Pomoc i poradnikiBezpieczeństwo konta › Zaufane urządzenia (Remember device z 2FA)

Zaufane urządzenia (Remember device z 2FA)

3 min czytania · Bezpieczeństwo konta

Jeśli masz włączone uwierzytelnianie dwuskładnikowe (2FA) i chcesz przy logowaniu ze zwykłego komputera lub telefonu pominąć sześciocyfrowy kod, zaznacz "Zapamiętaj to urządzenie". Przez 30 dni nie będziemy ponownie pytać o kod jednorazowy (TOTP).

Ustawienia konta - e-mail, hasło, 2FA i zaufane urządzenia
Sekcja Konto: tutaj zarządzasz 2FA oraz zaufanymi urządzeniami.

Jak to działa

  1. Przy pierwszym pomyślnym logowaniu z 2FA na danym urządzeniu zaznacz "Zapamiętaj to urządzenie".
  2. W przeglądarce zapisujemy losowy token bezpieczeństwa (256 bitów). Na serwerze przechowujemy tylko jego hash (SHA-256), więc tokenu nie da się odgadnąć ani wyprowadzić - atakujący nie wytworzy ważnego ciasteczka.
  3. Przy kolejnym logowaniu w tej samej przeglądarce odnajdujemy to ciasteczko i pomijamy krok 2FA.
  4. Po 30 dniach ciasteczko wygasa i trzeba będzie ponownie wprowadzić kod jednorazowy.

Zarządzanie zaufanymi urządzeniami

W Ustawieniach w sekcji Konto -> Zaufane urządzenia widzisz listę:

  • Nazwa urządzenia wyprowadzona z przeglądarki (na przykład "Chrome na Windows 11").
  • Adres IP i kraj ostatniego logowania.
  • Data dodania i ostatniego użycia.
  • Przycisk Usuń - natychmiast cofa zaufanie, a przy kolejnym logowaniu z tego urządzenia ponownie wymagany będzie kod 2FA.

Kiedy usunąć urządzenie

  • Zalogowałeś się na cudzym lub publicznym komputerze (kawiarnia, biblioteka).
  • Zgubiłeś lub sprzedałeś laptop albo telefon.
  • Na liście widzisz urządzenie, którego nie znasz (obcy adres IP, nieznany kraj).

Zabezpieczenia

  • Losowy token po stronie serwera: do przeglądarki trafia tylko losowy 256-bitowy token, serwer przechowuje wyłącznie jego hash SHA-256 i porównuje go - atakujący nie wytworzy ważnego ciasteczka.
  • JavaScript nie ma dostępu do ciasteczka: ochrona przed tym, by mógł je wykraść złośliwy skrypt na stronie.
  • Tylko przez połączenie szyfrowane: ciasteczko jest wysyłane wyłącznie przez HTTPS.
  • Powiązane z kontem: ciasteczko z konta A nie zadziała na koncie B.
  • Automatyczne wygaśnięcie: po 30 dniach 2FA jest znów wymagane.
  • Przy zmianie hasła (przez "Zapomniane hasło" lub zmianę ręczną) wszystkie zaufane urządzenia są automatycznie usuwane. Nawet gdyby atakujący miał Twoje stare ciasteczko, nie pominie już 2FA.
Czy ten poradnik był pomocny?