Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

[Obi-Lan]

Käsittääkseni kaikki modernit kirjautumiset tallentuvat selaimeen kekseinä ja samoin myös tuo ohita MFA tässä laitteessa. Keksit on suojattu, mutta Mimikatz tyyppisillä työkaluilla noita voidaan silti kaivaa koneesta. Tämä tosin koskee kaikkia avoimia sessioita, eli jos on Gmail auki selaimessa niin sen session auth cookien voi varastaa ja se toimii ainakin niin kauan kuin istunto on auki.

Tätä kautta miettien en koe, että tuo MFA ohittaminen tietyllä laitteella sinällänsä merkittävästi heikentää tietoturvaa. Windows koneen tietoturvaan pitää omilla toimilla panostaa eli ei asenna mitään hämäriä ohjelmia, credential guard päälle, salaa levyn, suojaa koneen kirjautumisen, adblock tai noscript selaimeen riippuen miten paljon epämukavuutta sietää. Ja varoo phishing sivuja.

 

[Aaltoliike]

Kyllä tuolla hintaa varmaan voisi tilata 2kpl C-mallia, silloin toukokuussa oli se 2kpl yhden hinnalla tarjous ja otin normi USB-liitännällä, silloin sai tuon saman 60e hintaan, eli nyt saa vielä halvemmalla...

Meillä muuten samat, mutta päinvastoin. Minä tilasin C-mallin NFC avaimia 2kpl samasta tarjouksesta ja nyt ajattelin tästä tilata 2 kappaletta A-mallin avaimia ilman NFC :tä tai sitten NFC :n kanssa, riippuu ihan hintaerosta.

E: Mulla tuli ihan normaalisti kotiin ja ei ollut ongelmia lähetyksen kanssa.

 

[Infy]

Jos käyttää vaan perus TOTP MFA:ta, kannattaa tiedostaa, että on phishing-sivustoja, jotka esittävät esim. Googlen tai Microsoftin kirjautumissivua, ja kysyvät salasanan ja MFA-koodin. Ne eivät kaappaa salasanaa, vaan sen sijaan kirjautuvat kyseiseen palveluun tai varastavat authentication tokenin.

Myös useat verkkosivustot tarjoaa kirjautumista kolmannen osapuolen tunnuksilla, ettei tarvitsisi luoda taas uuttaa salasanaa, ja sitten tekevät em. tempun.

 

[Paapaa]

Cloudflare tarjoaa asiakkailleen edullisesti Yubikey turva-avaimia. Riittää että on pelkkä ilmainen tili tehtynä ilman mitään maksullisia tilauksia.

https://blog.cloudflare.com/making-phishing-defense-seamless-cloudflare-yubico/

Tässä on ilmeisesti ehtoja tiukennettu. Ehkä suuren kysynnän takia. Pelkkä tili ei riitä, vaan:

Eligible customers must have an active zone or actively use Cloudflare Zero Trust.

Lisäksi alussa sai tilata max. 10 avainta. Nyt max. 4. Onko joku saanut jo mailia Yubicolta?

 

[Sulava]

Onko joku saanut jo mailia Yubicolta?

Tarjousketjuun jo aikaisemmin postailin, sähköposti Yubicolta tuli aamuyöstä ja 4kpl tuli ruokatunnilla tilattua. Lauantaina taisin klikata offeria.
Oma tunnus täyttää myös nuo uudet ehdot, kun useamman sivun DNS pyörii Cloudflarella.

Alla copypaste uudesta sähköpostista. Vaikuttaa siltä että Yubikey 5 on tarjolla vain nopeimmille ja kohta varmaankin vaihtuu halvempaan siniseen malliin.

Even better news! For a limited time, we're excited to surprise you with an upgrade to our multi-protocol YubiKey 5 Series!

You are now eligible to purchase up to 4 individual YubiKey 5 NFC or YubiKey 5C NFC (minimum 2) starting as low as $10 USD.

 

[Kautium]

Jatkan täällä toisessa ketjussa alkanut keskustelua Microsoft Authenticatorin toiminnasta. Monella ei ole kuin yksi laite käytössä, jossa MS Authenticator ja siellä sitten kaikki tunnukset. Jos laite katoaa, voi tiedot palauttaa (ainakin osittain) uuteen laitteeseen siltä MS-tililtä mitä on käyttänyt, mutta oletuksena kaikilla on myös se MS tili siellä samaisessa laitteessa MFA:n takana, joten jos sinne ei pääse enää siinä vaiheessa, niin sitten menee sormi suuhun.

Vähintään pitäisi siis olla kaksi laitetta määriteltynä käyttöön ennen kuin ongelmia ilmenee, mutta mm. juuri tuo MS Authenticator on ongelmallinen, kun ei se osaa synkata tietoja kahden laitteen välillä. Backupinkin voi ottaa vain yhdestä laitteesta, mutta sen voi kuitenkin määritellä päälle kaikissa, joten huonolla tuurilla uusi laite kirjoittaa tyhjää vanhan backupin päälle.

Vuosia olen sitä jo käyttänyt ja siellä on varmaan 20 eri palvelua, mutta nyt kun asia tuli taas esille, niin eipä ole itsellekään ihan selvää, että miten tuo kannattaisi viritellä toimimaan ja millaisilla asetuksilla, jotta olisi oikeasti turvassa myös sen ensisijaisen laitteen kadotessa.

 

[maninthemoon]

Vaikka olisikin yhdessä laitteessa, niin monesta(?) varmaan löytyy mahdollisuus vaihtoehtoiseen todennukseen. Itse muistelisin, että kaikissa tai useammassa itse käyttämässä olisi toinen varmistustapa joko tekstiviesti tai sähköposti, niin on joku tapa todentaa, jos laite hajoaa tai katoaa.

 

[Paapaa]

Vuosia olen sitä jo käyttänyt ja siellä on varmaan 20 eri palvelua, mutta nyt kun asia tuli taas esille, niin eipä ole itsellekään ihan selvää, että miten tuo kannattaisi viritellä toimimaan ja millaisilla asetuksilla, jotta olisi oikeasti turvassa myös sen ensisijaisen laitteen kadotessa.

MS Authenticator tukee ainakin kahdenlaisia 2FA-tunnistautumisia. Sellaisia, joissa 2FA on liitetty tiettyyn MS-tiliin ja sen kanssa kirjautuminen antaa push-notifikaation. Tämän lisäksi se tukee normi-TOTP-koodeja, jotka eivät liity mihinkään tiliin, ovat vain koodeja jotka vaihtuvat. Ensinmainittuja tuskin voi hoitaa muulla tavalla kuin tuolla softalla - en ole kokeillut. Enkä tiedä miten niiden backup toimii.

Jälkimmäiset voi tunkea mihin tahansa TOTP-appikseen tai salasanamanageriin. Itselläni kaikki TOTP-koodit tulevat Bitwardenista. Helpottaa hemmetisti kirjautumista. Tuossa pitää vaan muistaa laittaa se Bitwarden 2FA:n taakse, jottei tietoturva laske. Ja BW:n 2FA ei tietenkään toi olla BW:ssa itsessään tallessa.

Bitwardenin/managerin kanssa ei ole merkitystä jos laite katoaa (kunhan sen tarvitsema 2FA ei katoa). Sen voi asentaa monelle laitteelle ja data on pilvessä. Joissain TOTP-appeissa on mahdollisuus tehdä backup pilveen, kuten Authyssä. Ja niitä voi käyttää usein useassa laitteessa yhtä aikaa.

Itselläni: salasanat ja TOTP:t BW:ssä. BW suojattu parilla Yubikeyllä ja TOTP:llä joka on Google Authenticatorissa. Jälkimmäistä tarvitsee Desktop-appis joka ei vielä tue Yubikeytä. Oleellista on että BW ei ole yhden menetelmän takana.

 

[Kautium]

Vaikka olisikin yhdessä laitteessa, niin monesta(?) varmaan löytyy mahdollisuus vaihtoehtoiseen todennukseen. Itse muistelisin, että kaikissa tai useammassa itse käyttämässä olisi toinen varmistustapa joko tekstiviesti tai sähköposti, niin on joku tapa todentaa, jos laite hajoaa tai katoaa.

Joissakin on ja joissakin ei. Kokonaistietoturva heittää häränpyllyä, jos on mahdollista ohittaa turvallinen tapa jollakin turvattomalla tavalla. Mm. SMS ei kuulu nykypäivänä enää turvallisten menetelmien joukkoon (SMS spoofing jne). Sähköposti taas on usein sen saman MFA:n takana ja jos ei ole, niin sitten se on joko vanhanaikaisen turvattoman kirjautumisen takana, tai jossakin toisessa MFA-sovelluksessa (toisessa laitteessa), joka taas tekee kokonaisuudesta tarpeettoman monimutkaisen.

Massoja ei saa koskaan käyttämään palveluita, joiden kohdalla palvelun toiminnan ja omien tekemisten ymmärtäminen edellyttää alan korkeakoulututkintoa ja kasaa eri laitteita, joista vähintään yksi on aina eri paikassa kuin muut.

Minulla on nämä kaikki ja silti ihmettelen, että miten tämä teknologia voikin olla vielä näin sekavaa ja lapsenkengissä.

 

[mikajh]

Backupinkin voi ottaa vain yhdestä laitteesta, mutta sen voi kuitenkin määritellä päälle kaikissa, joten huonolla tuurilla uusi laite kirjoittaa tyhjää vanhan backupin päälle

MS Authenticatorin Cloud backup voi olla vain yhdessä saman tilin laitteessa päällä. Jos sen ylikirjoittaa jollakin toisella laitteella, niin tuskin se sotkee mitään muuta kuin poistaa sen edellisen backupin ja lopettaa sen laitteen backuppaamisen.

eipä ole itsellekään ihan selvää, että miten tuo kannattaisi viritellä toimimaan ja millaisilla asetuksilla, jotta olisi oikeasti turvassa myös sen ensisijaisen laitteen kadotessa

Ehkä paras vaihtoehto on käyttää jotain muuta tuotetta, joka antaa sujuvasti export/importoida accounteja laitteesta toiseen, esimerkiksi Google Authenticator. Huono esimerkki on LastPass authenticator, jossa on melkein samat rajoitukset kuin MSFT:ssä.

MSFT:tä voi ehkä käyttää siten, että uudet tilit lisätään vain siinä laitteessa, mikä backupppaa. Sitten muihin laitteisiin palautetaan se backup sen uuden tilin lisäämiseksi. Typerää ja rajoittunutta, mutta minkäs teet. Sama pätee LastPassiin.

MSFT-tilin kanssa ei tarvitse huolehtia laitteen katoamisesta, koska siihen voi liittää vaikka kuinka monta (tai ainakin riittävän -) laitetta tilin MFA:ksi. Kun tiliin pääsee käsiksi, niin silloin authenticatorin alla olevat tilitkin ovat turvassa, koska ne voi vaikka palauttaa ihka uuteen laitteeseen backupista, sikäli kun se on pidetty ajan tasalla.

 

[Kautium]

MS Authenticatorin Cloud backup voi olla vain yhdessä saman tilin laitteessa päällä. Jos sen ylikirjoittaa jollakin toisella laitteella, niin tuskin se sotkee mitään muuta kuin poistaa sen edellisen backupin ja lopettaa sen laitteen backuppaamisen.

Jos lisää tilin uuteen laitteeseen ja laittaa siinä backupin päälle, se kirjoittaa aiemman päälle tyhjää. Molemmissa laitteissa on kuitenkin tuolla tavalla toimittaessa backup päällä, eikä missään voi valita, että mikä on se primary-laite.

Tuo on varmaankin ajateltu tässä vaiheessa toimivaksi niin, että on yksi päälaite ja siellä kaikki tunnukset, jotka sitten synkataan sinne pilveen. Jos ottaa käyttöön toisen laitteen (kuten on järkevää), siihen ei pidä lisätä tiliä, vaan pitää valita sovelluksen käynnistyksen yhteydessä että "palauta backup" ja vasta siinä vaiheessa kerrotaan se tili mistä lähdetään palauttamaan. Palautuksen jälkeen pitää sen kakkoslaitteen Authenticatorista ottaa backup pois päältä ja käydä lisäksi kaikki push-notifikaatioita vaativat tilit manuaalisesti läpi ja hyväksyä niiden kirjautuminen sillä aiemmalla laitteella. Sen jälkeen myös se kakkoslaite on muuten ok, mutta uudet tunnukset eivät sinne ilmaannu ilman että ne lisää sinne käsin tai aloittaa alusta. Backup toimii edelleen sen ensimmäisen laitteen kautta.

Tuon toteutus on jäänyt vähän puolitiehen, mutta josko se siitä paranisi.

Ehkä paras vaihtoehto on käyttää jotain muuta tuotetta, joka antaa sujuvasti export/importoida accounteja laitteesta toiseen, esimerkiksi Google Authenticator. Huono esimerkki on LastPass authenticator, jossa on melkein samat rajoitukset kuin MSFT:ssä.

MSFT:tä voi ehkä käyttää siten, että uudet tilit lisätään vain siinä laitteessa, mikä backupppaa. Sitten muihin laitteisiin palautetaan se backup sen uuden tilin lisäämiseksi. Typerää ja rajoittunutta, mutta minkäs teet. Sama pätee LastPassiin.

MSFT-tilin kanssa ei tarvitse huolehtia laitteen katoamisesta, koska siihen voi liittää vaikka kuinka monta (tai ainakin riittävän -) laitetta tilin MFA:ksi. Kun tiliin pääsee käsiksi, niin silloin authenticatorin alla olevat tilitkin ovat turvassa, koska ne voi vaikka palauttaa ihka uuteen laitteeseen backupista, sikäli kun se on pidetty ajan tasalla.

MS Authenticator on tuosta rajoituksesta huolimatta hyvä ja toimiva sovellus ja sitä pitää monissa tapauksissa käyttää ihan jo pelkästään työnantajan hallinnoiman päätelaitteen ja tietoturvapolitiikan vuoksi.

Miksiköhän muuten tuo Microsoftin osakemerkinnästä tunnettu MSFT -termi on siirtynyt keskusteluihin? Sitä näkee nykyään välillä käytettävän lyhenteenä Microsoftista. Kyllä se on ihan vaan MS edelleen.

 

[Obi-Lan]

En ole laittanut MS Authenticatoriin enää muita kuin MS omia tilejä, jotta push notifikaatiot jne toimivat. Perus TOPT koodien pitämiseen se ei tarjoa juuri mitään erikoista ja puhelimen vaihto sekä backupin kanssa säätö on jotenkin todella epäselkeää. Jotenkin selkeämpää laittaa noi vaikka omaan Keepass kantaan.

 

[Raikku]

Itse kun en halua tuota MS:n omaa alkaa käyttämään niin kuinka ok on esim Authy(vai mikä se nyt on) tai joku muu vastaava. Plus esim kotikoneella pääsen ihan duunin officeen(officen nettisivun kautta) edelleen tekstiviesti-varmennuksella eli Ms authenticatoria ei edes tarvitse, vaikka jo vuosia sitten väittivät että olisi pakko tuota käyttää jotta saisi yhteyden "ei työverkon koneelta".

Mutta tuo Authy, esim, sitten olisi lähinnä omiin virityksiin joissa sen ottaisi ehkä käyttöön. Tosin pakko sanoa että itsellä ei minkäänlaista hajua miten nuo toimii kun en ole koskaan käyttänyt.

 

[Kautium]

Itse kun en halua tuota MS:n omaa alkaa käyttämään niin kuinka ok on esim Authy(vai mikä se nyt on) tai joku muu vastaava. Plus esim kotikoneella pääsen ihan duunin officeen(officen nettisivun kautta) edelleen tekstiviesti-varmennuksella eli Ms authenticatoria ei edes tarvitse, vaikka jo vuosia sitten väittivät että olisi pakko tuota käyttää jotta saisi yhteyden "ei työverkon koneelta".

Mutta tuo Authy, esim, sitten olisi lähinnä omiin virityksiin joissa sen ottaisi ehkä käyttöön. Tosin pakko sanoa että itsellä ei minkäänlaista hajua miten nuo toimii kun en ole koskaan käyttänyt.

Se tekstiviestivarmennus poistuu ihan varmasti Microsoftin toimesta ennemmin tai myöhemmin, jos ei firman ylläpito ole sitä estänyt. SMS ei ole turvallinen tapa ja siksi sitä ei suositella.

Henkilökohtaisesti en halua käyttää montaa eri sovellusta samaan asiaan, joten käytän sitä MS Authenticatoria kaikkeen. Authy on toki ihan toimiva sekin.

 

[Humanoid]

En ole laittanut MS Authenticatoriin enää muita kuin MS omia tilejä, jotta push notifikaatiot jne toimivat. Perus TOPT koodien pitämiseen se ei tarjoa juuri mitään erikoista ja puhelimen vaihto sekä backupin kanssa säätö on jotenkin todella epäselkeää. Jotenkin selkeämpää laittaa noi vaikka omaan Keepass kantaan.

Tuo on ihan hyvä tapa. Kannattaa tallettaa 2FA-koodi puhelimessa olevaan autentikaattoriin, ja sitten erilliseen KeePass-tietokantaan suoraan se sama koodi + mahdolliset backup-koodit joita voi tarvita tilin tmv. palautukseen. Ei tarvi pyyhkiä hikeä otsalta, vaikka luuri hajoaisi.

 

[=JP=]

Aegis on suositeltu monessa paikkaa ja esim. mahdollistaa varmuuskopioinnin monella tapaa...

GitHub - beemdevelopment/Aegis: A free, secure and open source app for Android to manage your 2-step verification tokens.

A free, secure and open source app for Android to manage your 2-step verification tokens. - beemdevelopment/Aegis

github.com

Onhan näitä tarjolla monenlaisia ja jokainen voi etsiä omille tarpeilleen sopivan.

 

[TyraPankki]

Oma suosikki on Applen oma natiivi 2FA, joka tosin on ikävästi "piilotettu" asetukset/ salasanat alle. Pirun kätevä, kun sovellukset osaavat tarjota varmennuskoodia automaattisesti.

 

[ztec]

Tuossa FIDO2 / Passkeys keskustelussa tulikin esille myös Google Prompts, joka ei ole minulla käytössä. Mutta toimii myös 2FA:na ja riittää kun klikkaa toisesta devicestä (esim puhelin), että login on ok.

Samalla tietysti voi mainita, että FIDO2 on paljon enemmän kuin 2FA, koska tukee myös Passwordless loginia, mutta ehkä se on sopiva aihe tuonne toiseen lankaan.

 

[mikajh]

Google Prompts, joka ei ole minulla käytössä. Mutta toimii myös 2FA:na ja riittää kun klikkaa toisesta devicestä (esim puhelin), että login on ok

Tuo toimii Google accountin takana oleviin palveluihin (myös kolmansien osapuolien), mutta sen geneerisempi MFA se ei ole

 

[Lista]

Mitenkä saa Microsoft authenticator tiedot uuteen luuriin ja säilyttää myös vanhassa puhelimessa samat tiedot jos vaikka toinen häviää. Pilvi palvelua en oo käyttänyt, onko luotettava.

 

[mikajh]

Mitenkä saa Microsoft authenticator tiedot uuteen luuriin ja säilyttää myös vanhassa puhelimessa samat tiedot jos vaikka toinen häviää. Pilvi palvelua en oo käyttänyt, onko luotettava.

Ei mitenkään, paitsi laittamalla päälle vanhassa luurissa se backup -asetus päälle, ja palauttamalla se backup uuteen luuriin. Muuten joudut lisäämään yksitellen uuden luurin joka paikkaan, sikäli kun MFA:ta tukeva palvelu edes sallii useampaa kuin yhden luurin. Pro tip: käytä jotain muuta kun MS authenticatoria.
MS fanboyt voi korjata, jos on parempaa tietoa

 

[Lista]

Ei mitenkään, paitsi laittamalla päälle vanhassa luurissa se backup -asetus päälle, ja palauttamalla se backup uuteen luuriin. Muuten joudut lisäämään yksitellen uuden luurin joka paikkaan, sikäli kun MFA:ta tukeva palvelu edes sallii useampaa kuin yhden luurin. Pro tip: käytä jotain muuta kun MS authenticatoria.
MS fanboyt voi korjata, jos on parempaa tietoa

Mitäs muita on tarjolla kuin Googlen auth....?

 

[Paapaa]

Mitäs muita on tarjolla kuin Googlen auth....?

Authy, Aegis. Itse tallennan TOTPt salasanamanageriin, eli Bitwardeniin. Ei 100% yhtä turvallinen kuin oma appis mutta jos on hyvä master password ja 2FA, niin kaikki kunnossa.

 

[Lista]

Authy, Aegis. Itse tallennan TOTPt salasanamanageriin, eli Bitwardeniin. Ei 100% yhtä turvallinen kuin oma appis mutta jos on hyvä master password ja 2FA, niin kaikki kunnossa.
[/QUOTE

Jep, mulla on myös Bitwarden käytössä ja käytän MS authenticatoria ainoastaan 2FA en oo sinne mitään salasanoja tallettanut. Ja sain 2FA todennukset kahteen luuriin. Onko tuo MS auth siihen käyttöön ok?

 

[ztec]

Authy, Aegis. Itse tallennan TOTPt salasanamanageriin, eli Bitwardeniin. Ei 100% yhtä turvallinen kuin oma appis mutta jos on hyvä master password ja 2FA, niin kaikki kunnossa.

Joskaan ei ratkaise sitä ongelmaa, että jos laite on kaapattu. Siksi 2FA tokenit (shared secret) pitäisi pitää sellaisessa paikassa jemmassa, että siihen ei pääse käsiksi.

 

[Paapaa]

Eipä kannattanut pidättää. Nyt realistinen targetti on tämän vuoden loppu

Eikä ole vieläkään näitä tullut eli kohta alkaa 2v viivästys tulla täyteen. Tosin, toimitukset ovat alkaneet, ja osa ovat saaneet avaimensa. Kokemusten perusteella laatu vaihtelee niin paljon että laitoin refund-pyynnön menemään. En muutoinkaan tarvitse tuota, sillä YubiKey-avaimia on jo useampi. Ja niissä laatu on priimaa kaikella tavalla.

 

[miksu8]

Toimiiko tuollainen Yubico YubiKey 5 Googlen kanssa kun 2-step auth tulee kohta pakolliseksi? Ja yksi ja sama tikku toimii varmaan kaikkien yleisimpien palveluiden kanssa jotka vain tukevat USB-tikkua?

 

[Leo_Greta]

Toimiiko tuollainen Yubico YubiKey 5 Googlen kanssa kun 2-step auth tulee kohta pakolliseksi? Ja yksi ja sama tikku toimii varmaan kaikkien yleisimpien palveluiden kanssa jotka vain tukevat USB-tikkua?

Toimii. Itellä on just toi käytössä Googlen ja muiden (jotka sitä tukee) kanssa.

 

[=JP=]

Toimiiko tuollainen Yubico YubiKey 5 Googlen kanssa kun 2-step auth tulee kohta pakolliseksi? Ja yksi ja sama tikku toimii varmaan kaikkien yleisimpien palveluiden kanssa jotka vain tukevat USB-tikkua?

Ja ihan vinkkinä, osta samantein kaksi avainta, koska jos se yksi menee rikki, niin sit menee sormi suuhun että mitäs nyt ja alkaa pitkä prosessi alkaa palauttamaan tilejä.

 

[escalibur]

Kunhan muistaa ostaa Yubicot vähintään tuplana per käyttäjä.

 

[Boogy]

Parilla Yubico-avaimella voi vielä ottaa tämän normaalia vahvemman suojauksen käyttöön mikäli foliohattua kiristää tai haluaa vain muuten vahvimman mahdollisen suojauksen.

Googlen Lisäsuojaus-ohjelma

Googlen vahvimmat tietoturvaominaisuudet auttavat suojaamaan tietojenkalastelun, hakkeroinnin ja digitaalisten hyökkäysten kohteeksi todennäköisimmin joutuvien henkilöiden tietoja.

landing.google.com

 

[mikajh]

Kunhan muistaa ostaa Yubicot vähintään tuplana per käyttäjä

per kone plus virtuaalikoneet, eli minimissään lähtisin tusinasta

 

[miksu8]

Kunhan muistaa ostaa Yubicot vähintään tuplana per käyttäjä.

Eli asetetaanko ne kummatkin jotenkin samalla kertaa käyttöön? Niin kauan kuin jollain tikulla pääsee sisään, voi lisätä varatikkuja?

 

[miksu8]

Toimii. Itellä on just toi käytössä Googlen ja muiden (jotka sitä tukee) kanssa.

Uskaltaakohan tuota pitää oikeasti avaimenperässä pyörimässä avainten kanssa taskussa?

 

[Paapaa]

per kone plus virtuaalikoneet, eli minimissään lähtisin tusinasta

Miksi per kone tai per virtuaalikone?

 

[mikajh]

Miksi per kone tai per virtuaalikone?

Jos et halua koko ajan siirtää sitä fyysistä avainta koneesta toiseen ja/tai räplätä hypervisorin asetuksia ennen kuin avainta tarvitsee käyttää

 

[escalibur]

per kone plus virtuaalikoneet, eli minimissään lähtisin tusinasta

Itse ottaisin vähemmän. Silloin kun noita ostaa ”tusinan”, hetken päästä saa muistella minne kaikkialle ne ovatkaan työnnetty. Kukin tyylillään.

Uskaltaakohan tuota pitää oikeasti avaimenperässä pyörimässä avainten kanssa taskussa?

Uskaltaa. Yubico-avaimella ei tee mitään, jos ei tiedä käyttäjän tunnuksia ja niiden salasanoja.

 

[=JP=]

Ihan käyttökohteesta kiinni, montako niitä fyysisiä avaimia tarvii. Peruskäyttäjä, joka kirjautuu sivustoille selviää helposti kahdella, mutta jos tietokoneita on useampi, joita aktiivisesti käyttää ja jokaisella kirjautuu palveluihin sun muihin jatkuvasti, niin useampi helpottaa elämää. Ylläpito myöskin kasvaa siinä sivussa, joka kannattaa ottaa huomioon.

Ja jos mobiililaitteiden kanssa pitää toimia, niin sitten se NFC versio on kätevä olla olemassa.

 

[miksu8]

Itse ottaisin vähemmän. Silloin kun noita ostaa ”tusinan”, hetken päästä saa muistella minne kaikkialle ne ovatkaan työnnetty. Kukin tyylillään.

Uskaltaa. Yubico-avaimella ei tee mitään, jos ei tiedä käyttäjän tunnuksia ja niiden salasanoja.

Meinasin että kestääkö tikku fyysisesti?

 

[Leo_Greta]

Meinasin että kestääkö tikku fyysisesti?

Noi Yubicot on laadukasta ja varsin tukevaa tekoa, niin en epäile niiden kestävyyttä.

 

[Paapaa]

Jos et halua koko ajan siirtää sitä fyysistä avainta koneesta toiseen ja/tai räplätä hypervisorin asetuksia ennen kuin avainta tarvitsee käyttää

Nojoo. Itselläni Yubikey avainnipussa. Sen tökkäämisestä koneeseen ei ole mitään vaivaa. Teen sen yhtäaikaa läppärin kannen nostamisen aikana. Ja pahinmillaankin tuota ei tapahdu monta kertaa päivässä.

En näe itse mitään tarvetta ostaa eri avainta eri koneille. Eikä kenenkään muunkaan kannata niin tehdä ellei erityistä syytä tuollaiselle tule.

 

[Aaltoliike]

Eikä ole vieläkään näitä tullut eli kohta alkaa 2v viivästys tulla täyteen. Tosin, toimitukset ovat alkaneet, ja osa ovat saaneet avaimensa. Kokemusten perusteella laatu vaihtelee niin paljon että laitoin refund-pyynnön menemään. En muutoinkaan tarvitse tuota, sillä YubiKey-avaimia on jo useampi. Ja niissä laatu on priimaa kaikella tavalla.

Minä sain omat korvaavat toimimattomien v1 NFC tilalle viikossa, ottamalla yhteyttä hello[at]solokeys.com ilmaiseksi.

E. Ja toimivat omassa käytössä kuin junan vessa.

 

[Paapaa]

Minä sain omat korvaavat toimimattomien v1 NFC tilalle viikossa, ottamalla yhteyttä hello[at]solokeys.com ilmaiseksi.

Joo, en sinänsä epäile. Mutta noita on kritisoitu mekaanisesti huonolaatuisiksi ja ilmeisesti softassakin on vielä ongelmia, joten ajattelin passata ja ostaa sitten kun siellä on oikeasti sarjatuotanto kunnossa ja softa hiottuna.

 

[ztec]

Eli asetetaanko ne kummatkin jotenkin samalla kertaa käyttöön? Niin kauan kuin jollain tikulla pääsee sisään, voi lisätä varatikkuja?

Surkeat palvelut eivät tue useampaa kuin yhtä autentikointitapaa / avainta kerralla. Mutta on noihinkin valitettavasti tullut törmättyä. Eli toki useita tunnistautumistapoja ja avaimia voi ja pitääkin voida olla aktiivisena samaan aikaan.

 

[ztec]

Uskaltaa. Yubico-avaimella ei tee mitään, jos ei tiedä käyttäjän tunnuksia ja niiden salasanoja.

Ei passwordless tunnistautumisesa tarvii tunnuksia tai salasanoja. Riittää että on avain. Tämä on tulevaisuus ja tätä ajetaan kovaa eteenpäin. Varsinkin kaksivaiheinen tunistautuminen pitäisi jättää historiaan huonona ja hankalana väliaikaisena tapana.

Sivulauseessa kirottakoon että FIDO2 / WebAuthn meni just rikki Firefox 109:ssä Linuxilla.

 

[dataaja95]

Itselläni käytössä nitrokey pro eri järjestelmiin, kuten vpn ja palvelimille kirjautumiseen, tästä ei tainnutkaan olla täällä vielä keskustelua, ainakin linuxympäristössä toimivuus todella jees ja raudaltaan sekä softaltaan opensource

Frontpage

Be prepared for the awesome secure Nitrokey! Subscribe to the upcoming crowdfunding campaign. #SecureYourDigitalLife https://nitrokey.com/

www.nitrokey.com

 

[dataaja95]

Nitrokeyltä uutta salausavainta, nitrokey 3. Sisältää vihdoinkin nfc:n, joten käyttö mobiililaitteiden kanssa mahdollistuu. Lähti itselläni tilaukseen.

Nitrokey 3A NFC

shop.nitrokey.com

 

[Cumbo]

Miten Amazonin 2FA:in saa kytkettyä Google Authenticatoriin? Sekä appi että Amazonin sivu kysyvät OTP-koodia. Mistä tuollainen pitäisi saada?

 

[SamCer]

Miten Amazonin 2FA:in saa kytkettyä Google Authenticatoriin? Sekä appi että Amazonin sivu kysyvät OTP-koodia. Mistä tuollainen pitäisi saada?

Siis sä et oo ilmeisest lukenu Google Authenticatorilla sitä Amazonin sivuilla näkyvää QR-koodia? Sen koodin lukemisen jälkeen se OTP-koodi ilmestyy sinne Google Authenticatoriin, jonka jälkeen se OTP-koodi pitää vielä antaa Amazonin sivuille, että varmistetaan se, että tili on lisätty onnistuneesti.

[edit] Lisään varmuuden vuoksi rautalantaa:

1. Google Authenticator auki
2. Authenticatorista klikkaa alhaalla olevaa plus-ikonia
3. Paina "Lue QR-koodi"
4. Osoita puhelimen kamera Amazonin sivuilla näkyvään QR-koodiin (toi mustavalkoinen nelilöistä koostuva neliö)
   1. 
5. Kun QR-koodi on luettu, se ilmestyy Authenticatoriin alimmaiseksi tyyliin "Amazon: sun kirjautumismaili"
6. Kirjoita Autheticatorissa näkyvä OTP-koodi Amazonin sivuilla kohtaan "Enter OTP" ja paina "Verify OTP and continue"

[edit] Lipsahti pieni tietovuoto . Ei sentään itse koodit...

 

[Cumbo]

Siis sä et oo ilmeisest lukenu Google Authenticatorilla sitä Amazonin sivuilla näkyvää QR-koodia? Sen koodin lukemisen jälkeen se OTP-koodi ilmestyy sinne Google Authenticatoriin, jonka jälkeen se OTP-koodi pitää vielä antaa Amazonin sivuille, että varmistetaan se, että tili on lisätty onnistuneesti.

[edit] Lisään varmuuden vuoksi rautalantaa:

1. Google Authenticator auki
2. Authenticatorista klikkaa alhaalla olevaa plus-ikonia
3. Paina "Lue QR-koodi"
4. Osoita puhelimen kamera Amazonin sivuilla näkyvään QR-koodiin (toi mustavalkoinen nelilöistä koostuva neliö)
   1. 
5. Kun QR-koodi on luettu, se ilmestyy Authenticatoriin alimmaiseksi tyyliin "Amazon: sun kirjautumismaili"
6. Kirjoita Autheticatorissa näkyvä OTP-koodi Amazonin sivuilla kohtaan "Enter OTP" ja paina "Verify OTP and continue"

[edit] Lipsahti pieni tietovuoto . Ei sentään itse koodit...

Itselle ei tullu mitään QR-koodia näkyviin, vaan pelkästään tuo kenttä, johon olisi pitänyt syöttää koodi. Asensin Amazon-appin, niin siinä näkyi oikein ja onnistui.