Ha egy fontos szolgáltatásban elérhető 2 faktoros/több faktoros authentikáció ....

Titkosítás, biztonság, privát szféra

Mennyit vagy hajlandó tenni a plusz biztonság érdekében?

( kubi | 2024. 04. 03., sze – 14:53 )

Random, hogy melyiket, de valamelyiket biztosan beállítom

Kivulrol nezve talan az lehet, de a "veletlen" helyett en inkabb az "elokeszitett dontes" kifejezest alkalmaznam..

( Sulc v | 2024. 04. 03., sze – 15:01 )

Beállítom azt amit a szekusok megkövetelnek - de azok közül a legegyszerűbbet.
Valamennyire képben vagyok biztonságtechnikai szempontból, ám nem tisztem azzal pepecselni hogy melyik threat model a legvalószínűbb támadási vektor, illetve annak én mennyire vagyok kitéve - lásd: https://xkcd.com/538/ .

( DirtY_iCE | 2024. 04. 03., sze – 15:30 )

Tovabbra se ertem hogy a userek idegesitesen kivul mivel jobb ha a password managerbol ket elemet kell kimasoljak egy helyett...

Az extra jo meg ugye azok a szolgaltatasok ahol pattognak kotelezo 2FA miatt, de valahogy a mobilapp az degradalodik 1FA-ra.

I hate myself, because I'm not open-source.

azert, mert egy nagyobb site-on napi millios nagysagrendben megy a known email+pass -ok probalgatasa. en voltam ott, lattam uzemeltetoi oldalrol. amit tenni tudsz, az a gyanus login-eknel captcha, az tipikusan tul dragava teszi a scan-t. de ha biztosra akarsz menni, akkor biza' 2fa, kotelezoen. mert a user hulye, es ujrahasznalja ugyanazt a jelszot evtizedeken at mindenhol...

mivel jobb ha a password managerbol ket elemet kell kimasoljak egy helyett

Ez semmivel sem jobb. A két faktorosnak éppen az a lényege, hogy két különböző helyről származó jelszót adsz meg. Egyik helyet feltörik, akkor is ott a másik, ami tovább védi.

 valahogy a mobilapp az degradalodik 1FA-ra.

Mobil appoknál jellemzően a biometrikus a második faktor, amit könnyen biztosítanak.

( hory v | 2024. 04. 03., sze – 16:22 )

a legviccesebb, amikor ott az X faktor, aztan meg a reset password meg kimegy emailben es ennyi... ugye a leggyengebb lancszem szamit.

IMHO a microsoft xbox account a legnormalisabb: nem is tokolnek usernev/jelszoval, csak siman kuldenek egy email-t, benne koddal, es azzal tudsz belepni. az email-ed vedelmet meg oldd meg te.

Az ikea-nak is van hasonlo.

 

En azert odzkodom a 2+ faktortol, mert amikor elveszik valamiert, es komolyan gondoljak a vedelmet (pl. github/google), hat az egy iszonyat szivas. minap pl. telefont csereltem, es az opensource google authenticator app, az aegis, nem backup-olta magat. idegbaj a kobon, lehetett komplett usert ujracsinalni azure-on, es meg sorolhatnam. nem vicces.

ok, tipikusan mobilcserenel lehet ilyen, ha elfelejted exportalni a 2fa app-bol.

hw token siman meg tud dogleni, meg elveszteni se nehez.

kinyomtatott recovery: szoval akkor aki betor az irodaba, az rogton full hozzaferest kap az accodhoz? :)

ez a szep a security-ben, hogy hiaba tolod tul, akkor is gyenge marad :/

ok, tipikusan mobilcserenel lehet ilyen, ha elfelejted exportalni a 2fa app-bol.

Androidon a rendszerköltöztető automatikusan átviszi a Google Authenticator bejegyzéseket. MS Authenticator-t kell kézzel egyengeti, de miért felejtenéd el?

hw token siman meg tud dogleni, meg elveszteni se nehez.

Ezért van belőle kettő legalább.

kinyomtatott recovery: szoval akkor aki betor az irodaba, az rogton full hozzaferest kap az accodhoz? :)

Honnan tudja, hogy mihez van kinyomtatva random kódsor?  De, tárolhatod titkosított jelszószéfben is.

ez a szep a security-ben, hogy hiaba tolod tul, akkor is gyenge marad :/

Ebben semmi sincs túltolva, de ha nem értesz hozzá/nem akarsz vele foglalkozni, az nyilván könnyebb.

trey @ gépház

A költöztető az eszközök között másol direktben, ha jól rémlik - de ha nagyon para, akkor fogod magad, és az egyik eszközön kijelölöd az összeset, export - a QR-kódot/kódokat megmutatod az új eszköznek, és máris ott van az összes úgy, hogy hálózaton egy bit sem ment át belőle.

Androidon a rendszerköltöztető automatikusan átviszi

a google authenticator szerintem nem atviszi, hanem a cloudban tarolja.

az adb backup + restore nem visz at, csak amit az app annak jelol. az erzekeny dolgokat tipikusan direkt nem jelolik annak. Nekem pl. az aegis-t hiaba adb backup-oltam, a privat cuccot nem vitte at. Ugyhogy szepen kizartam magam tobb helyrol is egyszerre. Akkor jottem ra, milyen ubergaz is a 2fa. Sajnos nagyon konnyu account lockout-ot csinalni vele.

 

Ezért van belőle kettő legalább.

nem olyan olcsok ezek.

 

Honnan tudja, hogy mihez van kinyomtatva random kódsor?  De, tárolhatod titkosított jelszószéfben is.

Es te honnan fogod tudni? :) 3 ev mulva, veszhelyzetben kellene, es nem fogod megtalalni, mert marika kozben 5x atrendezte a szefet.

Vagy marika nem tudta mire velni, rakerdezett, aztan rairta postit-re, hogy mi az es kie.

Tudom, nalatok ilyen sosincs, de nezzuk az altalanos, gyakorlati oldalat a dolognak: a kinyomtatott recovery-k jelentos resze igy vegzi, vagy nem talaljak, amikor kene, vagy feliratozva van, hogy kinek mije az, hogy megtalaljak, amikor kell. Ez meg igy igazabol megint 1fa -ra sovanyitja a vedelmet.

a google authenticator szerintem nem atviszi, hanem a cloudban tarolja

Ez lényegtelen.

az adb backup + restore nem visz at

A Google Android költöztetője átviszi, legutóbb novemberben csináltam. A Google Auth. minden tartalmát áttette.

nem olyan olcsok ezek.

Pontosan tudom mennyi, mert kettőt vettem belőle. Lófasz összeg (még itthoni mércével is) a védett értékekhez képest.

Es te honnan fogod tudni? :) 3 ev mulva, veszhelyzetben kellene, es nem fogod megtalalni, mert marika kozben 5x atrendezte a szefet.

Saját széfben tárolom.

Vagy marika nem tudta mire velni, rakerdezett, aztan rairta postit-re, hogy mi az es kie.

Fogalmam sincs, hogy a misztikus marika hogyan jön ide.

trey @ gépház

Ez lényegtelen.

A Google Android költöztetője átviszi, legutóbb novemberben csináltam. A Google Auth. minden tartalmát áttette.

mar hogy lenne lenyegtelen. nyilvan nem nagy ugy "atvinni" a semmit, vagyishogy nem is kell koltoztetni, mert csak belepsz az uj mobilra a google accounttal, es lesync-eli neked a felhobol... az nem 'atmasolas', az cloud sync. es persze megvan a sajat rakfeneje es negativuma, mint tudjuk.

 

a tobbire nem valaszolok; nyilvan latod te is, hogy a "no paper recovery"-hez kepest a "yes paper recovery" nyilvan kevesbe biztonsagos, egy extra tamadasi felulet, akarmit csinalsz vele.

Oké, te itt azt bizonygatod, hogy hülyeség a 2FA/MFA, mert az egyik faktort mindenféle zavaros elméleted mentén kompromittálhatják. Ezért inkább hagyjuk a fenébe. Még úgy is, hogy ha csak egy faktor van, akkor az is kompomittálható. Szerintem a kettő (vagy több) az több, mint egy. Ezzel nehezen lehet vitatkozni.

trey @ gépház

Az adb backup/restore mennyiben "normál" felhasználásra van, és mennyire nem? És azt lehet-e mindenféle azonosítás nélkül használni? Nem a 2FA az "ubergaz", hanem a Schrödinger-backup, az, amit úgy teszel el, hogy nincs ellenőrizve legalább annyira, hogy a legfontosabb/kritikus adatok valóban mentésre kerültek-e, és azok rendben vissza is állíthatók a backup-ból...

"3 ev mulva, veszhelyzetben kellene" DR-tesztet illik ennél jóval gyakrabban csinálni.

Igazából a leggyengébb láncszemek a fő emailcímem és a telefonom. Ez a kettő (és sajnos nem feltétlenül egyszerre ez a kettő, külön-külön is) egy "kulcs a kiránysághoz", minden más identitást át lehet venni vele. Ha az emailre van kétfaktoros, akkor a telefon az egyetlen, és az a legijesztőbb, hogy hiába van hiperszuper androidos-iPhone-os készüléktitkosítás, ha valaki egyszer, hamis papírokkal bemegy a Telekomhoz, és egy szükség esetén megkent ügyintézővel új SIM-kártyát igényel a nevemre. Akkor baszhatom a kétfaktorost az emailemre, meg mindenhova máshova is.

Igen, viszont még mindig a legkisebb közös többszörös, a teljes populációt nézve. Ma (majdnem) mindenki használ valamilyen netes szolgáltatást, az okké, hogy te használsz Yubikeyt, RSA OTP kulcsot, mittudomén, de ilyeneket többmillió magyarnak egyelőre senki sem hajlandó kiosztani, és főleg nem betanítani.

Akkor is van egy kulcs lementve valahol. Ha ellopják a készülékedet, akkor valahogy, valamilyen jelszóval újra fel kell raknod az appot az új telefonra. Vagy ha backupból állítom helyre az ellopott telefon tartalmát, akkor a backuphoz kell hozzáférni valahogy. Vagy tévednék?

A banki alkalmazásomhoz a telefonon lévő sw-token a hozzáférés. Ugyanakkor több készülékhez is lehet sw-tokent készíteni (sok alkalmazásnál ez nem lehetséges, pl. a broker alkalmazáshoz sem - sajnos), így a backup a tablet. Nyilván mindkettőt el lehet lopni vagy elromolhat - akár egyszerre is -, de ennek jóval kisebb az esélye. Ekkor be kell menni a bankfiókba és személyes azonosítással elintézni a többit.

Vagyis ha egy telefonhoz kötött azonosítás backupolható másik hasonlóan védett eszközre, akkor nem olyan para a dolog.

a legviccesebb, amikor ott az X faktor, aztan meg a reset password meg kimegy emailben es ennyi... ugye a leggyengebb lancszem szamit.

Nem mindegy milyen emailt használsz, azt sem egyszerű feltörni, ha jól van megcsinálva. Ráadásul pont erre jó a több faktor, mert a többi még továbbra is véd.

( willy v | 2024. 04. 03., sze – 16:41 )

"lehető legerősebbet"

Homályosíts már fel ezekről az erőviszonyokról 

( arpi_esp v | 2024. 04. 03., sze – 16:44 )

attol fugg mennyire fontos az a fontos. keves olyan van, ahol megeri a kenyelmetlenseget.

( Sanya v | 2024. 04. 03., sze – 16:52 )

Szerkesztve: 2024. 04. 03., sze – 16:58

Olyat kell, amihez kell a telefonod, a bankszámlaszámod, az ip címed, az életed és egy állandó érzékelő az ánuszodban, hiszen bármit fel lehet adni a biztonságért. Emellett leehtőség szerint naponta 2x kelljen jelszót váltani, amit ha elfelejtesz, kezdődhet az azonosítási procedura előről.

Éljen a kétfaktor! Szerencsére májustól mindenhez is kétfaktoros belépés kell majd nálunk is. Elég, ha cserélek telefont, és akkor nem fog menni:

neptun, jegybeírás

email

vizsgahirdetés

tantárgyhirdetés,

vpn

word/office szolgáltatások.

Így érik el, hogy inkább ne is használjuk a rendszert, mert kényelmetlen a használata. És így lépünk vissza a biztonságban, csak mert a retardált IT-s egy telibevert csúszkát felkúrt a maximumra. (welcome back freemailen tolt hivatalos adatok kora)

 

De, ha egy betegadatot el akarok érni, akkor be kell lépjek a gépbe felhasználónév/jelszóval, program elindít, másik unikum felhasználónév/jelszóval,(mert a programnak system jogkör kell, igen, ez teljesen jó, ha egy kórházadatbázis rendszer szoftver system joggal fut a PC-n) utána a program elindul, belép egy harmadik felhasználónév/jelszó-val (mind különböző), majd utána eeszt, felhasználónév, és a mobilapp által generált kód, amibe természetesen jelszóval lépek be. 4db telibevert felhasználónév/jelszó, amit még megfejelhetünk azzal, ha vpn-nel jelentkezem be, ahová megint egy ötödik felhasználónév/jelszó kell.

És csodálkozik az IT, ha ezek jó részét a kollégák kiírják a monitorra cetlire. Mert életszerű 5 felhasználónév/jelszó párost ismerni egy telibevert programindításhoz. És csodálkozik a hupos csóka, aki a múltkor verte magát, hogy valaki tökmás nézte meg EESZT-n az adatait, hát PERSZE, azzal az userrel nézzük, aki épp be van lépve. Senkinek nincs 5 perce a fenti kombóra.

10 faktoros bejelentkezés vagy semmi én azt mondom.

"Elég, ha cserélek telefont, és akkor nem fog menni" - ez erősen PEBKAC lesz, ha így történik, mert biza' az authenticator alkalmazások (msauth és a ga is) ment a felhőbe _is_ ha kéred, illetve a GA-ból tudsz QR-kóddal exportálni/importálni akár csillió kódot is egyszerre. Szóval a költöztetés simán megy - ha nem felejted el.
 

Mennyire biztonságos a hiperszuper dolgaidat abba az authenticatorba menteni, ami magán jellegű? Vagy abba mented, aminek az eléréséhez kell a kétfaktoros azonosítás, ami életszerűtlen céges mobilszám hiányában. Vagy magán mobilra menjen az azonosítás, vagy magán emailcímre, akár freemailre? Hol itt a sechole?

"De, ha egy betegadatot el akarok érni, akkor be kell lépjek a gépbe felhasználónév/jelszóval, program elindít, másik unikum felhasználónév/jelszóval,(mert a programnak system jogkör kell, igen, ez teljesen jó, ha egy kórházadatbázis rendszer szoftver system joggal fut a PC-n) utána a program elindul, belép egy harmadik felhasználónév/jelszó-val (mind különböző), majd utána eeszt, felhasználónév, és a mobilapp által generált kód, amibe természetesen jelszóval lépek be. 4db telibevert felhasználónév/jelszó, amit még megfejelhetünk azzal, ha vpn-nel jelentkezem be, ahová megint egy ötödik felhasználónév/jelszó kell."

A kőkorszaki megoldásokkal nem igazán lehet mit kezdeni azon kívül, hogy lecserélni olyanra, ami mondjuk AD-ból authentikál, és/vagy a bejelentkezett/alkalmazást futtató usert használja a jogosultságok kezelésére.
A normális SSO és a 2FA az bőven odébb lesz...

( zrubi v | 2024. 04. 03., sze – 18:12 )

Szerkesztve: 2024. 04. 03., sze – 18:16

ezt az egészet azért erőltetik mert a (l)userek képtelenek (és nem is akarnak) megfelelően erős - és egyedi - jelszót használni.

szerintem aki:

- jelszókezelőt használ,

- egyedi jelszót mindenhová

- megfelelően erős jelszót,

annak a 2. 3. x. faktor csak időhúzás, nem lesz semmi sem biztonságosabb ettől.

Főleg, ha az a 2. faktor ugyan azon a hiperbiztosnágos, backdooros, ujjlenyomatozós mobiltelefonon van.

 

Bizonyos esetekben természetesen van értelme, 2. 3. faktornak, de a gyakorlatban már az is ritka ahol a 2FA valóban kölönbözik az elsőtől (usernév/jelszó)

sőt, a legtöbb 'nagyon biztonságos' hely is csak azért tolja ezt ész nélkül, hogy a compliance meglegyen.

Kizárólag ez érdekli őket a valós biztonság szinte soha...

 

szerintem.

zrubi.hu

értem... és??

 

ha a fentieket valaki betartja, akkor 1 azaz egy szolgáltatás érintett.

 

Sokkal inkább érdekes, hogy hogyan lopják azt el?

1.  a szolgáltató tárolta nem megfelelően?

2.  az eszköz ahonnan használod van/volt feltörve?

3.  'shoulder surfig'/social engineering/scam áldozata lettél?

 

De választ is adok, általában az 1. pont miatt tudják 'ellopni' a jelszavakat, és azzal máshol is bepróbálkoznak - ez megint csak azokat érinti akik nem tartják be a fentieket... ÉS a szolgáltató gondatlansága okozta a kárt!

Ha meg csak simán gagyi a jelszó... és kitalálják/feltörk - tehát nem ellopják - az megint csak user error - mert nem tartotta be a fentieket.

a 2,  3. eset arról árulkodik, hogy a luser képzetlen - de ennek mellékhatásaként várhatóan a fentieket sem tartja be ;)

 

 

Egy esetleges célzott támadás esetén pedig teljesen mindegy hány faktoros az authentikáció:

https://xkcd.com/538/

 

szerintem.

zrubi.hu

"ha a fentieket valaki betartja, akkor 1 azaz egy szolgáltatás érintett." - ha az az egy szolgáltatás egy másiknak a jelszóvisszaállító e-mail fiókja, akkor máris legalább kettőt érint. És ne mondd azt, hogy minden accounthoz külön jelszóvisszaállító e-mail fiókod van, külön jelszóval...

( kroozo v | 2024. 04. 03., sze – 20:12 )

Szerkesztve: 2024. 04. 03., sze – 20:13

A lehető legerősebbet állítom be (nem feltétlen a legkényelmesebbet)

Itt mire kell gondolni: A rendelkezésre álló második faktorok közül (tehát mittomén, pushos auth, otp generátor, fido, smsből melyiket?), vagy hogy egyáltalán beállítom-e, ha nem kötelező?

( zslaszlo v | 2024. 04. 03., sze – 20:37 )

Egyéb leírom. Tök mindegy, mert a jelszókezelőm tökéletesen kezeli a 2fa authot is és így csak nyomom a billentyűkombót és beilleszti a második faktor kódot.

Egyébként szerintem, ha mindenki/több ember használna jelszókezelőt kevesebb szükség lenne mfa bohóckodásokra. Nekem van vagy 20 különböző weboldal belépésem egyedi, erős random generált  jelszavakkal. Mi szükségem lenne második/harmadik faktorra?

( gabek | 2024. 04. 04., cs – 08:20 )

Fontos dolgoknál (bank, bármi, ami vagyonnal kapcsolatos, email, céges accountok) 2FA, de azt általában amúgy is követeli a szolgáltatás. Random webshopoknál, Netflix, meg mittudomén, ami olyan, hogy ha elvesztem max regelek másikat, nyilván nem szórakozom vele.

( rpsoft v | 2024. 04. 04., cs – 11:35 )

A fene se tudja, hogy melyik megoldás a legbiztonságosabb. Ha kérnek 2FA-t, legyen, ha épelméjű, amibe be kell lépni, van (online szinkronizáció nélküli) password managerem, generált erős jelszót adok meg, és van (open source) authenticator appom.