Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

[nnaku]

Kaksivaiheisen vahistuksen perusidea on varmentaa käyttäjän identiteetti kahdella tai useammalla tavalla. Tällä halutaan vahvistaa käyttäjätilien turvallisuutta, ja kaksivaiheisen tunnistuksen ansiosta pelkkä salasanan/pinkoodin urkinta ei johda puustapitkälle. Kaikista simppelein sovellus on kai pankkikortti ja pin-koodi. Jotta pankkitiliin päästään käsiksi tarvitaan jonkin fyysinen varmenne eli pankkikortti ja sille tonnen varmenne eli pin-koodi.

Nykyaikaisempana esimerkkinä käytän io-tech foorumia. Esimerkissä käytän Google Authenticator joka on saatavilla androidi ja iOS-laitteille.

Perinteisessä "yhden vahvistuksen" tunnistuksessa kirjautuessa on käytössä vain salasana.

Spoileri: kuva

Kaksivaiheisen vahistuksen toinen vahvistus seuraa ensimmäisen "kirjautumisen" jälkeen. Toisessa vaiheessa sinulta pyydetään koodia.

Spoileri: kuva

Koodin löydät joko sähköpostista tai Google Authenticator app:istä. Koodi on kertakäyttöinen ja voimassa hetken (mobiiliapplikaatiossa 20s).

Spoileri: kuva

Näin pelkkän salasanan vuotaminen ulkopuolisille ei saata tiliä välittömään vaaraan.
ELLET KÄYTÄ JOKAPAIKASSA SAMAA SALANAA!


Noh tällä ketjulla ei ollut sen kummepaa filosofiaa, kuin että vähän lipes tuolla muualla offtopicin puolle, enkä löytänyt sopivaa kettinkiä. Enkä myöskään kehdannut aloittaa lankaa tyhjällä viestillä.

@Sampsa kun vihelsi hyvän offtopicin poikki, niin siirrä ne turinat aikaskuluks tänne.

Oma mielipiteeni 2FA kirjautumisista on että se tulisi olla pakotettuna useimmissa sovelluksissa.

 

[Tomak89]

Tuo antaa turvaa juuri sellaisissa tapauksissa, että foorumin tai vastaavan palvelimen käyttäjien salasanatiivisteet pöllitään, ja foorumi on käyttänyt jotain MD5:sta. Jos taas koneella on keylogger, niin eipä juuri tuo kaksinkertainen kirjautuminen auta, jos varmistuskoodeja katselee sähköpostista. Hyvä salasanakin on mielestäni riittävä, jos palvelimen puolella on kunnon tiivistealgoritmi ja suolaus.

>12 merkkiä, isot ja pienet kirjaimet, numerot ja erikoismerkit.

Helposti muistettava salasana voisi olla muotoa:
IoTech#IhanHitonHuikeaPalsta666

Ja vaikka tuota yrittäisi sanakirja+numerot+erikoismerkit hyökkäyksellä (ts. sanat olisi tuossa noi isolla alkavat) niin silti tuo olisi "10 merkkinen salasana". Siinä saa olla jo vähän tuuria, että löytyy oikea.

 

[nnaku]

Helposti muistettava salasana voisi olla muotoa:
IoTech#IhanHitonHuikeaPalsta666

Ja vaikka tuota yrittäisi sanakirja+numerot+erikoismerkit hyökkäyksellä (ts. sanat olisi tuossa noi isolla alkavat) niin silti tuo olisi "10 merkkinen salasana". Siinä saa olla jo vähän tuuria, että löytyy oikea.

Itse olen käyttänyy jotain helppoa muistisääntöä, esimerkiski Jallukola taipuu salasanaksi "4cl1*JV+cc&j" ja muisti sääntö on seuraava "4 senttilitraa yhden tähden jaloviinaa plus cocacolaa ja jäitä"

Sitten kaverit ihmettelee jos sattuvat näkemään vilauksen salasanasta, että millä sä muistat tollasia. noku on hyvät säännöt

 

[pehjan]

Tuo Google Authenticator on siitä hyvä ohjelma, että sitä voi käyttää melkein missä vain haluaa. Yhdellä tietoturvakurssilla säädettiin OpenVPN käyttämään sitä Centos 7:ssa. Koulukaveri ei meinannut millään ymmärtää, että Google Authenticatoria pyörittävän kännykän ei tarvitse olla minkäänlaisessa yhteydessä mihinkään toimiakseen, kunhan siihen saadaan kerran avain koodien generoimiseen

 

[nnaku]

Tuo Google Authenticator on siitä hyvä ohjelma, että sitä voi käyttää melkein missä vain haluaa. Yhdellä tietoturvakurssilla säädettiin OpenVPN käyttämään sitä Centos 7:ssa. Koulukaveri ei meinannut millään ymmärtää, että Google Authenticatoria pyörittävän kännykän ei tarvitse olla minkäänlaisessa yhteydessä mihinkään toimiakseen, kunhan siihen saadaan kerran avain koodien generoimiseen

Ja oikea kellonaika kerran tuli pelleiltyä melkokauan tuon kanssa, kunnes tajusin mistä homma kiikastaa..

 

[user9999]

Tuo Google Authenticator on siitä hyvä ohjelma, että sitä voi käyttää melkein missä vain haluaa. Yhdellä tietoturvakurssilla säädettiin OpenVPN käyttämään sitä Centos 7:ssa. Koulukaveri ei meinannut millään ymmärtää, että Google Authenticatoria pyörittävän kännykän ei tarvitse olla minkäänlaisessa yhteydessä mihinkään toimiakseen, kunhan siihen saadaan kerran avain koodien generoimiseen

Tuo Google Authenticator onkin sisäänrakennettu tuohon Openvpn kaupalliseen versioon (Openvpn Access Server).

Spoileri: Kuva

Voi ylläpitää halutessa sitten sacli komennoilla.
openvpn-access-server-command-line-tools.html

Oli joskus itsellä käytössä, mutta ei jaksa aina syöttää koodia. Käytän nyt VPN On-Demand tai Autologin profiilia.

VPN ON-Demand
OpenVPN Access Server Command-line Tools

 

[Ormu]

Oma mielipiteeni 2FA kirjautumisista on että se tulisi olla pakotettuna useimmissa sovelluksissa.

Kriittisten ja tärkeitä tietoja sisältävien palveluiden kuten sähköpostin turvaamiseen kaksivaiheinen vahvistus on erittäin hyvä asia. Sen sijaan vähemmän tärkeissä palveluissa kuten foorumeilla se on mielestäni pelkkä rasite. Jos joku sattuisi vaikka foorumin X salasanan jostain onkimaan, sen voisi (2-vaiheisella varmistuksella suojatun) sähköpostin avulla kuitenkin palauttaa. Samoin ei-niin-tärkeiden kakkossähköpostien kohdalla liialliset turvallisuuskikkailut ovat lähinnä ärsyttäviä.

 

[a85]

Miten nuo Authenticatorin varakoodit pitäisi toimia? Onnistuin taannoin möhlimään puhelimen vaihdon, enkä tehnyt ohjelmassa siirtoa uuteen, vaan aloitin uudessa käyttämään authenticatoria. Sain onneksi resetoitua kaikki palveluni, yhtä lukuunottamatta. Tuohon koitin niitä varalistoja mutta sille ei kelvannut mikään niistä koodeista? Tekeekö noilla varanumeroilla oikeasti mitään, jos vaikka puhelin sattuu hajoamaan?

 

[nnaku]

Miten nuo Authenticatorin varakoodit pitäisi toimia? Onnistuin taannoin möhlimään puhelimen vaihdon, enkä tehnyt ohjelmassa siirtoa uuteen, vaan aloitin uudessa käyttämään authenticatoria. Sain onneksi resetoitua kaikki palveluni, yhtä lukuunottamatta. Tuohon koitin niitä varalistoja mutta sille ei kelvannut mikään niistä koodeista? Tekeekö noilla varanumeroilla oikeasti mitään, jos vaikka puhelin sattuu hajoamaan?

Varakoodit on kai sitä varten, jos et pääse mihinkään laitteeseen käsiksi. Mutta eikös tuolta saa siirrettyä uuteen puhelimeen https://accounts.google.com/b/0/SmsAuthSettings#devices

 

[Xiyng]

Onko kaksivaiheisesta tunnistautumisesta palvelussa X merkittävää hyötyä, jos käyttää palveluun X liitettynä sähköpostia, jossa on käytössä kaksivaiheinen tunnistautuminen, ja lisäksi käyttää jokaisessa palvelussa täysin eri salasanaa? Tällaisissa tapauksissa minun on vaikea nähdä kaksivaiheista tunnistautumista hyödyllisenä ellei käytettävällä laitteella ole jo valmiiksi esim. keyloggeria (jolloin oletan, että koneella voisi tapahtua myös mitä tahansa muuta eli peli olisi joka tapauksessa jo varsin pitkälti menetetty). Kaksivaiheinen tunnistautuminenhan on ylimääräinen rasite kirjautumiseen.

Erityismaininta huonosti toteutetusta kaksivaiheisesta tunnistautumisesta menee Steamille, jossa mobiilisovellusta käytettäessäkin pitää sovellukseen ilmestyvä koodi kirjoittaa käsipelillä vahvistuskenttään sen sijaan, että sovelluksesta voisi vain napauttaa hyväksyvänsä kirjautumisen. Kun 2FA toteutetaan sovelluksella, koodin käsin kirjoittamisen ainoa hyöty on nähdäkseni vahinkohyväksymisten estäminen, minkä voisi helposti tehdä myös paremmalla käyttöliittymäsuunnittelulla sovelluksessa.

 

[pehjan]

Onko kaksivaiheisesta tunnistautumisesta palvelussa X merkittävää hyötyä, jos käyttää palveluun X liitettynä sähköpostia, jossa on käytössä kaksivaiheinen tunnistautuminen, ja lisäksi käyttää jokaisessa palvelussa täysin eri salasanaa?

Kaksivaiheinen tunnistautuminen suojaa missä tahansa tilanteessa, missä joku saa tunnuksesi selville jollakin tavalla. Esimerkkinä tapaukset, joissa hyökkääjä on saanut käsiinsä käyttäjien salasanoja tietomurron avulla. Eri asia sitten on, mikä lasketaan merkittäväksi hyödyksi. Itse en jaksa pitää kaksivaiheista tunnistautumista muissa kuin minulle kaikkein tärkeimmissä palveluissa.

En usko kenenkään kykenevän tuottamaan minulle merkittävää vahinkoa kirjautumalla tunnuksellani esimerkiksi tälle foorumille, joten sanoisin että kaksivaiheisesta tunnistautumisesta tällä foorumilla ei ole minulle merkittävää hyötyä. Jollekin muulle saattaa olla.

 

[Xiyng]

Kaksivaiheinen tunnistautuminen suojaa missä tahansa tilanteessa, missä joku saa tunnuksesi selville jollakin tavalla. Esimerkkinä tapaukset, joissa hyökkääjä on saanut käsiinsä käyttäjien salasanoja tietomurron avulla. Eri asia sitten on, mikä lasketaan merkittäväksi hyödyksi.

Tietomurron tapauksessa tuntuisi, että tietomurto itsessään on jo isompi riski kuin se, että joku saa sen avulla tietää salasanani.

Steam Guard hyvänä esimerkkinä jossa tällainen on nerokas ratkaisu. Salasana normaalisti kirjautumiseen, jonka jälkeen Steamin mobiili-app antaa koodin, joka syötetään vielä salasanan jälkeen. Steamtunnus kun on sellainen, jota ei ihan helpolla haluaisi menettää.

Tämäkö siis on samankaltainen ratkaisu, kun hieman meni ohi?

Vielä parempi taitaisi olla, jos mobiilisovelluksessa voisi suoraan hyväksyä tai hylätä kirjautumisen nappia painamalla sen sijaan, että tarvitsee katsoa koodi sovelluksesta ja näpytellä se sillä laitteella, jolla kirjautuminen on tapahtunut. Sitenhän homma olisi helpompi eikä nähdäkseni yhtään vähemmän turvallinen. Olen kyllä ehdottomasti samaa mieltä siitä, että Steam-tunnusta ei tahdo missään nimessä menettää ja että Steam Guard on sinänsä hyvä juttu, mutta käytettävyys on mielestäni tarpeettoman huono. Itse en nykyään edes sammuta konetta mielelläni, koska Steam kitisee Steam Guard -koodista seuraavalla käynnistyksellä.

 

[neoflix]

Ei se steami mulla ainakaan kysele millään koneella sitä koodia uusiks pelkällä rebootilla
Mut asiasta kukkaruukkuun, se mihin tuollasta kaipaisin on social club, eli tämä gta v. Siellä ole mitään vahvistusta mihinkään. Siks noita ihmisten tunnuksia myydäänkin aivan pilkkahintaan ja sit käydään niillä perseilemässä onlinessa.

 

[Xiyng]

Ei se steami mulla ainakaan kysele millään koneella sitä koodia uusiks pelkällä rebootilla

Minulla onkin automaattinen kirjautuminen pois päältä Steamissä, ja oletettavasti ongelma johtuu tästä. Eipä siinä, 2FA voisi silti olla fiksumminkin toteutettu. Käsittääkseni ainakin Blizzard hoitaa 2FA:n juurikin kuten sanoin.

 

[Obi-Lan]

MFA on kyllä erinomainen tietoturvan lisä, tosin rupee pakka leviämään käsiin kun niitä koodeja pyörii puhelimessa enemmän kuin 10. Etenkin jos puhelin hajoaa ja pitää ruveta selvittelemään millainen palautuspolitiikka kullakin taholla oli. Mieluummin alkaisin nähdä sellaista, että tänne foorumille voisi kirjautua federoituna Googlen, Facebookin, Microsoftin yms tunnuksilla, mikä keskittäisi asioita yhden tilin taakse minkä huolehtimiseen voisi enemmän panostaa.

Jos käyttää Microsoft Accountia ja haluaa siihen MFA push notifikaatioilla, se onnistuu asentamalla Microsoft Authenticator storesta ja liittämällä tili siihen. Tämän jälkeen kirjautumisessa tulee puhelimeen pelkkä notifikaatio kirjautumisesta ja hyväksytkö vaitko hylkäät.

 

[Kautium]

Nykyiset MFA-ratkaisut ovat vähiten huono ratkaisu tietoturvan lisäämiseen. Vähiten huonolla tarkoitan sitä, että harvassa ovat sellaiset MFA-toteutukset, jotka eivät vituttaisi käytettäessä niin paljoa, että ne haluaa kytkeä saman tien pois päältä.

Mutta sitten kun kehitys kehittyy ja tekniikka kypsyy sellaiseksi, että kirjautuminen voidaan tehdä nopeasti ja luotettavasti tunnuksella+salasanalla ja siihen toinen varmennus vaikka puhelimessa olevan sovelluksen iris-skannilla, tai niin, että riittää kun puhelin ylipäätään on tunnistuksen aikana lähistöllä, niin sitten aletaan olemaan paremmalla tolalla käytettyvyyden kanssa.

Joku kaikkialla toimiva openID-tyyppinen tunnus hyvin toimivalla MFA-varmistuksella olisi kova juttu.

 

[The_Koutsi]

Aikoinaan netissä tuli törmättyä tähän tuotteeseen ja vaikutti hyvältä tuotteelta. Onko porukalla kokemuksia Yubikeystä?

Compare YubiKeys | Strong Two-Factor Authentication for Secure Logins | Yubico

Melko isoja asiakkaita jotka tuota käyttävät, Google Facebook ja Cern esimerkiksi. Miten mahtaa soveltua yksittäisen kuluttajan käyttöön? Vai onko tuo vain yksi laite lisää avainippuun, mikä sitten sopivalla hetkellä häviää.

 

[olkitu]

Aikoinaan netissä tuli törmättyä tähän tuotteeseen ja vaikutti hyvältä tuotteelta. Onko porukalla kokemuksia Yubikeystä?

Compare YubiKeys | Strong Two-Factor Authentication for Secure Logins | Yubico

Melko isoja asiakkaita jotka tuota käyttävät, Google Facebook ja Cern esimerkiksi. Miten mahtaa soveltua yksittäisen kuluttajan käyttöön? Vai onko tuo vain yksi laite lisää avainippuun, mikä sitten sopivalla hetkellä häviää.

Itse nyt tilasin Yubikey Neon ja sillä testaillaan. Hyvin toimii Googleen kirjautuminen ja Facebook lisätty. Lisäksi voi Windowsin kirjautumisen tehdä tolla.

 

[MrB]

Aikoinaan netissä tuli törmättyä tähän tuotteeseen ja vaikutti hyvältä tuotteelta. Onko porukalla kokemuksia Yubikeystä?

Mulla on duunissa Windows-autentikoinnissa käytössä Yubi. Alkuun oli vähän hankaluuksia tottua, mutta mitään teknisiä ongelmia ei ole ollut. Nyt tietty se, että kun avaimet on himassa niin ne on pakko hakea. Kulkuluvat saa päiväavaimeen, mutta ainakaan toistaiseksi ei ole prosessia että saisi väliaikaista jubia.

 

[escalibur]

MFA on kyllä erinomainen tietoturvan lisä, tosin rupee pakka leviämään käsiin kun niitä koodeja pyörii puhelimessa enemmän kuin 10. Etenkin jos puhelin hajoaa ja pitää ruveta selvittelemään millainen palautuspolitiikka kullakin taholla oli.

Authy tai Authenticator Plus?

Authy vs. Google Authenticator - Authy

Multiple Devices - Authy

Authenticator Plus


ps. MS, Google, jne-foliohattuille on vaihtoehtoinen open source variaatio: FreeOTP

FreeOTP

 

[olkitu]

Mulla on duunissa Windows-autentikoinnissa käytössä Yubi. Alkuun oli vähän hankaluuksia tottua, mutta mitään teknisiä ongelmia ei ole ollut. Nyt tietty se, että kun avaimet on himassa niin ne on pakko hakea. Kulkuluvat saa päiväavaimeen, mutta ainakaan toistaiseksi ei ole prosessia että saisi väliaikaista jubia.

2FA määritetty?

 

[Obi-Lan]

Authy tai Authenticator Plus?

1Password niminen passumanageri osaa tallentaa myös OTP koodit ja synkkaa ne passuholvin mukana eri laitteille. Se onko se turvallista / järkevää pitää sitten passua ja koodia samassa on vähän tapauskohtaista.

 

[olkitu]

1Password niminen passumanageri osaa tallentaa myös OTP koodit ja synkkaa ne passuholvin mukana eri laitteille. Se onko se turvallista / järkevää pitää sitten passua ja koodia samassa on vähän tapauskohtaista.

Itse en laittaisi samaanpaikkaan... Itsellä muuten toi 1password käytössäkin salasanoille mutta OTP:t muualla ihan varmuuden vuoksi. Näin varmistetaan jatkuvuus sitten jos jotakin tapahtuu. Lisäksi tonne 1password kirjaudutaan OTP:llä lisäksi niin siinä toinen syy miksi muualla.

Toisaalta itse ottanut Yubikey:n käyttöön OTP:n tilalle monessa palvelussa, kunhan tulee saataville.

 

[=JP=]

Google takes on Yubico with its own security key, Titan

Saapi nähdä tuleeko tuosta kilpailijaa...

Itse ollut kiinnostunut tuosta Yubikey jo jonkin aikaa, mutten ole saanut aikaiseksi hankittua vielä. Kuitenkin tarvitsisi sekä mobiililaitteelle että ihan koneelle tuon, niin en ole tarkemmin tutustunut löytyykö siihen valmis tuote jo. Näyttäisi kuitenkin löytyvän hyvin tuki ainakin isoimmille palveluille.
Olisihan se kiva vaan vilauttaa tai tökätä tollanen koneeseen ja pääsis helposti (ja turvallisesti) kirjautumaan palveluihin...

 

[olkitu]

Google takes on Yubico with its own security key, Titan

Saapi nähdä tuleeko tuosta kilpailijaa...

Itse ollut kiinnostunut tuosta Yubikey jo jonkin aikaa, mutten ole saanut aikaiseksi hankittua vielä. Kuitenkin tarvitsisi sekä mobiililaitteelle että ihan koneelle tuon, niin en ole tarkemmin tutustunut löytyykö siihen valmis tuote jo. Näyttäisi kuitenkin löytyvän hyvin tuki ainakin isoimmille palveluille.
Olisihan se kiva vaan vilauttaa tai tökätä tollanen koneeseen ja pääsis helposti (ja turvallisesti) kirjautumaan palveluihin...

Ei tarvitse molemmille sentään omaa mutta kaksi kappaletta hyvä olla. Yubikey Neo on siihen sopiva sillä löytyy USB + NFC joten toimii hienosti Androidilla että koneellakin. IPhonessa en tiedä toimiiko kun NFC taisi olla pitkään suljettu muilta kuin Applelta.

 

[=JP=]

No voihan....

Tabletissani ei tieteskään ole NFCtä, meni siinä se idea sitten. Aikas harvassa tabussa tuo taitaa olla, kun ei sille taida kauheesti olla käyttöä isommissa vermeissä.

 

[olkitu]

No voihan....

Tabletissani ei tieteskään ole NFCtä, meni siinä se idea sitten. Aikas harvassa tabussa tuo taitaa olla, kun ei sille taida kauheesti olla käyttöä isommissa vermeissä.

Aina toki sitten on se USB-portin avulla jos vain mahdollista. Toki ilmeisesti tossa Googlen tuotteessa se Bluetooth-tukikin.

Mutta ei aina ole kätevin tälläiset avaimetkaan, mutta toisaalta turvallisuus vs käytettävyys.

 

[=JP=]

Juuh, tutkasin vähän et jos käyttäs OTG -kaapelia tuon kanssa, mutta tuntuu olevan sitten paljon epäyhteensopivuuksia mobiili sovelluksien kanssa, joten pitänee sitten miettiä asiaa vielä tovin. KeePass tietokanta luurissa systeemillä on tähän asti selvitty, mutta kun alkaa noita passuja olemaan sen verta paljon joka puolelle, niin aina pitää kaivaa luuri ja etsiä passuja, ei enää oma muisti vaan riitä millään

 

[Obi-Lan]

Nämä on 15e/kpl amazon.de:ssä. Testasin Google loginin ok koneella, puhelimessa en alkanut poistamaan tiliä. Kokeilin puhelimessa chrome + facebook web loginia ja ainakin siinä NFC puoli toimi. Vaatii Google Authenticatorin asennuksen vaikkei siihen mitään koodia määrittäisikään.

 

[Paapaa]

Heräsi yleinen kiinnostus Yubikey-avaimiin ja vastaaviin 2FA-tuotteisiin. Varsinkin tuleva Yubikey 5C NFC voisi olla passeli omaan käyttöön, toimii sekä USB-C:n että luurin kanssa. Mitä kokemuksia muilla on, onko kirjautuminen nopeampaa/helpompaa verrattuna perus Virtual MFA:han (esim. Google Authenticator)? Pärjääkö yhdellä Yubikeyllä, vai onko tilanteita, joissa 2 avainta on oltava?

 

[=JP=]

Jos ottaa käyttöön tuon Yubikey avaimen, niin voiko siinä rinnalla kuitenkin edelleen käyttää kolmannen osapuolen Authentikaatio softaa? Kun ei ny aina avain satu olemaan lähettyvillä, mutta puhelin olisi, josta napata koodi tarvittaessa.

Taskussa kun sattuu olemaan Sailfish puhelin...

 

[kaakau<"'\\/>]

Entä pitääkö, tai kannattaako, olla toinen tosiaan varmuudeksi, jos laite menee rikki? Yubikeyn sivuilla luki, ettei sitä voi varmuuskopioida, mutta aktivoidessa palvelun 2FA:ta rekisteröi molemmat avaimet samalla kertaa.

 

[=JP=]

Entä pitääkö, tai kannattaako, olla toinen tosiaan varmuudeksi, jos laite menee rikki? Yubikeyn sivuilla luki, ettei sitä voi varmuuskopioida, mutta aktivoidessa palvelun 2FA:ta rekisteröi molemmat avaimet samalla kertaa.

Kyl se helpoin tapa varmistaa on hankkia kaksi kappaletta (ja joissakin tapauksissa ainoa tapa) ja molemmat aktivoida aina palveluun, aikas selkeästi sitä aina painotetaan:

Can I Duplicate or Back Up a YubiKey?

For security, the firmware on the YubiKey does not allow for secrets to be read from the device after they have been written to the device. Therefore you cannot duplicate or back up a YubiKey or Security Key. For this reason, we recommend having ...

support.yubico.com

Ja näyttäisi tosiaan, että jos aktivoi U2F varmennuksen palveluun, niin sitten se on ainoa tapa enää päästä sisään, eli ei voi rinnan käyttää avainta ja vaikka aunthentikaatio appsia. Eli pakko sitten 24/7 olla avain mukana, jos tarvii kirjautua. Edelleen itse yritän selvittää, pystynkö laittamaan Gmailiin tuota, jos haluan Sailfish puhelimella jatkaa postien lukemista, kun eipä taida tukea varmistusta...
Ilkeää kun ei ole mitään helppoa ja toimivaa standardia, joka toimisi kaikissa ympäristöissä.

 

[neko]

Jos ottaa käyttöön tuon Yubikey avaimen, niin voiko siinä rinnalla kuitenkin edelleen käyttää kolmannen osapuolen Authentikaatio softaa?

Riippuisiko se palvelusta ja miten siellä on määritellyt itse? Ja ehkä avaimestakin. Itsellä on ollut jo vuosia Yubikey ja samaan aikaan on myös käytössä Google Authenticator. Näin siis Googlen palveluiden kanssa.

 

[=JP=]

Riippuisiko se palvelusta ja miten siellä on määritellyt itse? Ja ehkä avaimestakin. Itsellä on ollut jo vuosia Yubikey ja samaan aikaan on myös käytössä Google Authenticator. Näin siis Googlen palveluiden kanssa.

Ai, eli onnistuu rinnan käyttö, itse en löytänyt tuohon millään varmistusta, vaikka kuinka Googletti. Koska Yubikey on myöskin oma OTP authentikaatio appsi, niin se hankaloittaa oikeiden hakusanojen löytämistä. Mitenkähän tuon sitten varmistaa, pitänee lähettää postia ja kysyä asiaa, josko sais varmistuksen että toimisi noin kaikkien palveluiden kanssa.

 

[neko]

Mielestäni tuo on ihan palvelusta kiinni. En muista missä, niin oli vain joko tai, joten jätin sen Yubikeyn pois, koska aina ei ole toimivaa USB:tä välttämättä tarjolla, jos jossain muualla tarvitsisi (oma avain hankittu joskus 2014, joten siinä ei ole mitään hienouksia), Google Authenticator sentään tulee puhelimessa mukana kuitenkin.

 

[=JP=]

Mielestäni tuo on ihan palvelusta kiinni. En muista missä, niin oli vain joko tai, joten jätin sen Yubikeyn pois, koska aina ei ole toimivaa USB:tä välttämättä tarjolla, jos jossain muualla tarvitsisi (oma avain hankittu joskus 2014, joten siinä ei ole mitään hienouksia), Google Authenticator sentään tulee puhelimessa mukana kuitenkin.

Saattaa olla, että ihan palvelusta tuo on kiinni, koska Gmail ohjeistaa, että jos ei pääse yhdellä tapaa, niin lisää muita varmistuksia:

Use a security key for 2-Step Verification - Android - Google Account Help

Security keys can be used with 2-Step Verification to help you keep hackers out of your Google Account. Important: If you’re a journalist, activist, or someone else at risk of targeted online attack

support.google.com

Tip: To help you sign in if your key is lost, add more ways to prove it's you.

Mutta tuokaan ei ihan anna varmistusta asialle, että niitä voisi käyttää rinnakkain vapaasti milloin vain, vaan että jos avain hukkuu tilanteessa. Pitänee yrittää selvittää lisää...
Koska olisihan se kiva että avaimella pääsisi helposti koneella kirjautumaan ja sitten puhelimessa (taikka tien päällä kun ei aina muista kuitenkaan tuota avainta) tarvittaessa OTP koodeilla.

 

[=JP=]

Joka paikassa on käytössä 2FA, mutta tuota avainta olen jo pari vuotta harkinnut. Toisi lisäturvaa. Joku missä USB-C/NFC

Sieltähän on tulossa juuri sopiva sulle:

The YubiKey 5C NFC is a multi-protocol hardware authenticator with support for USB-C and NFC in an all-in-one key.

 

[Paapaa]

Sieltähän on tulossa juuri sopiva sulle:

The YubiKey 5C NFC is a multi-protocol hardware authenticator with support for USB-C and NFC in an all-in-one key.

Tätä itsekin odottelen. Läppärissä (ja luurissa) vain USB-C-portteja ja työpöytäkonekin tukee sitä. Joten vain tuolla pärjäisi ilman dongleja sekä luurin että koneiden kanssa. Mutta on koronan takia kai hieman viivästynyt.

 

[Paapaa]

Tänään tuli postissa Yubikey 5C NFC. Nätisti lähti pelittämään niin läppärillä (MBP 16") kuin luurilla (S20+). Laitoin tuon GitHubiin ja AWS:ään näin aluksi, sillä niiden kanssa ei tule ongelmia jos avain häviää. Pitää miettiä palvelu kerrallaan, ettei vahingossa jätä kirjautumista yhden laitteen varaan.

Itse laite on pieni, laadukkaan oloinen rakenteeltaan ja käyttö on nopeaa ja helppoa. Kun kirjaudut sisään, pyytää palvelu tökkäämään avaimen koneeseen (tai näyttämään luurille NFC:tä). Sitten vain painetaan sormella avaimen kosketusnäppäintä (NFC:llä ei tarvitse) ja homma on siinä. On tämä nopeampaa kuin puhelimen lukon avaaminen, Authenticatorin avaaminen, oikean koodirivin löytäminen ja 6-numeroisen OTP:n näpytteleminen. Miinuksena toki se, että nyt tuota pitää kuljettaa mukana vaikkapa avainnipussa.

Amazon.de:stä lähtee nyt 53.90 eurolla + verot:

Yubico - YubiKey 5C NFC - Two Factor Authentication USB: Amazon.de: Computers & Accessories

Yubico - YubiKey 5C NFC - Two Factor Authentication USB: Amazon.de: Computers & Accessories

www.amazon.de

 

[=JP=]

Tänään tuli postissa Yubikey 5C NFC. Nätisti lähti pelittämään niin läppärillä (MBP 16") kuin luurilla (S20+). Laitoin tuon GitHubiin ja AWS:ään näin aluksi, sillä niiden kanssa ei tule ongelmia jos avain häviää. Pitää miettiä palvelu kerrallaan, ettei vahingossa jätä kirjautumista yhden laitteen varaan.

Itse laite on pieni, laadukkaan oloinen rakenteeltaan ja käyttö on nopeaa ja helppoa. Kun kirjaudut sisään, pyytää palvelu tökkäämään avaimen koneeseen (tai näyttämään luurille NFC:tä). Sitten vain painetaan sormella avaimen kosketusnäppäintä (NFC:llä ei tarvitse) ja homma on siinä. On tämä nopeampaa kuin puhelimen lukon avaaminen, Authenticatorin avaaminen, oikean koodirivin löytäminen ja 6-numeroisen OTP:n näpytteleminen. Miinuksena toki se, että nyt tuota pitää kuljettaa mukana vaikkapa avainnipussa.

Amazon.de:stä lähtee nyt 53.90 eurolla + verot:

Yubico - YubiKey 5C NFC - Two Factor Authentication USB: Amazon.de: Computers & Accessories

Yubico - YubiKey 5C NFC - Two Factor Authentication USB: Amazon.de: Computers & Accessories

www.amazon.de

Nehän suosittelee ostamaan heti sen kaksi kappaletta (ja kloonata), juurikin sen takia, että katoaa taikka hajoaa se käytössä oleva, Se tottakai lisää kustannuksia reippaasti, mutta oletettavasti jälkipuinti tuossa tilanteessa on melkoinen, että saa poistettua hajonneen/kadonneen eri palveluista (liekkö edes onnistuu kaikista).

 

[olkitu]

Nehän suosittelee ostamaan heti sen kaksi kappaletta (ja kloonata), juurikin sen takia, että katoaa taikka hajoaa se käytössä oleva, Se tottakai lisää kustannuksia reippaasti, mutta oletettavasti jälkipuinti tuossa tilanteessa on melkoinen, että saa poistettua hajonneen/kadonneen eri palveluista (liekkö edes onnistuu kaikista).

Juu ehdottomasti sitten pitää olla kaksi jos aikoo kunnolla käyttää - toki voihan yhdelläkin kunhan on toinen tapa sitten palvelusa käytössä. Edelleen varmistaa että palauttaminen onnistuu mikäli menee rikki tai katoaa ettei mene tili lukkoon. Sama se kaikissa methodeissa.

 

[Paapaa]

Nehän suosittelee ostamaan heti sen kaksi kappaletta (ja kloonata), juurikin sen takia, että katoaa taikka hajoaa se käytössä oleva, Se tottakai lisää kustannuksia reippaasti, mutta oletettavasti jälkipuinti tuossa tilanteessa on melkoinen, että saa poistettua hajonneen/kadonneen eri palveluista (liekkö edes onnistuu kaikista).

Joo, niin suosittelee ja ihan syystä. Mutta haluan ensin testata yhdellä (turvallisesti). Kunhan on vaihtoehtoinen 2FA-tapa, ei ongelmaa tule. (Ja silloin toki turvallisuus määräytyy sen heikoimman lenkin perusteella.) Mä lähinnä haluan ensin kokeilla käyttöä vähän pidemmän aikaa, että tiedän plussat ja miinukset pelkkään Authenticatoriin verrattuna. Jos homma pelittää, hommaan toisen avaimen.

Kloonaaminen ei kai ole lainkaan mahdollista. Eli jos on kaksi avainta, niin ne kummatkin rekisteröidään palveluihin omina erillisinä avaimineen (U2F).

 

[=JP=]

Kloonaaminen ei kai ole lainkaan mahdollista. Eli jos on kaksi avainta, niin ne kummatkin rekisteröidään palveluihin omina erillisinä avaimineen (U2F).

Juu, kloonaaminen on tosiaan väärä termi, eli kaksi avainta konffataan samalle "secret key", jotka sitten rekisteröidään.

https://www.yubico.com/wp-content/uploads/2016/06/YubiKey_Identical_Credentials_ConfigGuide_en.pdf

 

[Monty68]

Markkinoille on tullut USB turva-avaimia kaksivaiheista tunnistautumista varten. Valmistajia on jo useampi ja on, myös bio mallisia turva-avaimia mihin vaaditaan sormenjälki. Turva-avain estää hakkeria saamasta käyttäjien tilejä hallintaansa, jos turva-avaimen saa asetettua pakolliseksi. Ongelmana voi olla, että itse ei pääse enää sisään, jos USB turva-avain hukkuu ja tästä syystä avaimia kehotetaan hankkimaan kolme, eikä niitä saisi säilyttää samassa paikassa, että ne kaikki ei huku tai hajoa samalla kertaa. Kaikki avaimet liitetään käyttäjän tileihin, missä niitä voi käyttää, että olisi se vara avain olemassa varalla. Windows 10 käyttöjärjestelmän voi, myös pakottaa vaatimaan turva-avainta. Turva-avain, myös nopeuttaa kirjautumista.

Itsellä ei ole vielä kokemusta, mutta kiinnostaa tämä aihe. Tässä ensimmäinen video jota olen katsonut tästä aiheesta.



Ensimmäisen kerran turva-avain hömpötys hyppäsi silmille, kun piti Microsoftilta ladata Windows 10:n asennus media USB-tikulle ja asentaa se tietokoneeseen johon oli vaihdettu uusi kovalevy hajonneet takia. Windows 10 asennus alkoi vaatimaan turva-avainta, mutta asennuksen sai tehtyä, kun valitsi eritavalla asennusvaihtoehdot. Ainakin Windows 10:n, voi asentaa uudelleen samaan tietokoneeseen, jos se on liitetty Microsoft tiliin ja se toimi ihan ok. Paljon aikaisemmin olin huomannut, kun Windows 10 käyttäjäksi laittaa Microsoft tilin tiedot, niin tietokone ilmestyy Microsoft tilille, nyt tiedän miten seuraavaan kerran asennan Windows 10:n uudestaan samaan tietokoneeseen.

Tuo turva-avain teknologia kehittyy varmaan vielä, eikä niitä ole montaa vuotta ollut markkinoilla.

Turva-avainten valmistajia:
Yubico Homepage YouTube
Feitian Homepage YouTube
Kensington Homepage YouTube
Googlella on Titan Security Key, mutta sitä ei voi ostaa suomesta ja ainakin osassa niissä on bluetooth, joka hiukan pistää epäilyttää tuvallisuuden puolesta.

 

[=JP=]

Näistä on jo keskusteltu aikaisemminkin tuolla:

Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

Kaksivaiheisen vahistuksen perusidea on varmentaa käyttäjän identiteetti kahdella tai useammalla tavalla. Tällä halutaan vahvistaa käyttäjätilien turvallisuutta, ja kaksivaiheisen tunnistuksen ansiosta pelkkä salasanan/pinkoodin urkinta ei johda puustapitkälle. Kaikista simppelein sovellus on...

bbs.io-tech.fi

 

[Cumbo]

Kumpi on parempi: Google Authenticator vai Microsoft Authenticator? Itse käyttänyt ensimmäistä mutta nyt tuli tuo mikkisofta vastaan. Siinä parempaa näyttäisi ainakin olevan, että tulee kännykässä push notificationina pyyntö eikä tarvi välttämättä numeroita syöttää.

 

[Kautium]

Kumpi on parempi: Google Authenticator vai Microsoft Authenticator? Itse käyttänyt ensimmäistä mutta nyt tuli tuo mikkisofta vastaan. Siinä parempaa näyttäisi ainakin olevan, että tulee kännykässä push notificationina pyyntö eikä tarvi välttämättä numeroita syöttää.

Aika pitkälti samaa kamaa ovat. Microsoft Authenticatorissa voi tosiaan valita ilmoituksen push-viestinä johon vastataan pelkästään hyväksy/hylkää. Minä olen käyttänyt pääasiassa Microsoftin sovellusta, johon on käsittääkseni tulossa jossakinn vaiheessa myös salasanahallinta mukaan (ainakin yrityskäyttäjille).

 

[Cumbo]

Aika pitkälti samaa kamaa ovat. Microsoft Authenticatorissa voi tosiaan valita ilmoituksen push-viestinä johon vastataan pelkästään hyväksy/hylkää. Minä olen käyttänyt pääasiassa Microsoftin sovellusta, johon on käsittääkseni tulossa jossakinn vaiheessa myös salasanahallinta mukaan (ainakin yrityskäyttäjille).

Oli siellä näemmä jo nyt salasanojen hallinta. KeePass ollut itsellä käytössä.

 

[Kautium]

Oli siellä näemmä jo nyt salasanojen hallinta. KeePass ollut itsellä käytössä.

Joo, niin on, mutta se ei taida vielä toimia kuin Edgen kanssa. Minulla on ollut käytössä Bitwarden ja sen kanssa ajattalin myös jatkaa, mutta yrityskäytössä tuo Authenticatorin salasanahallinta voi olla kätevä, kun sitä tarvitaan joka tapauksessa.