(Jeśli jesteś obecnie zablokowany, możesz przejść do ostatniej sekcji.)

Jeśli celowo pozbywasz się telefonu…

Jeśli wiesz, że zmieniasz telefony, upewnij się, że przełączasz się na inne urządzenie do uwierzytelniania dwuskładnikowego (lub żadnego, tymczasowo), zanim pozbędziesz się starego telefonu. Dla łatwego dostępu, tutaj jest kilka linków do gdzie można zmienić swoje ustawienia dwuskładnikowe, jeśli masz już włączone dla niektórych wspólnych usług (lub dowiedzieć się, jak to zrobić). Uwaga, te linki będą prawdopodobnie działać tylko wtedy, gdy jesteś zalogowany do swojego konta.

• Google
• Dropbox
• Twitter
• LastPass: Otwórz LastPass w sieci, kliknij Ustawienia > Opcje multifactor
• 1Password
• Discord
• Twitch

Proces różni się w zależności od usługi, ale podstawowa zasada jest taka sama. Zainstalujesz aplikację na swoim nowym urządzeniu, zeskanujesz kod kreskowy lub wprowadzisz kod z danej strony internetowej i potwierdzisz, że jesteś w posiadaniu urządzenia. W większości przypadków stare uwierzytelniacze przestaną działać, więc upewnij się, że jesteś pewien przed wymianą.

Jeśli używasz SMS-ów, zmiana telefonu nie powinna mieć znaczenia. Po prostu aktywuj nowy telefon, a kody przyjdą na Twój numer telefonu. Jeśli używasz aplikacji uwierzytelniającej (polecamy Authy, o której porozmawiamy za chwilę), możesz prawdopodobnie zamienić urządzenie uwierzytelniające za pośrednictwem ustawień konta.

Zawsze zapisuj swoje jednorazowe kody zapasowe

Nie możemy tego wystarczająco podkreślić. Zapisz swoje kody zapasowe. Jeśli kiedykolwiek z jakiegokolwiek powodu zostaniesz zablokowany na swoim koncie, w tym zapomnisz wyłączyć swój uwierzytelniacz przed oddaniem go (lub nie będziesz mógł, jeśli telefon zostanie skradziony), kody zapasowe to najlepszy i najprostszy sposób na odzyskanie dostępu do konta. Możesz następnie skonfigurować nowy uwierzytelniacz, prawdopodobnie wygenerować nowe kody zapasowe i być tak bezpiecznym, jak nigdy wcześniej.

Prawdopodobnie słyszałeś, że nie powinieneś zapisywać swojego hasła, ale te kody jednorazowe są wyjątkiem. Zdecydowanie powinieneś je wydrukować lub zapisać i przechowywać w miejscu, w którym będziesz mógł je znaleźć. Idealnie byłoby, gdyby były one oddzielone od telefonu, być może w ognioodpornym pudełku lub sejfie z innymi ważnymi dokumentami papierowymi. Nie zapisuj ich po prostu w dokumencie Worda na swoim laptopie, ponieważ jeśli twój laptop kiedykolwiek umrze (lub zostanie skradziony), masz pecha.

W przeciwieństwie do twoich kodów uwierzytelniających, te kody jednorazowe nie zmieniają się. Większość witryn poinformuje Cię również, kiedy zostały użyte, lub przynajmniej oznaczy je poza listą możliwych do wykorzystania kodów. Na przykład Google oferuje dziesięć kodów zapasowych. Kiedy użyjesz jednego z nich, lista kodów spada z dziesięciu do dziewięciu (nie są one natychmiast uzupełniane), a Ty dostajesz e-mail z informacją, że kod został wykorzystany. Oznacza to, że nawet jeśli ktoś znajdzie Twoje kody zapasowe i użyje ich, aby uzyskać dostęp do Twojego konta, trudno będzie mu to zrobić w sposób niezauważony.

Używaj aplikacji uwierzytelniającej innej firmy, takiej jak Authy

Jak już wcześniej rozmawialiśmy, Authy to świetna aplikacja do zarządzania kontami dwuskładnikowymi na iPhonie, Androidzie, a nawet na komputerze. Nie tylko daje to „kopii zapasowej” urządzenia w przypadku utraty telefonu, ponieważ tokeny synchronizować między różnymi urządzeniami, ale także sprawia, że bardzo łatwo migrować swoje tokeny z jednego urządzenia do drugiego (powiedzmy, jeśli jesteś coraz nowy telefon). Wystarczy zsynchronizować nowe urządzenie i dezautoryzować stare.

Aby skonfigurować zsynchronizowane tokeny na swoich urządzeniach, musisz najpierw skonfigurować aplikację Authy jako podstawową aplikację uwierzytelniania dwuskładnikowego. Jeśli obecnie używasz Google Authenticator lub innej aplikacji, aby uzyskać swoje kody, trzeba będzie przejść przez swoje konta i skonfigurować Authy, prawdopodobnie za pomocą kodu QR, który trzeba będzie zeskanować, tak jakbyś przełączał się na zupełnie nowe urządzenie. Następnie wykonaj następujące czynności, aby zsynchronizować aplikację Authy z drugim urządzeniem:

1. Otwórz Ustawienia w aplikacji Authy na głównym urządzeniu i dotknij opcji Urządzenia.
2. Włącz opcję „Zezwalaj na korzystanie z wielu urządzeń.”
3. Na drugim urządzeniu zainstaluj aplikację Authy.
4. Przy pierwszym otwarciu aplikacji zostanie wyświetlony monit o podanie numeru telefonu. Wprowadź numer telefonu urządzenia głównego.
5. W oknie podręcznym z napisem „Pobierz weryfikację konta przez” stuknij opcję „Użyj istniejącego urządzenia.”
6. Na urządzeniu głównym zostanie wyświetlone powiadomienie z prośbą o sprawdzenie dodania nowego urządzenia. Stuknij „Akceptuj.”
7. Wpisz „OK” w polu wyświetlanym w celu upewnienia się, że zatwierdzasz tę decyzję.
8. Powróć do Ustawień na urządzeniu głównym i ponownie stuknij „Urządzenia”.
9. Wyłącz opcję „Zezwalaj na wiele urządzeń”. Zapobiega to dodawaniu jakichkolwiek dodatkowych urządzeń, podczas gdy istniejące podłączone urządzenia pozostają aktywne.

Dobrym pomysłem jest również włączenie kodu PIN (lub blokady linii papilarnych/twarzy) dla wszystkich urządzeń podłączonych do Authy.(Będziesz musiał to zrobić dla każdego urządzenia indywidualnie w Moje konto > Zabezpieczenia). W ten sposób, nawet jeśli ktoś uzyska fizyczny dostęp do Twojego urządzenia, trudniej będzie mu zobaczyć Twoje kody.

Dla tych, którzy obawiają się o bezpieczeństwo tej metody: wszystkie twoje tokeny uwierzytelniania są szyfrowane lokalnie (przy użyciu złożonego hasła, a nie czterocyfrowego kodu PIN, który chroni samą aplikację), więc ani serwery Authy, ani żadna węsząca strona trzecia po drodze nie powinna mieć dostępu do tokenów.

Zdobądź telefon zastępczy dla zapasowych kodów uwierzytelniających SMS

Choć niektóre metody uwierzytelniania wymagają aplikacji, prawie wszystkie przynajmniej oferują użycie kodu SMS jako opcji zapasowej. Nie jest to tak bezpieczne rozwiązanie, jak dedykowana aplikacja uwierzytelniająca lub token sprzętowy, ale jeśli zgubisz swój telefon, uzyskanie urządzenia zapasowego i aktywowanie go u operatora pozwoli Ci na wysyłanie wiadomości tekstowych na numer telefonu przypisany do Twojego konta.

Wady? Wiadomości tekstowe są o wiele bardziej hackable nawet jeśli ktoś nie ma dostępu do urządzenia, w tym przerażające sim-swap ataku. Oczywiście, napastnik będzie również potrzebował Twojego hasła, aby zrobić cokolwiek z konkretnym kontem, ale uwierzytelnianie tekstowe pozostaje mniej bezpieczną metodą niż uwierzytelnianie dwuskładnikowe, ponieważ wymaga to fizycznego dostępu do urządzenia uwierzytelniającego, aby włamać się na Twoje konta.

Co zrobić, jeśli zostaniesz zablokowany (i nie jesteś przygotowany)

Mimo że masz kilka sposobów na przygotowanie się na najgorsze, rzeczy się zdarzają. Twój telefon wpadł do studni, zgubiłeś swoją karteczkę samoprzylepną z kodami zapasowymi, a dziś właśnie zdarzył się dzień, w którym twoje konto Google poprosiło cię o ponowną weryfikację. Pech.

Czasami możesz jeszcze zadzwonić lub wysłać wiadomość do firmy, która prowadzi usługę, do której próbujesz uzyskać dostęp. Zła wiadomość jest taka, że proces odzyskiwania konta może często zająć kilka dni roboczych, zakładając, że firma może to zrobić. Inne firmy (takie jak Discord) poinformują Cię, że jeśli opcje tworzenia kopii zapasowych zawiodą, nie będą w stanie zapewnić Ci dostępu do konta. Będziesz musiał założyć zupełnie nowe konto, co nie jest idealnym rozwiązaniem.

Dlatego tak ważne jest, aby być na bieżąco z opcjami tworzenia kopii zapasowych. Jednak w przypadku najgorszego, oto kilka linków z informacjami o tym, jak (lub czy) można odzyskać dostęp do konta w różnych usługach:

• Google
• Dropbox
• Twitter
• LastPass
• 1Password

Jak zawsze, odrobina prewencji jest warta szamotaniny i bólu serca związanego z próbą odzyskania dostępu do wszystkich swoich krytycznych kont po utracie urządzenia uwierzytelniającego.

Ta historia została pierwotnie opublikowana w dniu 12/19/14 i została zaktualizowana o bardziej aktualne informacje w dniu 10/18/19.

.