- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Random, hogy melyiket, de valamelyiket biztosan beállítom
Kivulrol nezve talan az lehet, de a "veletlen" helyett en inkabb az "elokeszitett dontes" kifejezest alkalmaznam..
- A hozzászóláshoz be kell jelentkezni
Beállítom azt amit a szekusok megkövetelnek - de azok közül a legegyszerűbbet.
Valamennyire képben vagyok biztonságtechnikai szempontból, ám nem tisztem azzal pepecselni hogy melyik threat model a legvalószínűbb támadási vektor, illetve annak én mennyire vagyok kitéve - lásd: https://xkcd.com/538/ .
- A hozzászóláshoz be kell jelentkezni
Tovabbra se ertem hogy a userek idegesitesen kivul mivel jobb ha a password managerbol ket elemet kell kimasoljak egy helyett...
Az extra jo meg ugye azok a szolgaltatasok ahol pattognak kotelezo 2FA miatt, de valahogy a mobilapp az degradalodik 1FA-ra.
I hate myself, because I'm not open-source.
- A hozzászóláshoz be kell jelentkezni
azert, mert egy nagyobb site-on napi millios nagysagrendben megy a known email+pass -ok probalgatasa. en voltam ott, lattam uzemeltetoi oldalrol. amit tenni tudsz, az a gyanus login-eknel captcha, az tipikusan tul dragava teszi a scan-t. de ha biztosra akarsz menni, akkor biza' 2fa, kotelezoen. mert a user hulye, es ujrahasznalja ugyanazt a jelszot evtizedeken at mindenhol...
- A hozzászóláshoz be kell jelentkezni
mivel jobb ha a password managerbol ket elemet kell kimasoljak egy helyett
Ez semmivel sem jobb. A két faktorosnak éppen az a lényege, hogy két különböző helyről származó jelszót adsz meg. Egyik helyet feltörik, akkor is ott a másik, ami tovább védi.
valahogy a mobilapp az degradalodik 1FA-ra.
Mobil appoknál jellemzően a biometrikus a második faktor, amit könnyen biztosítanak.
- A hozzászóláshoz be kell jelentkezni
Amit irsz az nem jo 2FA
- A hozzászóláshoz be kell jelentkezni
Most akkor jegyezzem meg 100 oldal mind kulonbozo de secure jelszavat?
I hate myself, because I'm not open-source.
- A hozzászóláshoz be kell jelentkezni
Ugyanazt a jelszot hasznalod mindenhol ?
- A hozzászóláshoz be kell jelentkezni
Nem? Hogy jott ez a hozzaszolasombol?
I hate myself, because I'm not open-source.
- A hozzászóláshoz be kell jelentkezni
a legviccesebb, amikor ott az X faktor, aztan meg a reset password meg kimegy emailben es ennyi... ugye a leggyengebb lancszem szamit.
IMHO a microsoft xbox account a legnormalisabb: nem is tokolnek usernev/jelszoval, csak siman kuldenek egy email-t, benne koddal, es azzal tudsz belepni. az email-ed vedelmet meg oldd meg te.
Az ikea-nak is van hasonlo.
En azert odzkodom a 2+ faktortol, mert amikor elveszik valamiert, es komolyan gondoljak a vedelmet (pl. github/google), hat az egy iszonyat szivas. minap pl. telefont csereltem, es az opensource google authenticator app, az aegis, nem backup-olta magat. idegbaj a kobon, lehetett komplett usert ujracsinalni azure-on, es meg sorolhatnam. nem vicces.
- A hozzászóláshoz be kell jelentkezni
mert amikor elveszik valamiert
De miért veszik el? Két hw token, egyik nálam, másik páncélban, plusz kinyomtatva a recovery. Hogy tudna elveszni?
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ok, tipikusan mobilcserenel lehet ilyen, ha elfelejted exportalni a 2fa app-bol.
hw token siman meg tud dogleni, meg elveszteni se nehez.
kinyomtatott recovery: szoval akkor aki betor az irodaba, az rogton full hozzaferest kap az accodhoz? :)
ez a szep a security-ben, hogy hiaba tolod tul, akkor is gyenge marad :/
- A hozzászóláshoz be kell jelentkezni
ok, tipikusan mobilcserenel lehet ilyen, ha elfelejted exportalni a 2fa app-bol.
Androidon a rendszerköltöztető automatikusan átviszi a Google Authenticator bejegyzéseket. MS Authenticator-t kell kézzel egyengeti, de miért felejtenéd el?
hw token siman meg tud dogleni, meg elveszteni se nehez.
Ezért van belőle kettő legalább.
kinyomtatott recovery: szoval akkor aki betor az irodaba, az rogton full hozzaferest kap az accodhoz? :)
Honnan tudja, hogy mihez van kinyomtatva random kódsor? De, tárolhatod titkosított jelszószéfben is.
ez a szep a security-ben, hogy hiaba tolod tul, akkor is gyenge marad :/
Ebben semmi sincs túltolva, de ha nem értesz hozzá/nem akarsz vele foglalkozni, az nyilván könnyebb.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Androidon a rendszerköltöztető automatikusan átviszi a Google Authenticator bejegyzéseket.
De rendes tőlük, hogy veled is megosztják, nem csak a CIA-vel.
- A hozzászóláshoz be kell jelentkezni
A költöztető az eszközök között másol direktben, ha jól rémlik - de ha nagyon para, akkor fogod magad, és az egyik eszközön kijelölöd az összeset, export - a QR-kódot/kódokat megmutatod az új eszköznek, és máris ott van az összes úgy, hogy hálózaton egy bit sem ment át belőle.
- A hozzászóláshoz be kell jelentkezni
Androidon a rendszerköltöztető automatikusan átviszi
a google authenticator szerintem nem atviszi, hanem a cloudban tarolja.
az adb backup + restore nem visz at, csak amit az app annak jelol. az erzekeny dolgokat tipikusan direkt nem jelolik annak. Nekem pl. az aegis-t hiaba adb backup-oltam, a privat cuccot nem vitte at. Ugyhogy szepen kizartam magam tobb helyrol is egyszerre. Akkor jottem ra, milyen ubergaz is a 2fa. Sajnos nagyon konnyu account lockout-ot csinalni vele.
Ezért van belőle kettő legalább.
nem olyan olcsok ezek.
Honnan tudja, hogy mihez van kinyomtatva random kódsor? De, tárolhatod titkosított jelszószéfben is.
Es te honnan fogod tudni? :) 3 ev mulva, veszhelyzetben kellene, es nem fogod megtalalni, mert marika kozben 5x atrendezte a szefet.
Vagy marika nem tudta mire velni, rakerdezett, aztan rairta postit-re, hogy mi az es kie.
Tudom, nalatok ilyen sosincs, de nezzuk az altalanos, gyakorlati oldalat a dolognak: a kinyomtatott recovery-k jelentos resze igy vegzi, vagy nem talaljak, amikor kene, vagy feliratozva van, hogy kinek mije az, hogy megtalaljak, amikor kell. Ez meg igy igazabol megint 1fa -ra sovanyitja a vedelmet.
- A hozzászóláshoz be kell jelentkezni
a google authenticator szerintem nem atviszi, hanem a cloudban tarolja
Ez lényegtelen.
az adb backup + restore nem visz at
A Google Android költöztetője átviszi, legutóbb novemberben csináltam. A Google Auth. minden tartalmát áttette.
nem olyan olcsok ezek.
Pontosan tudom mennyi, mert kettőt vettem belőle. Lófasz összeg (még itthoni mércével is) a védett értékekhez képest.
Es te honnan fogod tudni? :) 3 ev mulva, veszhelyzetben kellene, es nem fogod megtalalni, mert marika kozben 5x atrendezte a szefet.
Saját széfben tárolom.
Vagy marika nem tudta mire velni, rakerdezett, aztan rairta postit-re, hogy mi az es kie.
Fogalmam sincs, hogy a misztikus marika hogyan jön ide.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez lényegtelen.
A Google Android költöztetője átviszi, legutóbb novemberben csináltam. A Google Auth. minden tartalmát áttette.
mar hogy lenne lenyegtelen. nyilvan nem nagy ugy "atvinni" a semmit, vagyishogy nem is kell koltoztetni, mert csak belepsz az uj mobilra a google accounttal, es lesync-eli neked a felhobol... az nem 'atmasolas', az cloud sync. es persze megvan a sajat rakfeneje es negativuma, mint tudjuk.
a tobbire nem valaszolok; nyilvan latod te is, hogy a "no paper recovery"-hez kepest a "yes paper recovery" nyilvan kevesbe biztonsagos, egy extra tamadasi felulet, akarmit csinalsz vele.
- A hozzászóláshoz be kell jelentkezni
Oké, te itt azt bizonygatod, hogy hülyeség a 2FA/MFA, mert az egyik faktort mindenféle zavaros elméleted mentén kompromittálhatják. Ezért inkább hagyjuk a fenébe. Még úgy is, hogy ha csak egy faktor van, akkor az is kompomittálható. Szerintem a kettő (vagy több) az több, mint egy. Ezzel nehezen lehet vitatkozni.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
nem, nem ezt mondtam. mirol beszelsz?
- A hozzászóláshoz be kell jelentkezni
En azert odzkodom a 2+ faktortol, mert amikor elveszik valamiert, es komolyan gondoljak a vedelmet (pl. github/google), hat az egy iszonyat szivas
Akkor tedd tisztába, hogy ez az állításod mit jelent ^
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Az adb backup/restore mennyiben "normál" felhasználásra van, és mennyire nem? És azt lehet-e mindenféle azonosítás nélkül használni? Nem a 2FA az "ubergaz", hanem a Schrödinger-backup, az, amit úgy teszel el, hogy nincs ellenőrizve legalább annyira, hogy a legfontosabb/kritikus adatok valóban mentésre kerültek-e, és azok rendben vissza is állíthatók a backup-ból...
"3 ev mulva, veszhelyzetben kellene" DR-tesztet illik ennél jóval gyakrabban csinálni.
- A hozzászóláshoz be kell jelentkezni
adb localgepen megy, usb kabelen.
nemtom, mennyire kommersz, alapvetoen mindegyik 'droidban ott a developer mode, azt bekapcs, es megy is. en mindig megcsinalom.
- A hozzászóláshoz be kell jelentkezni
> legviccesebb, amikor ott az X faktor, aztan meg a reset password meg kimegy
ott nem az megy ki aki nem tud enekelni?
- A hozzászóláshoz be kell jelentkezni
Igazából a leggyengébb láncszemek a fő emailcímem és a telefonom. Ez a kettő (és sajnos nem feltétlenül egyszerre ez a kettő, külön-külön is) egy "kulcs a kiránysághoz", minden más identitást át lehet venni vele. Ha az emailre van kétfaktoros, akkor a telefon az egyetlen, és az a legijesztőbb, hogy hiába van hiperszuper androidos-iPhone-os készüléktitkosítás, ha valaki egyszer, hamis papírokkal bemegy a Telekomhoz, és egy szükség esetén megkent ügyintézővel új SIM-kártyát igényel a nevemre. Akkor baszhatom a kétfaktorost az emailemre, meg mindenhova máshova is.
- A hozzászóláshoz be kell jelentkezni
Az sms, mint 2. faktor ezért _sem_ jó megoldás.
- A hozzászóláshoz be kell jelentkezni
Igen, viszont még mindig a legkisebb közös többszörös, a teljes populációt nézve. Ma (majdnem) mindenki használ valamilyen netes szolgáltatást, az okké, hogy te használsz Yubikeyt, RSA OTP kulcsot, mittudomén, de ilyeneket többmillió magyarnak egyelőre senki sem hajlandó kiosztani, és főleg nem betanítani.
- A hozzászóláshoz be kell jelentkezni
Okostelefon ott van, egy authenticator app nem űrtechnológia...
- A hozzászóláshoz be kell jelentkezni
Akkor is van egy kulcs lementve valahol. Ha ellopják a készülékedet, akkor valahogy, valamilyen jelszóval újra fel kell raknod az appot az új telefonra. Vagy ha backupból állítom helyre az ellopott telefon tartalmát, akkor a backuphoz kell hozzáférni valahogy. Vagy tévednék?
- A hozzászóláshoz be kell jelentkezni
A banki alkalmazásomhoz a telefonon lévő sw-token a hozzáférés. Ugyanakkor több készülékhez is lehet sw-tokent készíteni (sok alkalmazásnál ez nem lehetséges, pl. a broker alkalmazáshoz sem - sajnos), így a backup a tablet. Nyilván mindkettőt el lehet lopni vagy elromolhat - akár egyszerre is -, de ennek jóval kisebb az esélye. Ekkor be kell menni a bankfiókba és személyes azonosítással elintézni a többit.
Vagyis ha egy telefonhoz kötött azonosítás backupolható másik hasonlóan védett eszközre, akkor nem olyan para a dolog.
- A hozzászóláshoz be kell jelentkezni
a legviccesebb, amikor ott az X faktor, aztan meg a reset password meg kimegy emailben es ennyi... ugye a leggyengebb lancszem szamit.
Nem mindegy milyen emailt használsz, azt sem egyszerű feltörni, ha jól van megcsinálva. Ráadásul pont erre jó a több faktor, mert a többi még továbbra is véd.
- A hozzászóláshoz be kell jelentkezni
"lehető legerősebbet"
Homályosíts már fel ezekről az erőviszonyokról
- A hozzászóláshoz be kell jelentkezni
attol fugg mennyire fontos az a fontos. keves olyan van, ahol megeri a kenyelmetlenseget.
- A hozzászóláshoz be kell jelentkezni
Olyat kell, amihez kell a telefonod, a bankszámlaszámod, az ip címed, az életed és egy állandó érzékelő az ánuszodban, hiszen bármit fel lehet adni a biztonságért. Emellett leehtőség szerint naponta 2x kelljen jelszót váltani, amit ha elfelejtesz, kezdődhet az azonosítási procedura előről.
Éljen a kétfaktor! Szerencsére májustól mindenhez is kétfaktoros belépés kell majd nálunk is. Elég, ha cserélek telefont, és akkor nem fog menni:
neptun, jegybeírás
vizsgahirdetés
tantárgyhirdetés,
vpn
word/office szolgáltatások.
Így érik el, hogy inkább ne is használjuk a rendszert, mert kényelmetlen a használata. És így lépünk vissza a biztonságban, csak mert a retardált IT-s egy telibevert csúszkát felkúrt a maximumra. (welcome back freemailen tolt hivatalos adatok kora)
De, ha egy betegadatot el akarok érni, akkor be kell lépjek a gépbe felhasználónév/jelszóval, program elindít, másik unikum felhasználónév/jelszóval,(mert a programnak system jogkör kell, igen, ez teljesen jó, ha egy kórházadatbázis rendszer szoftver system joggal fut a PC-n) utána a program elindul, belép egy harmadik felhasználónév/jelszó-val (mind különböző), majd utána eeszt, felhasználónév, és a mobilapp által generált kód, amibe természetesen jelszóval lépek be. 4db telibevert felhasználónév/jelszó, amit még megfejelhetünk azzal, ha vpn-nel jelentkezem be, ahová megint egy ötödik felhasználónév/jelszó kell.
És csodálkozik az IT, ha ezek jó részét a kollégák kiírják a monitorra cetlire. Mert életszerű 5 felhasználónév/jelszó párost ismerni egy telibevert programindításhoz. És csodálkozik a hupos csóka, aki a múltkor verte magát, hogy valaki tökmás nézte meg EESZT-n az adatait, hát PERSZE, azzal az userrel nézzük, aki épp be van lépve. Senkinek nincs 5 perce a fenti kombóra.
10 faktoros bejelentkezés vagy semmi én azt mondom.
- A hozzászóláshoz be kell jelentkezni
"Elég, ha cserélek telefont, és akkor nem fog menni" - ez erősen PEBKAC lesz, ha így történik, mert biza' az authenticator alkalmazások (msauth és a ga is) ment a felhőbe _is_ ha kéred, illetve a GA-ból tudsz QR-kóddal exportálni/importálni akár csillió kódot is egyszerre. Szóval a költöztetés simán megy - ha nem felejted el.
- A hozzászóláshoz be kell jelentkezni
Mennyire biztonságos a hiperszuper dolgaidat abba az authenticatorba menteni, ami magán jellegű? Vagy abba mented, aminek az eléréséhez kell a kétfaktoros azonosítás, ami életszerűtlen céges mobilszám hiányában. Vagy magán mobilra menjen az azonosítás, vagy magán emailcímre, akár freemailre? Hol itt a sechole?
- A hozzászóláshoz be kell jelentkezni
"De, ha egy betegadatot el akarok érni, akkor be kell lépjek a gépbe felhasználónév/jelszóval, program elindít, másik unikum felhasználónév/jelszóval,(mert a programnak system jogkör kell, igen, ez teljesen jó, ha egy kórházadatbázis rendszer szoftver system joggal fut a PC-n) utána a program elindul, belép egy harmadik felhasználónév/jelszó-val (mind különböző), majd utána eeszt, felhasználónév, és a mobilapp által generált kód, amibe természetesen jelszóval lépek be. 4db telibevert felhasználónév/jelszó, amit még megfejelhetünk azzal, ha vpn-nel jelentkezem be, ahová megint egy ötödik felhasználónév/jelszó kell."
A kőkorszaki megoldásokkal nem igazán lehet mit kezdeni azon kívül, hogy lecserélni olyanra, ami mondjuk AD-ból authentikál, és/vagy a bejelentkezett/alkalmazást futtató usert használja a jogosultságok kezelésére.
A normális SSO és a 2FA az bőven odébb lesz...
- A hozzászóláshoz be kell jelentkezni
ezt az egészet azért erőltetik mert a (l)userek képtelenek (és nem is akarnak) megfelelően erős - és egyedi - jelszót használni.
szerintem aki:
- jelszókezelőt használ,
- egyedi jelszót mindenhová
- megfelelően erős jelszót,
annak a 2. 3. x. faktor csak időhúzás, nem lesz semmi sem biztonságosabb ettől.
Főleg, ha az a 2. faktor ugyan azon a hiperbiztosnágos, backdooros, ujjlenyomatozós mobiltelefonon van.
Bizonyos esetekben természetesen van értelme, 2. 3. faktornak, de a gyakorlatban már az is ritka ahol a 2FA valóban kölönbözik az elsőtől (usernév/jelszó)
sőt, a legtöbb 'nagyon biztonságos' hely is csak azért tolja ezt ész nélkül, hogy a compliance meglegyen.
Kizárólag ez érdekli őket a valós biztonság szinte soha...
szerintem.
- A hozzászóláshoz be kell jelentkezni
A _statikus_ jelszót elég egyszer ellopni, ezt azért ne tessék elfelejteni...
- A hozzászóláshoz be kell jelentkezni
értem... és??
ha a fentieket valaki betartja, akkor 1 azaz egy szolgáltatás érintett.
Sokkal inkább érdekes, hogy hogyan lopják azt el?
1. a szolgáltató tárolta nem megfelelően?
2. az eszköz ahonnan használod van/volt feltörve?
3. 'shoulder surfig'/social engineering/scam áldozata lettél?
De választ is adok, általában az 1. pont miatt tudják 'ellopni' a jelszavakat, és azzal máshol is bepróbálkoznak - ez megint csak azokat érinti akik nem tartják be a fentieket... ÉS a szolgáltató gondatlansága okozta a kárt!
Ha meg csak simán gagyi a jelszó... és kitalálják/feltörk - tehát nem ellopják - az megint csak user error - mert nem tartotta be a fentieket.
a 2, 3. eset arról árulkodik, hogy a luser képzetlen - de ennek mellékhatásaként várhatóan a fentieket sem tartja be ;)
Egy esetleges célzott támadás esetén pedig teljesen mindegy hány faktoros az authentikáció:
szerintem.
- A hozzászóláshoz be kell jelentkezni
"ha a fentieket valaki betartja, akkor 1 azaz egy szolgáltatás érintett." - ha az az egy szolgáltatás egy másiknak a jelszóvisszaállító e-mail fiókja, akkor máris legalább kettőt érint. És ne mondd azt, hogy minden accounthoz külön jelszóvisszaállító e-mail fiókod van, külön jelszóval...
- A hozzászóláshoz be kell jelentkezni
ha az az egy szolgáltatás egy másiknak a jelszóvisszaállító e-mail fiókja
Így van, az ilyen az mindenképp fontos besorolásba esik... ezért van is rajta MFA. meg másodlagos emailcím, meg telefonszám is.
- A hozzászóláshoz be kell jelentkezni
de hogy válaszoljak is:
ha valóban fontos a cucc, akkor beállítok 2FA-t.
Hogy melyiket az a lehetőségektől függ, de igyekszem valódi 2. faktort választani :)
Hogy mennyire kényelmetlen? ha valóban fontos account, akkor a 'kényelem' nem elsődleges szempont.
- A hozzászóláshoz be kell jelentkezni
A lehető legerősebbet állítom be (nem feltétlen a legkényelmesebbet)
Itt mire kell gondolni: A rendelkezésre álló második faktorok közül (tehát mittomén, pushos auth, otp generátor, fido, smsből melyiket?), vagy hogy egyáltalán beállítom-e, ha nem kötelező?
- A hozzászóláshoz be kell jelentkezni
Egyéb leírom. Tök mindegy, mert a jelszókezelőm tökéletesen kezeli a 2fa authot is és így csak nyomom a billentyűkombót és beilleszti a második faktor kódot.
Egyébként szerintem, ha mindenki/több ember használna jelszókezelőt kevesebb szükség lenne mfa bohóckodásokra. Nekem van vagy 20 különböző weboldal belépésem egyedi, erős random generált jelszavakkal. Mi szükségem lenne második/harmadik faktorra?
- A hozzászóláshoz be kell jelentkezni
webes progiknál működhet. dedikált programoknál aligha.
- A hozzászóláshoz be kell jelentkezni
"A _statikus_ jelszót elég egyszer ellopni, ezt azért ne tessék elfelejteni..." - és ha a géped, amin az egyedi jelszavakat tároló jelszókezelőd van kompromittálódik, akkor a jelszószéf tartalmához is hozzáférhetnek, és vihetik az összeset _is_.
- A hozzászóláshoz be kell jelentkezni
Nálam az is két faktorosan védett. ;-)
- A hozzászóláshoz be kell jelentkezni
Nálam is. Innentől kezdve már minden egyéb plusz faktor a használhatatlan/túl bonyolult/életszerütlen kategória nálam.
- A hozzászóláshoz be kell jelentkezni
"ha a géped, amin az egyedi jelszavakat tároló jelszókezelőd van kompromittálódik" - Ezt tessék átgondolni...
- A hozzászóláshoz be kell jelentkezni
Fontos dolgoknál (bank, bármi, ami vagyonnal kapcsolatos, email, céges accountok) 2FA, de azt általában amúgy is követeli a szolgáltatás. Random webshopoknál, Netflix, meg mittudomén, ami olyan, hogy ha elvesztem max regelek másikat, nyilván nem szórakozom vele.
- A hozzászóláshoz be kell jelentkezni
A fene se tudja, hogy melyik megoldás a legbiztonságosabb. Ha kérnek 2FA-t, legyen, ha épelméjű, amibe be kell lépni, van (online szinkronizáció nélküli) password managerem, generált erős jelszót adok meg, és van (open source) authenticator appom.
- A hozzászóláshoz be kell jelentkezni
A jelszószéfet tartalmazó gépet kompromittálva ha a jelszószéfet sima jelszóval véded, akkor vihetnek gyakorlatilag mindent is. A 2FA egyik lényege, hogy az azonosítás két _független_ forrásból érkező információ legyen.
- A hozzászóláshoz be kell jelentkezni
Ezt én is értem, csak az az egy baj azért csak van vele, hogy az esetek nagy részében a mobilodon ott a jelszószéf és a 2FA másik fele is. És valahol azért meg kell húzni a határt a biztonság és a használhatatlanság között.
- A hozzászóláshoz be kell jelentkezni