Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

[mikajh]

Kumpi on parempi: Google Authenticator vai Microsoft Authenticator?

Yksi merkittävä etu jälkimmäisellä, että sen voi asentaa useampaan kuin yhteen laitteeseen

 

[neko]

Yksi merkittävä etu jälkimmäisellä, että sen voi asentaa useampaan kuin yhteen laitteeseen

No onneksi mun Google Authenticator ei tiedä, että se on useammalla laitteella toiminnassa.

 

[Paapaa]

Hitto kun yleistyisi U2F eli turva-avaimen (Yubikey) käyttö 2FA-menetelmänä. Huomattavasti nopeampi ja turvallisempi tapa hoitaa tuo homma kuin kännykän softan availu, oikean rivin etsiminen ja 6 numeron näpyttely lomakkeeseen. On tuo jo isoilla saiteilla käytössä (GitHub, AWS, Google), mutta ei sentään joka paikassa tai edes suurimmassa osassa.

Toki tuon voi ulkoistaa myös salasanamanagerille, mutta itse koen että silloin osa 2FA:n ideasta katoaa.

 

[user9999]

Authyä tullu käytettyä jo kauan. Löytyy työpöytä ja mobiiliversiot. Nuo jääneet vähäiselle käytölle kun tuo Authy toimii kellossa (Apple Watch).

‎Twilio Authy

‎Authy brings the future of two-factor authentication to the convenience of your iPhone or iPad. The Authy app generates secure 2 step verification tokens on your device. It help’s you protect your account from hackers and hijackers by adding an additional layer of security. Why Authy is the...

apps.apple.com

 

[Kautium]

Hitto kun yleistyisi U2F eli turva-avaimen (Yubikey) käyttö 2FA-menetelmänä. Huomattavasti nopeampi ja turvallisempi tapa hoitaa tuo homma kuin kännykän softan availu, oikean rivin etsiminen ja 6 numeron näpyttely lomakkeeseen. On tuo jo isoilla saiteilla käytössä (GitHub, AWS, Google), mutta ei sentään joka paikassa tai edes suurimmassa osassa.

Toki tuon voi ulkoistaa myös salasanamanagerille, mutta itse koen että silloin osa 2FA:n ideasta katoaa.

Vaihtoehtoja on toki hyvä olla, mutta minä en ole kokenut ongelmaksi painaa luurista hyväksy-painiketta perinteisen kirjautumisen jälkeen. Ei tarvitse avata mitään sovellusta, kun ilmoitus tulee suoraan ruudulle ja voi siitä suoraan klikata valintaa. Sehän vastaa aika pitkälti sellaisena juuri Yubikeyn toimintaa.

Se on vaan ongelma vielä pitkän aikaa, että hyvin harvaa pienempää palvelua saa liitettyä mm. juuri MS:n authenticatoriin.

 

[Obi-Lan]

Jos käyttää MFA:ta Microsoftin tuotteissa, on Microsoft Authenticator niihin parempi. Se tukee push notifikaatioita mitkä ovat mukavempia kuin koodin näpyttely. Perus vaihtuviin TOPT koodeihin kaikki on samalla viivalla, voi laittaa vaikka Keepassiin niin saa ne koodit auki millä laitteella tahansa.

 

[mikajh]

No onneksi mun Google Authenticator ei tiedä, että se on useammalla laitteella toiminnassa.

Kohta varmaan väität, että niissä on jopa kaikissa saman Google accountin varmistus ja ihan toimivia koodeja tulee kaikista

 

[Paapaa]

Vaihtoehtoja on toki hyvä olla, mutta minä en ole kokenut ongelmaksi painaa luurista hyväksy-painiketta perinteisen kirjautumisen jälkeen. Ei tarvitse avata mitään sovellusta, kun ilmoitus tulee suoraan ruudulle ja voi siitä suoraan klikata valintaa. Sehän vastaa aika pitkälti sellaisena juuri Yubikeyn toimintaa.

Se on vaan ongelma vielä pitkän aikaa, että hyvin harvaa pienempää palvelua saa liitettyä mm. juuri MS:n authenticatoriin.

Ai tuossa on push-notifikaatiot? Vaatii siis tuen sivustolta? Entä jos tukea ei ole, niin voiko silti käyttää kuten Google Authenticatorilla eli itse näpyttäen? En ole aiemmin MS-a:han tutustunut.

 

[neko]

Kohta varmaan väität, että niissä on jopa kaikissa saman Google accountin varmistus ja ihan toimivia koodeja tulee kaikista

Kyllä. Kuvaan sain laitteista kaksi, koska kolmannella kuvasin.
Kuten näet, on useamman Googlen tilin, sekä ties kaiken muunkin missä toimii. Nuohan saa vietyä nuo tiedot haluamaansa laitteeseen. Ollut jo vuosia useammassa laitteessa, olisiko 2016 lähtien ainakin, en ole varma.

 

[Kautium]

Ai tuossa on push-notifikaatiot? Vaatii siis tuen sivustolta? Entä jos tukea ei ole, niin voiko silti käyttää kuten Google Authenticatorilla eli itse näpyttäen? En ole aiemmin MS-a:han tutustunut.

Ainakin tosiaan Microsoftin omissa palveluissa on push-notifikaatiot optiona. Minulla on siellä lähinnä töiden puolesta muutamia eri Azure/O365-tenantteja ja niissä voi valita millä tavalla haluaa sen MFA:n hoitaa (hyväksyntä/sovelluksen koodi/tekstiviestikoodi/robottipuhelu). Sitten minulla on siellä myös henkilökohtainen outlook.com-tili, joka toimii niin että pitää klikata ilmoituksesta samaa koodia mikä näkyy kirjautumisen yhteydessä näytöllä. En ole koskaan tutkinut voisiko siinäkin muuttaa tuota menetelmää halutessaan, mutta tuo on tuollaisena ihan yhtä kätevä kuin pelkkä hyväksy-painikkeen klikkaus.

Sovelluksen voi asentaa niin moneen laitteeseen kuin haluaa ja ilmoitukset tulevat niistä kaikkiin ja kirjautumisen voi hyväksyä millä tahansa.

En ole sinne muita ulkoisia palveluita liittänyt, mutta oletan että vastaava toiminnallisuus on käytettävissä niissäkin. Ottakaa suolan kanssa, kun tämä ei tosiaan ole varmaa tietoa.

 

[nestori]

Ai tuossa on push-notifikaatiot? Vaatii siis tuen sivustolta? Entä jos tukea ei ole, niin voiko silti käyttää kuten Google Authenticatorilla eli itse näpyttäen? En ole aiemmin MS-a:han tutustunut.

Ainakin tosiaan Microsoftin omissa palveluissa on push-notifikaatiot optiona. En ole sinne muita ulkoisia palveluita liittänyt, mutta oletan että vastaava toiminnallisuus on käytettävissä niissäkin. Ottakaa suolan kanssa, kun tämä ei tosiaan ole varmaa tietoa.

Samoin mulla duuniluurissa on eri palveluiden MFA:t. MSFT:n omien lisäksi mm. F-Securen, Gitlabin, erilaisten salaisuuksienhallintasoftien.
Tässä Microsoftin versiossa iso plussa noi push-notifikaatiot vs. muut. Ja ihan koodillakin toimii kuten Googlen versiossa niihin mistä ei pusheja tule.

 

[Monty68]

Microsoftin Authenticator:n voi asentaa jopa iWatch:n, eli Applen kelloon. Itse mietin USB turva-avainta, mutta niitä pitäis olla useampi, eli se ei ole halpa vaihtoehto. Sormenjäljen tunnistus olis hyvä lisä ja niitäkin on bio mallisissa turva-avaimissa. Aina pitäisi olla se vara vaihtoehto, että ei lukitse itseään ulos omilta tileiltä. Sekään ei olisi pahasta, jos tarvitsisi fyysisen avaimen ja sormenjälki kuittauksen kännykän tai tabletin lukijasta, mutta sitten se on jo kolmivaiheinen tunnistus. Ihmettelen vasta turva-avainten ominaisuuksia, eli sitä mikä, niistä olis se paras vaihtoehto. Uusia malleja tulee ja teknologia on ollut vasta muutaman vuoden markkinoilla.

 

[Paapaa]

Microsoftin Authenticator:n voi asentaa jopa iWatch:n, eli Applen kelloon. Itse mietin USB turva-avainta, mutta niitä pitäis olla useampi, eli se ei ole halpa vaihtoehto. Sormenjäljen tunnistus olis hyvä lisä ja niitäkin on bio mallisissa turva-avaimissa. Aina pitäisi olla se vara vaihtoehto, että ei lukitse itseään ulos omilta tileiltä. Sekään ei olisi pahasta, jos tarvitsisi fyysisen avaimen ja sormenjälki kuittauksen kännykän tai tabletin lukijasta, mutta sitten se on jo kolmivaiheinen tunnistus. Ihmettelen vasta turva-avainten ominaisuuksia, eli sitä mikä, niistä olis se paras vaihtoehto. Uusia malleja tulee ja teknologia on ollut vasta muutaman vuoden markkinoilla.

Aika useassa palvelussa on joka tapauksessa puhelinnumero tai joku muu kontakti annettuna, jolloin yhdelläkin turva-avaimella voi pärjätä. Mutta tosi tärkeä miettiä skenaario että avain katoaa tai hajoaa.

Avain on ainakin jossain määrin kätevin tapa hoitaa 2FA, sillä avaimen voi pitää koko ajan USB-portissa kun tekee hommia. Jolloin kirjautuminen vaatii yleensä vain hipaisun. Nopealta tuo MS Authenticatorin push-kirjautuminenkin kuulosti. Ei ainakaan merkittävästi hitaampaa kuin avaimella. Itselläni Yubikey 5C NFC, jossa siis ei ole sormenjälkeä, vaan hipaisu. Veikkaan, että sormenjälki voisi olla hitaampi/epävarmempi käytössä. Käytän tuota avainta ainoastaan U2F-moodissa, eli Yubicon halvinkin malli ajaisi asian, mutta koska sitä ei saa USB-C-portilla, niin tämä oli helppo valinta. Saksan Amazonista joku 50-60e luokkaa.

 

[=JP=]

Olisikohan tässä hyvä vaihtoehto turva-avaimeksi, Open Source, hintakin vaikuttaisi olevan reippaasti alhaisempi verrattuna markkinoilla oleviin (esim. Yubikey). Joukkorahoitus projektihan tuo on, mutta jo toista sukupolvea ja näyttäisi siirtyneen tuotantoon, eli pitäisi olla aikas varma tapaus.

Our Solo v2 launch is official!

Our Kickstarter campaign for our next generation of Solo products launches on January 26th. To get alerted when the campaign is live, you can sign up here. Update: The campaign is now live! Check it out to see all the details. Humble beginnings I've been working on Solo for almost 3 years...

solokeys.com

USB-A tai USB-C -liittimellä, myöskin NFC löytyy...

 

[Paapaa]

Olisikohan tässä hyvä vaihtoehto turva-avaimeksi, Open Source, hintakin vaikuttaisi olevan reippaasti alhaisempi verrattuna markkinoilla oleviin (esim. Yubikey).

Ihan kiinnostava uudistus! Mä en ihan tajunnut, mitä noi Kickstarterin hinnat ovat ja mitä Indiegogon hinnat. Eli onko tuota $25:n (+ kulut) vaihtoehtoa vielä saatavilla? Tuohon hintaan laitan ehdottomasti tulemaan kakkos-FIDO2-avaimeksi ja omiin autentikointitesteihin. (Koodasin FIDO2/Webauthn-kirjautumisen ihan testimielessä Yubikeylle ja olisi kiva kokeilla toisellakin mallilla).

 

[=JP=]

Ihan kiinnostava uudistus! Mä en ihan tajunnut, mitä noi Kickstarterin hinnat ovat ja mitä Indiegogon hinnat. Eli onko tuota $25:n (+ kulut) vaihtoehtoa vielä saatavilla? Tuohon hintaan laitan ehdottomasti tulemaan kakkos-FIDO2-avaimeksi ja omiin autentikointitesteihin. (Koodasin FIDO2/Webauthn-kirjautumisen ihan testimielessä Yubikeylle ja olisi kiva kokeilla toisellakin mallilla).

Katos, en tajunnutkaan, et sillä on menossa 2 eri joukkorahoitusta yhtäaikaa, en osaa itse sanoa tarkemmin noista mitään, mutta tosiaan näyttäisi että Kickstarter kautta sais paljon halvemmalla...
Olisko siinä eroa, että Kickstarter on rajoitetut erät ja eikä monia enää jäljellä ja tuolla Indiegogo sitten on ns. rajattomat, eli tekevät niin paljon ku tilaajia. Nää joukkorahoitukset on aina pikkasen "joustavia" projekteja, mutta tämä ainakin näyttää varmasti toteutuvalta.

Eli just ton 25$ kohdalla sanotaan "Limited (46 left of 880)", samoin siellä on muidenkin kohdalla näkyvät saldot, ku tarkemmin katsoo.

 

[Paapaa]

Eli just ton 25$ kohdalla sanotaan "Limited (46 left of 880)", samoin siellä on muidenkin kohdalla näkyvät saldot, ku tarkemmin katsoo.

On saldot juu, mutta kirjautumattomalle tuo näyttää siltä, että mitään niistä ei voisi enää (?) valita. Ja sivun ainoa linkki vie Indiegogon sivuille. Eli ehkä tuo kampanja on päättynyt ja Indiegogo on nyt ainoa tapa tilata? No, sama se.

 

[Kautium]

On saldot juu, mutta kirjautumattomalle tuo näyttää siltä, että mitään niistä ei voisi enää (?) valita. Ja sivun ainoa linkki vie Indiegogon sivuille. Eli ehkä tuo kampanja on päättynyt ja Indiegogo on nyt ainoa tapa tilata? No, sama se.

Kovin sekavaa on yleensäkin kaikki näissä joukkorahoitusvirityksissä. Tässäkin tapauksessa Kickstarterin pre-order now -painike vie tosiaan Indiegogo.comiin, jossa yksi kappale maksaa 32 euroa + toimituskulut ja jos tilaa kerralla useamman, niin ne saa luonnollisesti vähän edullisemmalla kappalehinnalla.

 

[=JP=]

On saldot juu, mutta kirjautumattomalle tuo näyttää siltä, että mitään niistä ei voisi enää (?) valita. Ja sivun ainoa linkki vie Indiegogon sivuille. Eli ehkä tuo kampanja on päättynyt ja Indiegogo on nyt ainoa tapa tilata? No, sama se.

Juuh, kyl se Kickstarter on jo ohi, helmikuussa loppunut, mutta sitä ei selkeästi tuossa etusivulla vaan mainita, mutta kun kaivelee noita Update artikkeleita, niin sieltä asia selviää.

Update 7: It's final, 5831 backers! What happens now? · Solo V2 — Safety Net Against Phishing

5831 Backers, $386,771 = awesome support! The campaign for Solo v2 has tripled the campaign to launch the original SoloKey back in 2019. We are excited to see Solo v2 come to life as we now turn to preparations to churn out 15000+ keys to deliver to the Kickstarter backers. And we reached the...

www.kickstarter.com

It's not over! Continue to watch our campaign at IndieGoGo as we continue to accept preorders while we work through the manufacturing stage. Stretch goals still outstanding.
Supporting Kickstarter definitely gave you the best value. Please pass the word about IndieGogo...stretch goals reached there will be applied to your devices as well. But they don't get the Limited Edition & Kickstarter pricing! Kickstarter pledges will also ship with priority.

Eli ovat jatkaneet toisella alustalla, koska paljon kiinnostuneita, mutta hinnat nousseet ikävä kyllä, vaikka eihän tuokaan vielä paha ole ominaisuuksiin nähden...

 

[Paapaa]

Noniin, pistin yhden Solo v2:n tulemaan Indiegogosta. Muistutelkaa sitten kesällä, että tilasin tällaisen

 

[jad]

Onkos kenelläkään kokemuksia Trezorista ?

Alunperin kehitetty bitcoin lompakoksi, mutta myöhemmin lisätty U2F tuki. Itseäni ei niinkään mitkään coinit tuossa kiinnostaisi, mutta näppärän tuntuinen backup-tapa, näyttö ja fyysinen nappi hyväksynnälle olisi ominaisuuksia, joista itse tykkään.

Hekkarin kallis ja vähän isokokoinenkin, mutta silti vähän tekisi mieli kokeilla

Trezor Two-factor authentication with U2F

The safest cold storage wallets for crypto security and financial independence. Easily use, store, and protect Bitcoins.

wiki.trezor.io

 

[Paapaa]

Eli ovat jatkaneet toisella alustalla, koska paljon kiinnostuneita, mutta hinnat nousseet ikävä kyllä, vaikka eihän tuokaan vielä paha ole ominaisuuksiin nähden...

Laitetaas päivitystä, että tuli 1-2kk viivästys. Mikä sinänsä ei ole varmaan kovin yllättävää tämäntyyppisissä "tilauksissa".

Solo V2 - Safety Net Against Phishing

Security key to protect Gmail, Twitter, GitHub. Open, improved NFC, water resistant, reversible USB. | Check out 'Solo V2 - Safety Net Against Phishing' on Indiegogo.

www.indiegogo.com

Eli ehkä syksyyn mennessä olisi tuotteet valmiina postitettaviksi.

 

[=JP=]

Näyttäisi näppärältä sivustolta, josta voi tsekata, josko käytössä oleva palvelu tukee 2FA tekniikkaa, edes jossain muodossa.

https://2fa.directory/

Yllättävän harva tukee hardware pohjaista avainta...

 

[Paapaa]

Yllättävän harva tukee hardware pohjaista avainta...

Yhtä käsittämätöntä on että yhä edelleen AWS ei anna laittaa kuin yhden Yubikeyn 2FA-menetelmäksi. Eli ei mahdollisuutta backup-avaimelle. Asiaa on toivottu vuosia. No, hissukseen yleistyvät sentään.

 

[=JP=]

Yhtä käsittämätöntä on että yhä edelleen AWS ei anna laittaa kuin yhden Yubikeyn 2FA-menetelmäksi. Eli ei mahdollisuutta backup-avaimelle. Asiaa on toivottu vuosia. No, hissukseen yleistyvät sentään.

Antaako kuitenkin laittaa edes softa 2FA authentikaattorin lisäksi varulle? Aikas vaarallisia nuo, ku jos avain hajoaa, niin siitähän se soppa syntyy...
Mitä lukenut, niin tuokin tuntuu olevan monella ongelmana, että vain yksi authentikaatio tapa sallittu ja jos avaimen laittaa ja hajoo, niin mitäs sitten. Siksi tuo 2FA authentikaattori app on parempi vaihtoehto, ku voi backupata ne avaimet.

 

[Paapaa]

Antaako kuitenkin laittaa edes softa 2FA authentikaattorin lisäksi varulle

Ei Eli jos asetettu MFA ei toimi, saa root-käyttäjä kirjautumisen avattua emailin ja puhelinsoiton avulla.

 

[=JP=]

Ei Eli jos asetettu MFA ei toimi, saa root-käyttäjä kirjautumisen avattua emailin ja puhelinsoiton avulla.

No tuo on kyllä joltain Amazonin kokoiselta firmalta kyllä melkonen moka, ei hemmetti soikoon ja sitten ihmetellään ku tulee tietomurtoja... Kai ne odottaa, et sit ku napsahtaa kunnolla, niin pitää vasta sijoittaa tuollaiseen, pyytää anteeksi asiakkailta ja pyyhkiä koko juttu maton alle mahdollisimman pian.

 

[pekka666]

Mulla on nyt pari tuollaista Yubikey 5:sta, toinen usb-c ja toinen usb-a, ja molemmissa myös nfc. En kyllä tosiaan uskaltaisi luottaa mitään kauhean tärkeää yhden tuollaisen avaimen varaan. Pitää tosiaan joko saada molemmat avaimet tai sitten toiseksi vaihtoehdoksi google authenticator, freeotp+ tms.

Noita yubikeytä vartenhan on tuo yubico authenticator sovellus, joka toimii kuten google authenticator mutta ne koodit on tallennettu siihen avaimeen. Tuon sovelluksen sitten saa sekä älypuhelimelle että tietokoneelle.

 

[MysterumX]

Käytän Sonicwall netextenderiä + freeotp:tä vpn-yhteyden luomiseen. Tänään sain Yubikey 5 nfc-avaimen korvaamaan freeotp:n läppärissä. Mut haluisin saada saman yhteyden toimimaan mobiililaitteessa vielä, mutta IT-osasto ei osannut neuvoo et miten se onnistuu. Asensin Sonicwall:in ja kokeilin tuota nfc:tä, mut näyttöön tulee vaan "käytetäänkö Chrome jne jne", eikä vaihtoehdoissa esim ole tuota sonicwall:ia tai siihen viittaavaa. Eikä siis tosiaan anna sitä salasanaa. Freeotp:lla sain yhteyden luotua normaalisti.
Pitääkö mun asentaa erikseen jotain vielä, vai onks kyse jostain asetuksista, vai toimiiko se ylipäätään noin?

 

[neko]

No antaa olla...

 

[Infy]

En ole 100% varma toimiiko, mutta puhelimen ilmoitusten asetuksista, Google Play Services -> Prompts for sign in pois päältä. Jos toimii niin ei pitäisi enää näyttää puhelimessa sisäänkirjautumisen vahvistusilmoituksia.

Sisäänkirjautuessa Googleen edelleen vahvistustoimintona on silti tyrkytettynä tuo puhelimen vahvistusilmoitus, jonka sijaan pitää sitten valita joku muu, kuten autentikaattorisovelluksen kuusinumeroinen koodi.

 

[neko]

En ole 100% varma toimiiko, mutta puhelimen ilmoitusten asetuksista, Google Play Services -> Prompts for sign in pois päältä. Jos toimii niin ei pitäisi enää näyttää puhelimessa sisäänkirjautumisen vahvistusilmoituksia.

Kiitos vastauksesta, ei valitettavasti auttanut.

Sisäänkirjautuessa Googleen edelleen vahvistustoimintona on silti tyrkytettynä tuo puhelimen vahvistusilmoitus, jonka sijaan pitää sitten valita joku muu, kuten autentikaattorisovelluksen kuusinumeroinen koodi.

Ja tässä tullaa "ongelmaan", miksi kukaan käyttäisi mitään sovellusta kuin Kyllä -nappula riittää. Vääriin käsiin joutunut laite päästää kirjautumaan tilille kysymällä että mennäänkö sisälle vai ei. Sinänsä hyvä, että näkee tosiaan muualta yritetyt sisäänkirjaukset, mutta pitäisi olla jokin vaihtoehto tälle kytkeä laitekohtaisesti pois ilman että ko. tiliä kirjataan ulos. Jotenkin Google ei ole miettinyt tuota ihan loppuun saakka. Vaan kaipa tuon kanssa oppii elämään. Jos tulee vaikka vieraita, niin ylimääräiset laitteet piiloon.

 

[escalibur]

Ja tässä tullaa "ongelmaan", miksi kukaan käyttäisi mitään sovellusta kuin Kyllä -nappula riittää.

Vahinkopainaukset ovat mahdollisia, siksi nuo vaihtoehdot ovat lähinnä vaihtoehtoja. PIN-avaimen kopiointi tai erillinen syöttäminen vaatii jo yrittämistä.

Microsoftin Authenticatorissa on kätevä ominaisuus esim salasanan syöttämisen sijaan se esittää oikean 2FA numeron sivustolla ja lähettää korjautumispyynnönAuthenticaattoriin. Authenticator kysyy ensiksi FaceID:tä (Applen laitteet) ja sen jälkeen ehdottaa kolmea eri numerovaihtoehtoa joista vain yksi on oikea (sivustolla esitetty numero).

Tuo on todella kätevä tapa, koska salasanaa ei juurikaan tarvitse käyttää vaikkapa Outlook Onlinen kanssa.

Passwordless sign-in with Microsoft Authenticator - Microsoft Entra ID

Enable passwordless sign-in to Microsoft Entra ID using Microsoft Authenticator

docs.microsoft.com

 

[Paapaa]

Tämä ei meitä suomalaisia kauheasti vielä koske, mutta yleisellä tasolla tosi jees juttu että iso pankki on vihdoin alkanut hyväksyä FIDO2:n käyttöä 2FA:han. Eli Yubikey kelpaa jatkossa Bank of American 2FA-menetelmänä.

Online Banking Security Features FAQs - Bank of America Security Center

Your privacy is a top priority for Bank of America. Learn more about the additional security features we offer to protect your information.

www.yubico.com

Pankeilla on hirmusti omaa 2FA-menetelmää käytössä ja yhä edelleen turva-avain on suurin piirtein turvallisin tapa hoitaa tuo asia. Saa nähdä, milloin tuo yleistyy Euroopassa. En pidättele hengitystä.

 

[Paapaa]

Ainakin tosiaan Microsoftin omissa palveluissa on push-notifikaatiot optiona.

Tässä Microsoftin versiossa iso plussa noi push-notifikaatiot vs. muut.

Vihdoin tuli tätäkin kokeiltua. Pushit on sinänsä tosiaan näppäriä, mutta muutoin tuo ei ole ihan verrannollista Google Authenticatorin käyttöön, sillä MS:n palvelu vaatii tilin, mikä ei välttämättä aina ole hyvä asia. Normi TOTP:t voi ottaa käyttöön ilman tiliä.

 

[user9999]

MacOS Monterey, iOS 15 ja iPadOS 15 käyttiksiin on sisäänrakennettu tuo 2FA. Tosin tuo toimii nyt myös macOS Big Sur 11.6 versiossa, jossa on uusin Safari.

Vähän tuota testannut. Toimii ihan ok eli sitten kun tarve syöttää 2FA koodi niin sen pystyy esim. sormenjäljellä hyväksymään.
Tuossahan on tunnus, salasana ja koodi samassa korissa eli iCloud avain-nipussa

 

[=JP=]

Tuon aiemman kuvan perusteella voisin kuvitella että tuo SMS autentikointi ei ole pakollinen joten luulisin että numeroa ei tarvita 2FA käyttöönoton jälkeen. Jos myöhemmin jostain syystä haluaa 2FA pois päältä tai vaihtaa puhelinnumeroa niin eiköhän se sitten kysy vaan OTP:n ja tyytyy siihen.

Mutta tämä perustuu täysin omiin kuvitelmiin ja luuloihin, ei faktoihin.

Ajattelin itse ainakin hankkia sen prepaidin taikka latausliittymän, ei tuo Twitch kuitenkaan ole ainoa joka puhelinnumeroa kyselee. Tarvitsee vaan laittaa kalenteriin muistutus että latailee sitä liittymää vaikkapa 11kk välein ettei se mene kiinni.

Paremmin kuuluu tämä keskustelu tänne mielestäni...

Nyt heräsi kysymys, eli onko tosiaankin pakko antaa puhelinnumerokin sinne, vaikka ottaisi käyttöön vain tuon OTP?

 

[JokuHullu]

Paremmin kuuluu tämä keskustelu tänne mielestäni...

Nyt heräsi kysymys, eli onko tosiaankin pakko antaa puhelinnumerokin sinne, vaikka ottaisi käyttöön vain tuon OTP?

On. Kun painaa 'Enable 2FA' nappia niin tulee tälläinen:
Two-Factor Authentication Enter the mobile number for a device you trust. We will text you a 7-digit security code to verify your phone.
En näe mitään keinoa ohittaa tuota.

 

[=JP=]

On. Kun painaa 'Enable 2FA' nappia niin tulee tälläinen:
Two-Factor Authentication Enter the mobile number for a device you trust. We will text you a 7-digit security code to verify your phone.
En näe mitään keinoa ohittaa tuota.

Jo on kyllä outo, että tuollainen turhake pitänyt laittaa, että vaan saadaan puhelinnumero tallennettua tahallaan. Itse en näe tuossa mitään järkisyytä pyytää numeroa, jos kerta on liittämässä jotain 2FA appia tiliin.

 

[mikajh]

Yubico julkaissut ja alkanut myymään Bio-versiota (sormenjälkiskanneri). USB-C -mallit loppuivat kättelyssä, mutta USB-A -mallia oli ainakin vielä eilen illalla (max 2 kpl/tilaus): Put Your Finger on the Pulse of What’s New with the YubiKey Bio Series
Aika tyyriitähän nuo ovat, mutta elämä on (80-85 e ALV 0)

EDIT: Aika näppärästi toimii siihen verrattuna kun/jos ei-biomallissa joutuu syöttämään PIN-koodin ja sitten "koskettamaan" tikkua, kun Biossa kaikki hoituu kerralla

 

[pulatunnus]

Tuon aiemman kuvan perusteella voisin kuvitella että tuo SMS autentikointi ei ole pakollinen joten luulisin että numeroa ei tarvita 2FA käyttöönoton jälkeen. Jos myöhemmin jostain syystä haluaa 2FA pois päältä tai vaihtaa puhelinnumeroa niin eiköhän se sitten kysy vaan OTP:n ja tyytyy siihen.

Mutta tämä perustuu täysin omiin kuvitelmiin ja luuloihin, ei faktoihin.

Ajattelin itse ainakin hankkia sen prepaidin taikka latausliittymän, ei tuo Twitch kuitenkaan ole ainoa joka puhelinnumeroa kyselee. Tarvitsee vaan laittaa kalenteriin muistutus että latailee sitä liittymää vaikkapa 11kk välein ettei se mene kiinni.

Keskustelua ja komenttisia tulkiten.
Puhelinnumeroa tarvitsee kerran, jonka jälkeen sillä ei merkitystä ?

Sen jälkeen sitten on käytettävissä kaksivaiheinen tunnistus, jossa ei tarvita puhelinnumeroa.

OTP , eli kertakäyttöinen salasana, niin sen sitten saa jollain vaihtoehtoisella kanavalla/tavalla (muulla kuin puhelinnumero).

Mitä virkaa tuolla puhelinnumerolla on ? jos sen puhelin numeron menettää, eli se palautuu jakoon ja jonkun muun käyttöön, niin onko se riski.

- Voiko sillä ja tunnuksella kirjautua ?
- Voiko puhelinnumeron poistaa tiedoista, ilman että tarvii lisätä uusi toimiva SMSää tukeva puhelinnumero tilalle
- Ilmeisesti soita vaihtoehtoa ei ole, eli siis pelkkä puhe numero ei riitä

 

[JokuHullu]

Puhelinnumero on pakko antaa Twitchille jos haluaa 2FA:n käyttöön. En tiedä voiko puhelinnumeron poistaa tiedoista 2FA käyttöönoton jälkeen, itse kun en ole vielä mitään numeroa sinne antanut.

Joidenkin screenshottien perusteella 2FA on ensisijaisesti jollain authenticator applikaatiolla kuten esimerkiksi andOTP ja varalle voi halutessaan aktivoida SMS authentikoinnin.

Twitchin login sivu pyytää tunnusta ja salasanaa, plus lisäksi sitten se OTP jos se on käytössä. En usko että pelkkä tunnus + puhelinnumero kirjautumiseen riittää vaan tarvitaan kaikki kolme, tunnus + salasana + OTP. Ei se muuten olisi enää 2FA.

Voisin olettaa että 2FA käyttöönoton jälkeen, jos Twitchille annettu puhelinnumero ei ole enää käytössä numeron voisi ainakin vaihtaa toiseen ja tämän tapahtuman varmistuksena toimisi sitten authentikointi applikaatiosta saatava OTP. Jos käytöstä poistunut numero palautuu jakoon niin en näkisi sitä kovin isona riskinä. Vaikka SMS autentikointi olisi päällä ja numeron uusi haltija saisi koodin SMS viestinä, on aika epätodennäköistä että hän osaisi tämän yhdistää juuri minun Twitch tiliini. Nuo kooditkaan ei taida olla voimassa kovin kauaa.

Mutta tosiaankin tiedän paremmin vasta sen jälkeen kun olen saanut aikaiseksi hankkia itselleni jonkin toissijaisen puhelinnumeron mitä voin sitten tälläisissä tapauksissa käyttää ja kokeillut koko tätä hässäkkää käytännössä. Paras tilannehan olisi jos tuota puhelinnumeroa ei tarvitsisi tuonne laittaa ollenkaan kuten =JP= tuossa aiemmin mainitsi.

 

[ztec]

Monet ei muuten ole huomannut että mm. Android puhelimissa on FIDO2 / WebAuthn tuki olemassa suoraan j valmiina. Aivan mainio feature jos on tarvetta.

Sekä sitten on mielenkiintoisia hybridi ratkaisuita kuten IDmelon jossa avain on puhelimessa, mutta sen voi siirätä PC:lle Bluetooth lukijan avulla.

 

[mikajh]

Ja tällä voi arvioida noiden turvallisuutta: FIDO Security Reference

 

[ztec]

Ja tällä voi arvioida noiden turvallisuutta: FIDO Security Reference

Kiitos, oli paljon kattavampi analyysi kuin mitä aluksi ajattelin. Autentikointiin liittyy kyllä monenlaisia uhkamalleja, joita usein ylenkatsotaan.

 

[Paapaa]

Laitetaas päivitystä, että tuli 1-2kk viivästys. Mikä sinänsä ei ole varmaan kovin yllättävää tämäntyyppisissä "tilauksissa".

Laitetaas uusi päivitys. Nut tuo avain on jo 5kk myöhässä alkuperäisestä

Mutta yhä tuloillaan:

Solo V2 - Safety Net Against Phishing

Security key to protect Gmail, Twitter, GitHub. Open, improved NFC, water resistant, reversible USB. | Check out 'Solo V2 - Safety Net Against Phishing' on Indiegogo.

www.indiegogo.com

En pidättelisi hengitystä, että saavat tämän vuoden aikana noita tukijoille.

 

[ztec]

Nämä on muuten myös varsin varteenotettavia, vaikka aina kaikki sanoo että Yubikey, niin on niitä muitakin vaihtoehtoja olemassa:

TrustKey Solutions, Inc.

TrustKey G310 USB-A Biometric Fingerprint FIDO2 Security Key

www.trustkeysolutions.com

Toimii kuin unelma ja ainakin teknisesti paljon parempi ja vahvempi kuin Solo v1. Titan avaimia unohtamatta.

 

[mikajh]

Toimii kuin unelma

En usko, että toimii yhtä unelmallisesti kuin Yubikey Bio, joka on toki ominaisuuksiltaan rajoittunut, mutta ei vaadi PIN-räpellystä

 

[user9999]

MacOS Monterey, iOS 15 ja iPadOS 15 käyttiksiin on sisäänrakennettu tuo 2FA. Tosin tuo toimii nyt myös macOS Big Sur 11.6 versiossa, jossa on uusin Safari.

Vähän tuota testannut. Toimii ihan ok eli sitten kun tarve syöttää 2FA koodi niin sen pystyy esim. sormenjäljellä hyväksymään.
Tuossahan on tunnus, salasana ja koodi samassa korissa eli iCloud avain-nipussa

Siirryin käyttämään tuota Applen omaa 2FA juttua kun se toimii niin hyvin. Authy on vielä rinnalla.
Macin Authy Desktop appi on vielä vanha roska eli se ei ole ARM appi vaan intel. Huomasin, että iPad appi toimii macissa ja siirryin siihen ja poistin tuon vanhan. Ipad appi tukee Touch ID niin nyt aukeaa Authy sormenjäljellä Macissa

 

[Spartacus]

Google authenticator on käytössä parissa paikassa ja vierastan hieman tuon käyttöä kun pelottaa jos puhelin vaikka hajoaa niin miten nuo tiedot saa uuteen puhelimeen.

Meneekö se nyt niin, että jokaiseen palveluun joka tuossa authenticatorissa on niin siihen on oma palautusavain joka pitäisi pitää jossakin tallessa? Eli jos puhelin vaikka hajoaisi ja minulla on tuossa kymmenen tiliä yhdistettynä niin tarvitsen kymmenen palautusavainta jotta saan ne takaisin siihen?

Tuo on aika käteävä ominaisuus tuomaan lisäturvaa mutta kauhistuttaa ajatus, ettei pääse enää mihinkään käsiksi jos paska osuu tuulettimeen.