On ihan palvelukohtaista, miten tilin saa takaisin käyttöön jos se 2FA-menetelmä on Google Authenticator/vastaava ja luuri katoaa. Eli sun pitää joka palvelun kohdalla selvittää, miten toimit: onko jotain koodeja, voitko asettaa sinne useamman 2FA-menetelmän, pitääkö soittaa asiakastukeen jne. Ja hyvä että mietit asiaa, sillä todellakin pitää aina olla B-suunnitelma sen varalta että se pää-2FA ei enää toimi
Siinä tapauksessa, että käytössä on useampi kuin yksi laite (toinen puhelin, tabletti, ja ehkä vielä jotain eksoottisempaa), Google Authenticatorissa on erittäin kätevää kopioida n kpl tilejä johonkin toiseen laitteeseen.
Itse suosittelisin siirtymään sellaiseen 2FA softaan, joka mahdollistaa varmuuskopioinnin käyttäjän niin halutessa, jonka sitten varmistat useaan paikkaan (ja muistat tehdä uuden kun lisäilet tilejä), esim.
f-droid.org
Tuo olisi varmasti paras vaihtoehto. Pitääkin tutustua tuohon.Itse suosittelisin siirtymään sellaiseen 2FA softaan, joka mahdollistaa varmuuskopioinnin käyttäjän niin halutessa, jonka sitten varmistat useaan paikkaan (ja muistat tehdä uuden kun lisäilet tilejä), esim.
Aegis Authenticator | F-Droid - Free and Open Source Android App Repository
Free, secure and open source 2FA app to manage tokens for your online services
Eli jos luuri hajoaa/katoaa, niin senkus lataat varmuuskopion uuteen luuriin ja jatkat hommia...
Kun uuden TOPT tilin lisäät, niin voit tehdä sen useammalle laitteelle skannaamalla saman QR koodin.
TOTP:n kohdalla nousee tietysti se heti esille, että avaimet on aika heikkoja, tietysti käytettävyys syistä. Mutta nykymittareilla ne on kyllä oikeasti huonoja. Henkilökohtaisesti suosin vahvempia ratkaistuita kuten FIDO2.
Mitenkäs tämmöiset "kirjaudu sisään Googlen/Facebookin/mikälie kautta"-jutut on yleensä toteutettu? Autentikointipalvelun tarjoaja lähettää "käyttäjätunnus+suola+salakala tyyliin /etc/shadow"-kombinaation vai mitenkä? Vai tuleeko sieltä jotain sessiokohtaista tikettiä mikä täsmää kirjautumista haluavan keksiin? Vai jotenkin muuten?
Jotenkin näin
Käyttää hyödyksi OAuth, tuolta voit lukea enempi:
developers.google.com
www.hanko.io
Niih, siis. Hello tukee sormenjäljellä avaamista, ja tukee myös FIDO2 avaimia. Noi on sinänsä kaksi tavallaan täysin erillistä asiaa. Mulla kun on molempia vaihtoehtoja käytössä.
Siksi laitoinkin lainausmerkkeihin, koska nyt ei tarvitse FIDO2:n pin-koodia hankalasti näpytellä. Aiemmin oli toki työmaalla käytössä muuten, paitsi juuri Windows Hello:n kanssa FIDO2.
Ilman Helloakin mm. biometrisellä FIDO2 avaimella on todella ilo kirjautua mm. Officeen mistä vaan (FIDO2 Passwordless). Kun se PIN koodi on korvattu sormenjäljellä, mutta avaimet on silti vaan HSM:ssä turvassa, joka lukittuu virheelisistä yrityksistä.
Mun mielestä kaikki, jossa voi kirjautua Googlella, Facebookilla ym ovat OAuth kirjautumisia. Microsoft poistaa Basic Authin kokonaan Azure AD/Office 365:sta ensi lokakuussa ja sen jälkeen sinne voi kirjautua vain MS:n OAuth toteutuksella.
Juurikin näin, mutta se on käyttäjän kannalta epäolennaista miten se teknisesti tapahtuu. Se on vähän kun sanotaan että tekstiviesti kirjautuminen on epäluotettava ja vaarallinen tapa, no mutta Mobiilivarmenne on just sitä. Tosin se vaan on toteutettu ihan toisella tavalla.
tuotteistetut kirjatumiset. Harvassa on ne, johon voi itse syötellä tarvittavat tiedot ja kirjautua sisään. Muistaakseni Ubuntu Forums ja Stack Overflow toteutti noi oikein, on mun mielestä ainoat tapaukset joihin itse olen törmännyt missä toimii kuten kuuluu. Varmaan muitakin on, mutta toi oli mun henkilökohtainen kokemus. Jos ajan omaa identiteetti serveriä, miten voin kirjautua identiteetilläni OAuthia käyttäen useimpiin palveluihin? No eipä onnistu, kun ne eivät halua hyväksyä mun identiteettiserveriä ja sen myöntämiä käyttöoikeuksia.
Se mitä enemmistöllä on, kiinnosti käyttäjää itseensä tai ei: android puhelin + gmail tili tai apple puhelin+apple id, corporate käyttäjillä on M365 tai Gsuite ja loput on marginaalitouhuja. Josko lähiaikoina alkaa näkyä myös "kirjaudu Microsoftilla" optioita kun pakotetaan kaikille MS tili Windowsiin. Luottamussuhteen rakentaminen Googlen, Applen, Facebookin tai Microsoftin Identiteettipalvelimille kannattaa koska se voi palvella suurta käyttäjämäärää. Saman vaivan näkö sellaiselle palvelimelle, jossa on yksi käyttäjä tuskin kannattaa ikinä.
Varsin totta, mutta mm. FIDO2:n ja muiden itsenäisten ja avointen ratkaisuiden kuten TOTP:n kanssa mitään ongelmaa ei ole tuossakaan tapauksessa. Kuka vaan voi ottaa käyttöön, helposti ja pyytämättä keneltäkään lupia, koska tekniikat ja standardit on avoimia. Siksi pidän niistä, versus kuinka moni websaitti käyttää esim. RSA SecurID:tä.
www.macrumors.com
Eipä kannattanut pidättää. Nyt realistinen targetti on tämän vuoden loppu
www.indiegogo.com
Tämä. Samoin se oli hyvä muistaa, että Android puhlimissa (ainakin suuressa osassa) on FIDO2 tuki. Niin ärsyttää kun ihmiset vänkää tuota vastaan "kun kuulemma ei sitten voi mitään jos se katoaa". Joka tietenkin on täyttä disinformaatiota, mutta pitäähän sitä aina olla joku syy, millä voipi vastustaa kaikkea.
Tarjouksen ehdoista:
Joku kirjoitti Redditissä että euroilla maksetut avaimet toimitettaisiin Ruotsista mutta tästä en ole varma koska en ole vielä omaa koodia saanut.
Ristiriitaista tietoa kyllä sivuilla, koska "Yubico Security Key NFC at $10 USD" ja "Yubico Security Key C NFC at $11.60 USD" on ihan eri tuotteita kuin nuo "YubiKey 5 NFC and YubiKey 5C NFC".Tarjouksen ehdoista:
Offer Terms: This one-time use coupon will expire on December 31, 2022, at 11:59pm PT and is valid only at Yubico.com/store. The promotional pricing is valid for YubiKey 5 NFC and YubiKey 5C NFC
YubiKey 5 normihinta on noin 50€, eli on aika hyvä tarjous vaikka tuo $10 olisikin veroton hinta. Postikuluthan pitäisi olla ilmaiset.
Ristiriitaista tietoa kyllä sivuilla, koska "Yubico Security Key NFC at $10 USD" ja "Yubico Security Key C NFC at $11.60 USD" on ihan eri tuotteita kuin nuo "YubiKey 5 NFC and YubiKey 5C NFC".
Ja kaikissa noissa on mainittu:
*VAT-exclusive pricing: VAT is calculated in checkout based on destination and volume.
Täytynee odotella, kunnes joku tilailee ja ilmoittaa mitä sieltä saa ja mihin hintaan
Mikäli toimitus menee edelleen samalla tavalla kuin toukokuussa Yubicon oman tarjouskampanjan aikaan, niin avaimet lähetetään Alankomaista ja myös tuolla halvemmalla toimitusmaksulla saa DPD:n toimituksen seurannalla.
Ruotsista taitaapi tällä kertaa mennä na lähti UPS:llä ainakin tuli seuranta. Itse halusin seurannalla niin maksoi vähän enemmän.
Juu suosittelen jos haluaa tuollaisen fyysisen tikun.
Kävin postaamassa tarjouksen tarjousketjuun: Tekniikka - Cloudfaren asiakkaille (myös ilmaistilit): Yubico Security Key NFC (2FA/MFA)-avain (alk. $10/avain)
Kai tuossa nyt perus SSH avainten tuki on myös mukana. Se on ihan kiva lisä.
On kyllä. Musta se lasketaan osaksi FIDOa. Eli meinaan noita ed25519-sk-avaimia. Niitten pitäisi toimia noilla riisutuilla avaimilla. Vanhanmalliset PGP-avaimet tuskin toimivat SSHn kanssa tolla riisutulla.
Niinhän se lasketaan, mutta FIDO:ssa on useita tukia eri cipher suiteille jne, ihan kuten AES-256-GCM on osa TLS:ää, niin se ei silti toimi kaikkialla. Eli esim. osa vanhemmista avaimista ei tue ed25519-sk:ta, niiden kanssa voi tosin toimia ecdsa-sk. Yubico:lla kun ei muistaakseni ole mahdolisuutta ajaa firmis päivityksiä avaimiin kuten monella kilpailijlla. Eli kun avain vähän vanhenee se pitää uusia, sen sijaan että päivittäisi vaan ohjelmistot siihen.
Eipä taida olla. Itsellä on tuon perusavaimen käyttö jäänyt aika minimaaliseksi Buy Two-Factor Security YubiKeys | Yubico
Pitäisi kyllä tukea -sk-avaimia SSHn kanssa. Voin kokeilla illalla omallani niin ei jää epäselvyyttä.
Tällaista laitekohtaista valintamahdollisuutta ei yleensä ole. Mutta sen sijaan on mahdollisuus valita niin, että luotettu laite muistetaan, eikä sen kanssa tarvitse MFA:n kanssa räpeltää joka kerta kun kirjautuu.
Onko riski enää kovin iso, että huijari / hakkeri voisi käyttää minun laitteen kautta tiliä (ns. luotettuna laitteena), kun käytössä pöytäkoneella on WIN 11 + F-secure toltal ja mobiilissa Iphone / Ipad compo ?
Mukavuus x turvallisuus on vakio, joten jos ei pidä mitään laitetta luotettuna ja kirjautuu itsekin aina MFA:n kautta, verkkorikollisten homma hankaloituu. Mobiililaite on turvallisempi kuin Windows, joten esim. raha-asioita on parempi hoitaa pelkästään sillä jne.
Kun tiettyyn laitteeseen luotetaan, niin sä tavallaan teet siitä laitteesta yhden 2FA-tekijän. Eli varas tarvitsee yhä edelleen sekä sun salasanan ja jonkun fyysisen laitteen (se luotettu laite, Yubikey/kännykän Authenticator). Eli vaikka luotat laitteeseen, on se tili todella paljon varmemmin suojattu kuin ilman sitä.
Olen eri mieltä. Jonkun haavoittuvuuden tms. avulla luotettu laite on varmasti mahdollista kloonata. Tällöin MFA ei enää suojaa. MFA:n kopiointi on sen sijaan vaikeampaa
Ei tuo ole mikään mielipideasia. Jos tunnistautuminen vaatii salasanan lisäksi myös tietyn laitteen, niin se on määritelmän mukaan 2FA. Kaikissa menetelmissä on mahdollisia tietoturvaongelmia, ei kukaan muuta varmaan väitä. 2FA on myös SMS-pohjaiset menetelmät, joita vastaan on ihan tunnettujakin hyökkäyksiä, esim. "sim swap". MFA:n kloonaamisen helppous riippuu ihan menetelmästä. Yubikey ja FIDO2 >> SMS 2FA.
