Google Authenticator.
Povolení 2FA na více zařízeních současně
V ideálním případě vám 2FA umožňuje ověřit vaše přihlašovací údaje pomocí mobilního telefonu nebo jiného zařízení, které máte neustále u sebe a ke kterému máte přístup pouze vy. To pro hackery velmi ztěžuje prolomení systému, protože (na rozdíl od získávání kódů prostřednictvím SMS, které není zvlášť bezpečné) nemají snadný způsob, jak získat druhý faktor autorizace, který se generuje v lokální aplikaci ve vaší kapse.
Jak to funguje? Když do Google Authenticatoru přidáte novou službu, vygeneruje se QR kód s tajným klíčem. Ten informuje vaši aplikaci Google Authenticator, jak generovat neomezený počet časově omezených jednorázových hesel. Jakmile naskenujete QR kód a zavřete okno prohlížeče, tento QR kód nelze vygenerovat znovu a tajný klíč se uloží do vašeho telefonu.
Pokud by se Google Authenticator dokázal synchronizovat mezi více zařízeními, musel by tajný klíč nebo jeho ověřovací kódy existovat v cloudu, což by ho učinilo zranitelným vůči útokům. Proto Google neumožňuje synchronizaci kódů mezi zařízeními. Existují ale dva způsoby, jak udržovat ověřovací kódy na více zařízeních zároveň.
První možnost je, že když přidáváte novou službu do Google Authenticatoru, můžete QR kód naskenovat na více zařízeních najednou. Web, který vygeneruje QR kód, nezjistí (nebo mu je to jedno), že jste ho naskenovali. Můžete ho naskenovat do libovolného počtu dalších mobilních zařízení a každá kopie aplikace Google Authenticator vygeneruje stejný šestimístný kód.
Tento postup se však nedoporučuje. Zaprvé tím rozšiřujete vaše ověřovací kódy na více zařízení, která se mohou ztratit nebo být odcizena. Ale co je důležitější, protože nejsou synchronizované, riskujete, že se různá zařízení vzájemně rozsynchronizují. Pokud potřebujete vypnout 2FA pro danou službu a pak ji znovu aktivovat pouze na jednom zařízení, je možné, že už nebudete vědět, které zařízení má nejaktuálnější a správné ověřovací kódy. Může to vést k problémům.
Použijte Authy pro snadnější správu
Ověřovací kódy je možné synchronizovat mezi zařízeními, ale Google Authenticator to neumí. Pokud chcete flexibilitu a mít všechny své 2FA kódy na více zařízeních, doporučujeme Authy. Funguje se všemi službami, které používají Google Authenticator, a šifruje kódy pomocí vašeho hesla a ukládá je do cloudu. To usnadňuje používání více zařízení a migrace. Šifrovaná cloudová synchronizace nabízí rovnováhu mezi zabezpečením a pohodlím.
S Authy nemusíte nastavovat dvoufaktorové ověření pro všechna vaše zařízení pokaždé, když přejdete na nový telefon. Doporučujeme přejít z aplikace Google Authenticator na Authy, aby se proces migrace v budoucnu zjednodušil.