Zaufane urządzenia (Remember device przy 2FA)

3 min czytania

Jeśli ma Pan/Pani włączone 2FA i chce przy logowaniu ze zwykłego PC lub telefonu pominąć 6-cyfrowy kod, proszę zaznaczyć "Zapamiętaj to urządzenie" - przez 30 dni nie będziemy ponownie pytać o TOTP.

Jak to działa

1. Przy pierwszym pomyślnym logowaniu 2FA na danym urządzeniu proszę zaznaczyć "Zapamiętaj to urządzenie"
2. Zapiszemy w przeglądarce ciasteczko HTTP-only z podpisanym tokenem (HMAC, nie da się go zmanipulować)
3. Przy kolejnym logowaniu (ta sama przeglądarka, to samo urządzenie) odnajdziemy to ciasteczko i pominiemy krok 2FA
4. Po 30 dniach token wygasa i trzeba będzie ponownie wprowadzić TOTP

Zarządzanie zaufanymi urządzeniami

W Ustawieniach -> sekcja Bezpieczeństwo -> Zaufane urządzenia widzi Pan/Pani listę:

• Nazwa urządzenia (z user-agenta - np. "Chrome na Windows 11")
• IP i kraj ostatniego logowania
• Data dodania i ostatniego użycia
• Przycisk Usuń - natychmiast cofa zaufanie (ciasteczko zostanie odrzucone przy następnym żądaniu)

Kiedy usunąć urządzenie

• Jeśli zalogował się Pan/Pani na obcym lub publicznym PC (kawiarnia, biblioteka)
• Jeśli zgubił/sprzedał Pan/Pani laptop lub telefon
• Jeśli widzi Pan/Pani na liście urządzenie, którego nie rozpoznaje (oraz IP / kraj)

Zabezpieczenia

• Podpis HMAC: token jest podpisany sekretem po stronie serwera - atakujący nie może wytworzyć ważnego ciasteczka bez złamania sekretu
• HTTP-only: JavaScript na stronie nie widzi ciasteczka (ochrona przed wyciekiem XSS)
• Flaga Secure: ciasteczko jest wysyłane tylko przez HTTPS
• Per-account: token zawiera user ID - ciasteczko skradzione z konta A nie zadziała na koncie B
• Auto-expiry: 30 dni ważności, potem trzeba ponownie wprowadzić TOTP
• Przy zmianie hasła (przez "Zapomniane hasło" lub reset hasła) wszystkie zaufane urządzenia są automatycznie usuwane - atakujący z ciasteczkiem już nie będzie mógł pominąć 2FA