Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

[Humanoid]

iOS:n avoimen koodin Raivo OTP on myyty Mobime-firmalle, josta ei löydy oikein mitään informaatiota mistään:

Raivo Authenticator (@RaivoOTP)

Big News! Exciting times ahead as we announce that Raivo has been acquired by Mobime (https://mobime.org/)! Rest assured, nothing will change for you, except for more support and development on the Raivo ecosystem. More updates will follow soon.

nitter.net

Mobime:n muiden softien perusteella vaihto johonkin toiseen ohjelmaan on suositeltavaa (esim. GitHub - iKenndac/Tofu: An easy-to-use two-factor authentication app for iOS tai GitHub - mattrubin/Authenticator: Two-Factor Authentication Client for iOS).

 

[Cumbo]

Instagramiin yritin kirjautua uudella Windows 11 -koneella. Google Autheticator puhelimessa käytössä ja kirjautumisvaiheessa saan jatkuvasti "This code is no longer valid. Please request a new one." Mistähän tuo johtuu? Kännykän ja tietokoneen kellot näyttävät samaa aikaa, synkkasin juuri Windowsin kellon (moneen kertaan) ja kävin jopa Windowsin NTP-serverin vaihtamassa googlelle - ai auta.

 

[ztec]

Turhautumista ilmassa, Google on rikkonut PassKeyssin myötä kokonaan niiden loginit. Kyselee Passkeyssiä ja 2FAta ja heittää erroreita ja sitten kirjaudutana sisään jollain muulla tavalla. Kumpikin kelpaisi, Passkeys ja tai 2FA, mutta kumpikaan ei toimi. Kaverit on myös jupisseet samaa. No, ehkä se jossain vaiheessa tulee kuntoon. Jotenkin vaan masentavaa, että tuon kokoiset lafkat pistää niitä mun eka ohjelma koskaan tyyppejä tekemään pilviautentikointia.

 

[Paapaa]

Vaikuttaa, että Beta-testausvaihe on siis alkanut. Ehkä katsellaan ensi vuonna, onko tuo niin luotettava, että voisi harkita sen ottamista käyttöön. Ja joka tapauksessa en ota käyttöön ennen kuin Bitwarden alkaa noita tukea. Kesä oli ja meni, eikä tukea ainakaan vielä ole julkaistu.

 

[Humanoid]

Turhautumista ilmassa, Google on rikkonut PassKeyssin myötä kokonaan niiden loginit. Kyselee Passkeyssiä ja 2FAta ja heittää erroreita ja sitten kirjaudutana sisään jollain muulla tavalla. Kumpikin kelpaisi, Passkeys ja tai 2FA, mutta kumpikaan ei toimi. Kaverit on myös jupisseet samaa. No, ehkä se jossain vaiheessa tulee kuntoon. Jotenkin vaan masentavaa, että tuon kokoiset lafkat pistää niitä mun eka ohjelma koskaan tyyppejä tekemään pilviautentikointia.

Juuri tänään testailin Passkeysiä GitHubin puolella, ja vähän meinaa ontua sielläkin. Toistaiseksi tuo ei vain toimi. Täytyy varmaan kokeilla onko eri selaimilla samaa ongelmaa. Onneksi rinnalla ihan tavallinen tunnistautuminen + 2FA, ja avaimia voi luoda ja poistaa vapaasti. Ei ole siis pelkoa, että tuossa jää jollain tavalla jumiin.

EDIT: Sain tämän sittenkin toimimaan

 

[Samat]

Instagramiin yritin kirjautua uudella Windows 11 -koneella. Google Autheticator puhelimessa käytössä ja kirjautumisvaiheessa saan jatkuvasti "This code is no longer valid. Please request a new one." Mistähän tuo johtuu? Kännykän ja tietokoneen kellot näyttävät samaa aikaa, synkkasin juuri Windowsin kellon (moneen kertaan) ja kävin jopa Windowsin NTP-serverin vaihtamassa googlelle - ai auta.

Oletko tehnyt authenticator apissa koodien aikakorjauksen? (Asetukset -> Koodien aikakorjaus)

 

[escalibur]

Turhautumista ilmassa, Google on rikkonut PassKeyssin myötä kokonaan niiden loginit. Kyselee Passkeyssiä ja 2FAta ja heittää erroreita ja sitten kirjaudutana sisään jollain muulla tavalla. Kumpikin kelpaisi, Passkeys ja tai 2FA, mutta kumpikaan ei toimi. Kaverit on myös jupisseet samaa. No, ehkä se jossain vaiheessa tulee kuntoon. Jotenkin vaan masentavaa, että tuon kokoiset lafkat pistää niitä mun eka ohjelma koskaan tyyppejä tekemään pilviautentikointia.

Itse kirajudun Googlen palveluihin päivittäin, eikä Passkeys ole kertakaan sekoillut. Jokaisessa tilissä on myös 2FA mutta suosin Passkeysiä sen helppouden vuoksi. Onhan tässä varmasti oppimisen ja parantamisen varaa, mutta toistaiseksi se on toiminut varsin luotettavasti. Pitäisi PC:hen keksiä jonkinlaisen passkeys-tunnistautumisen kun ei huvittaisi pyöritellä jotain webbikameroita pelkästään sitä varten. Ehkä Yubico sitten tms.

 

[Obi-Lan]

Turhautumista ilmassa, Google on rikkonut PassKeyssin myötä kokonaan niiden loginit. Kyselee Passkeyssiä ja 2FAta ja heittää erroreita ja sitten kirjaudutana sisään jollain muulla tavalla. Kumpikin kelpaisi, Passkeys ja tai 2FA, mutta kumpikaan ei toimi. Kaverit on myös jupisseet samaa. No, ehkä se jossain vaiheessa tulee kuntoon. Jotenkin vaan masentavaa, että tuon kokoiset lafkat pistää niitä mun eka ohjelma koskaan tyyppejä tekemään pilviautentikointia.

Selaimen auth cookiet tyhjennetty?

 

[Cumbo]

Oletko tehnyt authenticator apissa koodien aikakorjauksen? (Asetukset -> Koodien aikakorjaus)

Eli ts. synkronoi kello. Tein sen. Sittemmin 2FA on toiminut Instagramissa toisella koneella. En tiedä, mistä ongelma johtui. Tietokoneen kello näytti ihan oikein.

 

[Samat]

Eli ts. synkronoi kello. Tein sen. Sittemmin 2FA on toiminut Instagramissa toisella koneella. En tiedä, mistä ongelma johtui. Tietokoneen kello näytti ihan oikein.

Tuon ei pitäisi koskea kellon asetuksiin.

My Google Authenticator codes don’t work
It may be because the time isn’t correctly synced on your Google Authenticator app.
To set the correct time:

1. On your Android device, go to the main menu of the Google Authenticator app.
2. Tap More
   
   
   Settings
   
   Time correction for codes
   
   Sync now.

On the next screen, the app confirms the time has been synced. You should be able to sign in. The sync will only affect the internal time of your Google Authenticator app, and will not change your device’s Date & Time settings.

 

[Cumbo]

Tuon ei pitäisi koskea kellon asetuksiin.

Aivopieru. Eli tosiaan synkkaa koodeihin liittyvän ajan tms. Mutta oli tosiaan tehtynä eikä silti toiminut.

 

[Samat]

Aivopieru. Eli tosiaan synkkaa koodeihin liittyvän ajan tms. Mutta oli tosiaan tehtynä eikä silti toiminut.

Olisiko ollut Instagramin päässä jotain ongelmaa.

 

[TenderBeef]

Kysymys: jos ottaa talteen johonkin sen "setup" koodin (vaihtoehto QR-koodille) jolla autenttikaattoriin rekisteröidään TOTP niin eikös sitä voi käyttää myöhemmin missä vaiheessa tahansa rekisteröimään se TOTP mihin tahansa autenttikaattoriin uudestaan? Eli tilanteessa jos autentikaattori on hävinnyt tai se TOTP siitä.

 

[Paapaa]

Kysymys: jos ottaa talteen johonkin sen "setup" koodin (vaihtoehto QR-koodille) jolla autenttikaattoriin rekisteröidään TOTP niin eikös sitä voi käyttää myöhemmin missä vaiheessa tahansa rekisteröimään se TOTP mihin tahansa autenttikaattoriin uudestaan? Eli tilanteessa jos autentikaattori on hävinnyt tai se TOTP siitä.

Kyllä, se siemen/seed riittää yksinään siirtämään TOTP-generoinnin muualle. Esim. kun TOTP-koodit tallentaan Bitwardeniin, niin sinne pastetaan nimenomaan se siemenkoodi. Se + oikeassa oleva kello antaa oikeat koodit ulos.

 

[TenderBeef]

Tänään github pisti luukut kiinni mun tilille ja vaatii 2FA:n ottamista käyttöön ennen kuin päästää tekemään mitään siellä. Olen tässä viikolla vähän lueskellut eri puolelta netistä tästä aiheesta (kahlasin tämänkin ketkun läpi) ja tulin siihen tulokseen, että minulle jolla on salasanamanageri käytössä, random generoidut TODELLA pitkät salasanat ja pitkä salasanalause bitwardeniin (toivottavasti myös vahva entropia.. pitääkin varmaan lisätä pari sanaa siihen lisää), niin minulle nämä 2FA:t ovat vain haitake ja yritän päästä mahdollisimman helpolla tästä.

Eli jo olemassa olevaan bitwardeniin (josta otetaan manuaalisesti kryptattua backuppia omalle koneelle ja pilveen) talteen salasanat + TOTP koodit + recovery koodit. Ei ole maksullista bitwardenia joten autentikaattoria ei pysty siinä käyttämään, mutta sen tilasta laitan selaimeen lisärinä jonkun autentikaattorin josta ei oteta mitään talteen mihinkään (+ mahdollisesti kännykkäänkin joku, ehkä Aegis?), jos häviää tiedot/känny niin sitten vain uutta autentikaattoria peliin. Mietin vielä kannattaako laittaa bitwardeniin 2FA päälle vai ei. Siitä pitäisi sitten ottaa paperille talteen vähintään recovery koodit.

Aika paljon tuli luettua hyviä pointteja netistä, esim. kuinka TOTP on käytännössä vain toinen salasanamanageri, ja sen käyttöä voi pitää enemmänkin "2 step authentication"-metodina (jos kerran esim. bitwarden ja erillinen autentikaattori on samalla kännykällä).

Mitään YubiKey:tä en aio ottaa käyttöön, siinä vain tulee paljon lisää kompleksisuutta koko salasanahommaan/käyttöön.

Se itse salasana sinne salasanamanageriin on kaiken a ja o, se pitää olla vahva.

 

[Paapaa]

Olen tässä viikolla vähän lueskellut eri puolelta netistä tästä aiheesta (kahlasin tämänkin ketkun läpi) ja tulin siihen tulokseen, että minulle jolla on salasanamanageri käytössä, random generoidut TODELLA pitkät salasanat ja pitkä salasanalause bitwardeniin (toivottavasti myös vahva entropia.. pitääkin varmaan lisätä pari sanaa siihen lisää), niin minulle nämä 2FA:t ovat vain haitake ja yritän päästä mahdollisimman helpolla tästä.

Ei 2FA:ta koko ajan kysellä. Usein voit asettaa jonkin laitteen luotetuksi/muistetuksi ja sille ei 2FA:ta pyydetä joka kerta. Eli se ei oikeasti haittaa juurikaan normikäyttöä. 2FA:n pointti on suojata tilanteessa, jossa se vahva salasana on vuotanut/kalastettu/brute-forcetettu. Silloin ei vielä päästä sisään pelkällä salasanalla kun 2FA tarvitaan lisäksi.

Ja se Bitwarden Authenticator maksaa sen jotain $10 vuodessa. Eli on käytännössä ilmainen. Sen avulla saat pastettua TOTP-koodin yhdellä näppäinkomennolla todella nopeasti.

Mietin vielä kannattaako laittaa bitwardeniin 2FA päälle vai ei

Tietenkin. BW:n suojaus on se kaikkein tärkein asia. Sen avulla päästään kaikkiin muihin tileihin käsiksi. Eli totta hemmettissä kannattaa ottaa käyttöön.

 

[=JP=]

mahdollisesti kännykkäänkin joku, ehkä Aegis), jos häviää tiedot/känny niin sitten vain uutta autentikaattoria peliin.

Aegis mahdollistaa noiden 2FA varmuuskopioinnin, niin senkus asennat uuteen laitteeseen ja homma jatkuu. En ymmärrä miksei sitä voisi varmuuskopioida, melkonen homma uusia joka paikkaan 2FA niillä recovery avaimilla.

 

[Obi-Lan]

Salasanan voi myös kaapata keyloggerilla, phishing sivustoilla tai jonkun selaimen tai palvelimen haavoittuvuuden kautta. Pitkä salasana suojaa brute forcelta ja jos palvelusta viedään hash taulut. Jokainen arvioikoon omat uhka-arvionsa itse.

Passkeyt ja FIDO2 setit vaikuttaa turvallisemmilta kun tunnistavat myös jos autentikoinnissa on joku hääräämässä välissä.

 

[TenderBeef]

Ei 2FA:ta koko ajan kysellä.

Joo en niin luullutkaan, enemmän tarkoitin muita asioita jotka liittyy noihin TOTP-juttuihin, esim. pähkäillä varmuuskopio-asiat, jne.

Aegis mahdollistaa noiden 2FA varmuuskopioinnin

Ja siihen tarvitsee sitten taas uutta salasanalausetta ja sen "varmuuskopiointia".

melkonen homma uusia joka paikkaan 2FA niillä recovery avaimilla

No vähän riippuu meinaako niitä käyttää paljon vai ei. Kuten sanoin, minulle lähinnä vain rasite ja olen pakotettu nyt ottamaan käyttöön (EDIT: tosin harkinnassa/todolistalla ollut vuosia pölyttymässä tämä asia.. ehkä hyvä, että nyt pakotetaan niin pääsee siitäkin todosta eroon). Maximissaan varmaan 5 tulee laitettua, ei iso vaiva. EDIT: Luin kiireessä vähän väärin vastauksesi. Siis eihän mun tarvi missään vaiheessa mitään recovery koodeja käyttää jos känny menee poks tai TOTP-ohjelmista lähtee ne koodit pois jostain syystä, sen kun lisää TOTP:t vaan uudestaan sillä setup/seed-koodilla joka on laitettu bitwardeniin talteen (on myös recovery kooditkin).

 

[TenderBeef]

Nonni, ensimmäiset askeleet otettu, Aegis asennettu kännyyn ja github TOTP lisätty. Tuo Aegis:in appsi oli ainoa kaikista jotka tsekkasin joka ei vaatinut lupaa nettiyhteydelle, oli vaan muutama lupa jotta QR-skannaus ja sormenjälkilukija toimisi, joissain muissa appseissa oli aivan hirveästi kaikkia lupia tehdä vaikka mitä. Peukku Aegis:lle.

Käyttääkö kukaan mitään OTP selainlaajennosta? En löytänyt kuin tämmöisen: GitHub - Authenticator
Tai sitten voisi käyttää linuxissa jompaakumpaa näistä: Authenticator tai OTPClient .. molemmat saisi Flatpakkina asennettua. Olisikohan turvallisempia käyttää kuin selainlaajennos? Täytyy tutkailla huomenna enemmän.

 

[kaakau<"'\\/>]

Ei 2FA:ta koko ajan kysellä. Usein voit asettaa jonkin laitteen luotetuksi/muistetuksi ja sille ei 2FA:ta pyydetä joka kerta. Eli se ei oikeasti haittaa juurikaan normikäyttöä.

Kyllä mulla ainakin esim. Googlen tileissä ja GitHubissa kysytään joka kerta, kun kirjaudun sisään. Ehkä sitten asetuksista saa laitettua laitteen luotetuksi, en ole etsinyt.

 

[ztec]

Salasanan voi myös kaapata keyloggerilla, phishing sivustoilla tai jonkun selaimen tai palvelimen haavoittuvuuden kautta. Pitkä salasana suojaa brute forcelta ja jos palvelusta viedään hash taulut. Jokainen arvioikoon omat uhka-arvionsa itse.

Passkeyt ja FIDO2 setit vaikuttaa turvallisemmilta kun tunnistavat myös jos autentikoinnissa on joku hääräämässä välissä.

Joskin jos on pääsy liikenteeseen, niin sitten saa myös vietyä piparit, joita käytetään autentikoinnin jälkeen, että aika huono on tilanne jos hyökkäjällä on tilanne hallussa.

GitHub otti käyttöön Passkeyssit.

 

[maninthemoon]

Ei tuo MFA:kaan ihan autuaaksi tee. Ihan muutama nosto tuolta. Itse en ole vielä tutustunut/lukenut, että miten ohittavat MFA:n, mutta kyllä nämä aika kelmuja tuntuu olevan.

Tietomurtoaalto leviää organisaatiosta toiseen – katkaise tietojenkalastelu | Traficom

Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

www.kyberturvallisuuskeskus.fi

-Kalastelusivuilla on käytetty kehittynyttä adversary-in-the-middle-automatiikkaa (AitM), joka joissakin tapauksissa kykenee myös monivaiheisen tunnistamisen ohittamiseen. Lisätietoa MFA:n ohittamisesta AiTM-automatiikalla


-Monivaiheinen kirjautuminen (MFA) ei ole estänyt rikollisten toimintaa.

 

[Paapaa]

Ei tuo MFA:kaan ihan autuaaksi tee.

MFA kattaa aika monta erilaista tapaa toteuttaa se. Esim. TOTP-koodit eivät ole koskaan olleet immuuneja kalastelulle. FIDO-avaimet puolestaan ovat sille immuuneja. En tiedä tästä tapauksesta, että olisiko FIDO-avain estänyt tilin kaappauksen, mahdollisesti olisi.

 

[maninthemoon]

MFA kattaa aika monta erilaista tapaa toteuttaa se. Esim. TOTP-koodit eivät ole koskaan olleet immuuneja kalastelulle. FIDO-avaimet puolestaan ovat sille immuuneja. En tiedä tästä tapauksesta, että olisiko FIDO-avain estänyt tilin kaappauksen, mahdollisesti olisi.

Totta tuo, että on useampi tapa toteuttaa tuo MFA. Tässä tapauksessa missä kyberturvallisuuskeskus on nyt varoitellut M365 käyttäjiä, niin luultavasti ollut kyse Mikrosoftin autentikaattorin käytöstä? Näin itse ainakin oletan.

 

[ztec]

Kalastelua voidaan tehdä monella tavalla. Tuossa justiin oli MITM / AiTM kalastelu. Mikään edellä mainituista tekniikoista ei olisi estänyt mm. viemästä rahoja tililtä. Olenkin aikaisemmin sanonut, että monessa näissä "vahvistetaan" jutuissa on se olennainen ongelma, että vahvistuskoodi ei ole tapahtuman sisältöön sidottu. Vain silloin kun tapahtuman vahvistus-sisältää tapahtuman sisältöön viittaavat referenssit, niin siitä on oikeasti hyötyä. - Mutta tässähän ei ole yhtään mitään uutta.

MFA edellämainituilla tavoilla ei auta, mutta tapahtuman yhteydessä tapahtuma pitäisi luotettavasti vahvistaa.

 

[Kautium]

Ei tuo MFA:kaan ihan autuaaksi tee. Ihan muutama nosto tuolta. Itse en ole vielä tutustunut/lukenut, että miten ohittavat MFA:n, mutta kyllä nämä aika kelmuja tuntuu olevan.

Tietomurtoaalto leviää organisaatiosta toiseen – katkaise tietojenkalastelu | Traficom

Kyberturvallisuuskeskus kehittää ja valvoo viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta. Tuotamme tietoturvallisuuden tilannekuvaa.

www.kyberturvallisuuskeskus.fi

Noissa on siis lähetetty phishing-viesti, jonka avulla on saatu kohde kirjautumaan jollekin huijareiden sivulle, joka näyttää aidolta, mutta on oikeasti proxy, joka sitten kaappaa välistä käyttäjän tunnuksen ja tämän itsensä vahvistaman MFA session cookien. Tuota session cookieta on sitten käytetty hyväksi myös muissa palveluissa.

MFA olisi estänyt hyökkäyksen, jos käyttäjä itse ei olisi alunperin syöttänyt tunnusta ja hyväksynyt kirjautumista höpöhöpö-sivulle.

 

[Obi-Lan]

MFA olisi estänyt hyökkäyksen, jos käyttäjä itse ei olisi alunperin syöttänyt tunnusta ja hyväksynyt kirjautumista höpöhöpö-sivulle.

Eli loppupeleissä +-0 tilanne verrattuna pelkkään salasanaan. Noihin linkkeihin tullaan haksahtamaan aina.

Microsoft 365:ssa on enemmän maksaville tarjolla myös geo-block tyylistä estoa, voi vaatia AD liitetyn koneen tai Intune hallitun minkä pitää olla Intunen mielestä vielä compliant laite.

 

[maninthemoon]

Joo, ei noista huijareiden viesteistä koskaan eroon päästä. Viestiä tuupataan niin laajalla otannalla, että aina joku menee niihin. Pelkkä geo-blokkikaan ei aina toimi, kun näitä tulee myös suomalaisista IP-osoitteista.

 

[Kautium]

Eli loppupeleissä +-0 tilanne verrattuna pelkkään salasanaan. Noihin linkkeihin tullaan haksahtamaan aina.

Näin se vähän on joo. Maailma ei ole valmis.

Microsoft 365:ssa on enemmän maksaville tarjolla myös geo-block tyylistä estoa, voi vaatia AD liitetyn koneen tai Intune hallitun minkä pitää olla Intunen mielestä vielä compliant laite.

Tässä viimeisimmässä aallossa sekään ei ole auttanut, kun yhteyksiä kierrätetään oman maan sisältä (mm. ne Supon varoittelemat päivättämättömät reitittimet jne). Kyllä näitä on selvästi ajateltu siellä haxorien puolella etukäteen.

 

[Paapaa]

Mikään edellä mainituista tekniikoista ei olisi estänyt mm. viemästä rahoja tililtä.

Mutta olisiko FIDO-avain auttanut? Sehän on immuuni kalastukselle siinä mielessä, että väärälle domainille annettu tunnistautuminen ei toimi alkup. domainille lainkaan.

 

[ztec]

Mutta olisiko FIDO-avain auttanut? Sehän on immuuni kalastukselle siinä mielessä, että väärälle domainille annettu tunnistautuminen ei toimi alkup. domainille lainkaan.

Ei olisi. Domaini oli ihan oikea, sertifikaatti väärä.

 

[Paapaa]

Ei olisi. Domaini oli ihan oikea, sertifikaatti väärä.

Aa, se oli noin. Joo, jos se domain saadaan kaapattua, niin sitten on kyllä vitsit vähissä. Yleensä kalastelussa kalastelu ei tapahdu oikealla domainilla, vaan tekaistulla. Silloin FIDO auttaa.

 

[TenderBeef]

Käyttääkö kukaan mitään OTP selainlaajennosta? En löytänyt kuin tämmöisen: GitHub - Authenticator
Tai sitten voisi käyttää linuxissa jompaakumpaa näistä: Authenticator tai OTPClient .. molemmat saisi Flatpakkina asennettua. Olisikohan turvallisempia käyttää kuin selainlaajennos? Täytyy tutkailla huomenna enemmän.

Nuo flatpakit halusi permissionit:

com.belmoussaoui.Authenticator permissions:
    ipc                   network               fallback-x11      wayland      x11      dri
    file access [1]       dbus access [2]

    [1] xdg-run/gvfs, xdg-run/gvfsd
    [2] org.freedesktop.secrets, org.gtk.vfs.*

com.github.paolostivanin.OTPClient permissions:
    ipc      fallback-x11      wayland      x11      devices     dbus access [1]

    [1] org.freedesktop.secrets

Ensimmäisessä network oli heti nope, toinen vähän parempi mutta silti vähän *nah*.

Eikä tuo Authenticator selainlaajennoskaan oikein vakuuttanut (asennuksen jälkeen katsoin lisenssit ja sillä on varmaan jostain sadasta eri projektista koodia mukana).

Taitaa vaaka kääntyä maksamaan bitwardenin premium ja käyttämään sitä kaikkeen. Eli ihan pätevä Aegis kännyssä jää tarpeettomaksi. Harmi kun ei tule käytettyä tuon bitwardenin muita premium toimintoja, liitetiedostoja voisin muutamia laittaa mutta kun backuppeihin ei niitä tule mukaan niin jää sekin käyttämättä. EDIT: Toki hinta ei päätä huimaa... olen vain ollut tarkka, että en haali helposti kaikenlaisia KIKUJA, pieniä tai isoja, niistä helposti koostuu yhtäkkiä yhdessä iso summa (esim. nyt jo 200e/v megasta, kotivakuutus, jne).

 

[TenderBeef]

Miksi 2FA recovery koodeja annetaan enemmän kuin 1 kpl? Esim. github tyrkkää 16 eri koodia. Eikös ne kaikki mene vanhaksi jos yhdenkin käyttää?

 

[SamCer]

Miksi 2FA recovery koodeja annetaan enemmän kuin 1 kpl? Esim. github tyrkkää 16 eri koodia. Eikös ne kaikki mene vanhaksi jos yhdenkin käyttää?

Ei mene. [edit] Muistaakseni siis, ainakaan Facebookissa, tai Googlessa.

 

[TenderBeef]

Ei mene. [edit] Muistaakseni siis, ainakaan Facebookissa, tai Googlessa.

Ai? Käsitin, että kun palautuskoodin käyttää niin 2FA menee pois päältä, tai sen joutuu laittamaan heti uudestaan --> edelliset koodit vanhenee. EDIT: Ainakin githubissa TOTP:n setup/seed-koodi vaihtuu jos TOTP:tä menee muokkaamaan.

 

[SamCer]

Ai? Käsitin, että kun palautuskoodin käyttää niin 2FA menee pois päältä, tai sen joutuu laittamaan heti uudestaan --> edelliset koodit vanhenee. EDIT: Ainakin githubissa TOTP:n setup/seed-koodi vaihtuu jos TOTP:tä menee muokkaamaan.

Se mitä oon joskus kauan sitten joutunut käyttämään FB:ssä/Googlessa niitä backup-koodeja, niin se 2FA ei tipu automaattisesti pois päältä. Oon joutunut käyttämään niitä backup-koodeja vain tilanteessa, jossa en hetkellisesti päässyt niihin TOTP-koodeihin käsiksi, eli ei tullut tarvetta rullata uusiksi 2FA:ta. Jos sen 2FA:n joutuu ottamaan uudestaan käyttöön, niin silloin tietenkin menee seed-koodi uusiksi ja backup-koodit samalla myös.

 

[Paapaa]

Käsitin, että kun palautuskoodin käyttää niin 2FA menee pois päältä

Taitaa riippua ihan palvelusta, miten nuo backup-metodit toimivat.

 

[Kautium]

Taitaa riippua ihan palvelusta, miten nuo backup-metodit toimivat.

Niinpä, ei siinä ole kyse mistään standardista. Palveluntarjoaja voi päättää vapaasti itse miten niiden kanssa haluaa toimia. Tämä on yksi ongelma tässä koko sekamelskassa, kun ei ole selkeää tapaa varmuuskopinoinnille, eikä myöskään recovery-koodeille ja niiden toiminnalle. Pykälää nykyaikaisempi Passkeys-menetelmä ei liiemmin helpota tässä kokonaisuudessa.

Henkilökohtaisesti ahdistaa eniten juuri se, kun on tarjolla uusia hienoja menetelmiä, mutta ne ovat niin monimutkaisia tavallisen massan ymmärrettäväksi/hallittavaksi, että tällaisenaan on vaikea nähdä kehityksen kaikkia hyötyjä. Ei näitä vaan pysty selittämään massoille, kun itsekin alan ihmisenä pitää jatkuvasti miettiä, että mitenkäs tämä nyt oikein meneekään, jos sattuu sitä tätä tai tuota.

Parhaimmillaan tavan tallaaja totaa, että "jee, kirjautuminen toimii nyt turvallisesti yhdellä laitteella" ja hyvä niin, mutta sitten tällä kuitenkaan ei ole mitään käsitystä siitä, että mitäs sitten kun se ainoa laite menee rikki tai varastetaan? Pahimmillaan se estää pääsyn yhteen tai useampaan palveluun pysyvästi.

Pointti oli, että miten tämä setti toteutettaisiin tavan tallaajalle niin yksinkertaisesti ja käytettävästi, ettei koko elämä romahda sen yhden laitteen ja helvetin hankalasti saatavien ja talletettavien erilaisten ja eri tavalla toimivien recovery-avainten myötä? Tunnus/salasana on helppo vuotaa, mutta menetelmä on yksinkertainen ymmärtää ja muissa menetelmissä se taas menee sitten juuri päinvastoin. Siinä olisi markkinapaikkaa jollekin oikeasti toimivalle kokonaisuudelle.

 

[TenderBeef]

Pykälää nykyaikaisempi Passkeys-menetelmä ei liiemmin helpota tässä kokonaisuudessa.

Henkilökohtaisesti ahdistaa eniten juuri se, kun on tarjolla uusia hienoja menetelmiä, mutta ne ovat niin monimutkaisia tavallisen massan ymmärrettäväksi/hallittavaksi, että tällaisenaan on vaikea nähdä kehityksen kaikkia hyötyjä. Ei näitä vaan pysty selittämään massoille, kun itsekin alan ihmisenä pitää jatkuvasti miettiä, että mitenkäs tämä nyt oikein meneekään, jos sattuu sitä tätä tai tuota.

Itsekin yrittänyt selvittää tässä parin päivän sisällä, että miten se passkeys oikein toimii, mitä kauhuskenaarioita on, mitä pitäisi varmuuskopioda ja mihin. Vähän jäänyt epäselväksi vielä koko systeemi.. muutama tabi tuossa vielä auki josta aion lukea lisää. Mutta kiva kuulla, että en ole ainoa joka tuskailee näiden kanssa... ja myös ihmettelen miten tuokin passkeys tavantallaajalle oikein myydään (jollain sivustolla joku oli sitä mieltä, että ei tule yleistymään, että tulee käymään kuten 3D TV:lle), edit: siis sillä tavalla, että ne oikeasti tajuaisi koko homman eikä lukittaisi itseään ulos vahingossa.

 

[Humanoid]

Itsekin yrittänyt selvittää tässä parin päivän sisällä, että miten se passkeys oikein toimii, mitä kauhuskenaarioita on, mitä pitäisi varmuuskopioda ja mihin. Vähän jäänyt epäselväksi vielä koko systeemi.. muutama tabi tuossa vielä auki josta aion lukea lisää. Mutta kiva kuulla, että en ole ainoa joka tuskailee näiden kanssa... ja myös ihmettelen miten tuokin passkeys tavantallaajalle oikein myydään (jollain sivustolla joku oli sitä mieltä, että ei tule yleistymään, että tulee käymään kuten 3D TV:lle), edit: siis sillä tavalla, että ne oikeasti tajuaisi koko homman eikä lukittaisi itseään ulos vahingossa.

Lyhyesti: Passkeysin osalta on turvauduttava joko salasanamanagerin omaan pilvipalveluun, että Passkey-avaimet ovat siellä synkassa, tai sitten ottaa niistä itse backupit. Avainten vapaata vientiä ulos ei tosin näytä tällä hetkellä aikovan tukea muut kuin KeePassXC. Siellä avain on oma .passkeys-tiedosto jonka voi varmuuskopioida haluamaansa paikkaan. Tavalliselle tallaajille automaattinen pilvisynkka lienee se helpoin tapa. Missään salasanamanagerissa Passkeys-avaimet eivät taida olla pelkästään yhdellä laitteella.

 

[ztec]

Avainten vapaata vientiä ulos ei tosin näytä tällä hetkellä aikovan tukea muut kuin KeePassXC.

Niin, tää on vähän sama kuin 2FA TOTP koodin seedin kanssa. Alunperinhän oli tarkoitus, että avaimia ei voisi edes kopioida. Vaan sitten rekisteröidään useita avaimia. Mutta koko passkeys lähti siitä, että tuo ajatus tuntui olevan normeille liian vaikeaa tajuta.

SimpleX painii itseaisassa saman ongelman kanssa. Eli käyttäjien kaaliin ei mahdu se, että samaan keskusteluun voi lisätä kaikki halutut laitteet. Kun (monet) käyttäjät taas haluaa, että kaikki keskustelut on käytettävissä kaikilla laitteilla. Joka taas on tietoturva-mielessä ongelmallista. Se on paljon parempi, että tietyillä laitteilla on pääsy tiettyihin keskusteluihin. Ihan kuten Passkeyssinkin tapauksessa.

Tiettyihin palveluihin on tarkoitus päästä tietyillä laitteilla, eikä kaikkiin palveluihin kaikilla laitteilla. Eli luodaan laitekohtaiset avaimet, ja kytketään ne haluttuihin palveluihin. Tärkeintä on se, että on kytkettynä aina kaksi laitetta / avainta, jotta on se backuppi, jos toinen katoaa / vahingoittuu whatever.

 

[Kautium]

Tärkeintä on se, että on kytkettynä aina kaksi laitetta / avainta, jotta on se backuppi, jos toinen katoaa / vahingoittuu whatever.

Joka taas toisaalta on niiden peruskäyttäjien näkökulmasta se ongelma. Ei siis joko ole useampia laitteita, tai niiden kaikkien lisääminen eri palveluihin on vaikeaa tai sitä ei hoksata tehdä. Tähän sitä parannusta nimenomaan kaivattaisiin.

Se että me muuten alalla muutenkin olevat ymmärretään miten pitäisi toimia, ei ole kokonaisuudessa yhtä olennaista kuin suurten massojen toiminta/ohjaaminen. Massoille pitää tarjota riittävän helppo tapa toimia turvallisesti, muuten hienoudet jäävät vähemmistön leikkikaluiksi. Toinen vaihtoehto on pakottaa tekemään asiat vaikeasti, ja se taas on bisnesmielessä liian rankka päätös useimmille palveluntarjoajille ja se taas osaltaan hidastaa muutoksen toteuttamista.

 

[Humanoid]

Niin, tää on vähän sama kuin 2FA TOTP koodin seedin kanssa. Alunperinhän oli tarkoitus, että avaimia ei voisi edes kopioida. Vaan sitten rekisteröidään useita avaimia. Mutta koko passkeys lähti siitä, että tuo ajatus tuntui olevan normeille liian vaikeaa tajuta.

SimpleX painii itseaisassa saman ongelman kanssa. Eli käyttäjien kaaliin ei mahdu se, että samaan keskusteluun voi lisätä kaikki halutut laitteet. Kun (monet) käyttäjät taas haluaa, että kaikki keskustelut on käytettävissä kaikilla laitteilla. Joka taas on tietoturva-mielessä ongelmallista. Se on paljon parempi, että tietyillä laitteilla on pääsy tiettyihin keskusteluihin. Ihan kuten Passkeyssinkin tapauksessa.

Tiettyihin palveluihin on tarkoitus päästä tietyillä laitteilla, eikä kaikkiin palveluihin kaikilla laitteilla. Eli luodaan laitekohtaiset avaimet, ja kytketään ne haluttuihin palveluihin. Tärkeintä on se, että on kytkettynä aina kaksi laitetta / avainta, jotta on se backuppi, jos toinen katoaa / vahingoittuu whatever.

Jos Passkeysistä ollaan leipomassa salasanojen korvaajaa, niin siinä ei ole järkeä, jos se pakotetaan laitekohtaiseksi. Kuitenkin salasanamanagerit synkkaavat sitten samat aivaimet usealle eri laitteelle, joten laitekohtaisuus menetetään jo siinä. Hankala kuvitella, että tuollaista rajoitusta ajettaisiin takaisin.

Tärkeintä on se, että avaimia voi itse varmuuskopioida kuten haluaa.

 

[mikajh]

Jos Passkeysistä ollaan leipomassa salasanojen korvaajaa, niin siinä ei ole järkeä, jos se pakotetaan laitekohtaiseksi.

Ei salasanojen korvaajaa, vaan niiden syrjäyttäjää, tarpeettomaksi tekijää.

Tärkeintä on se, että avaimia voi itse varmuuskopioida kuten haluaa.

Ei avaimia ole tarkoituksenmukaista varmuuskopioida. Ne ovat turvassa siinä yhdessä laitteessa. Jos laite katoaa, niin sen turvallisuus pitää passkeyt turvassa. Ja käyttäjällä pitää olla muitakin laitteita, joiden avulla palveluihin kirjautuminen jatkuu.

 

[Humanoid]

Ei avaimia ole tarkoituksenmukaista varmuuskopioida. Ne ovat turvassa siinä yhdessä laitteessa. Jos laite katoaa, niin sen turvallisuus pitää passkeyt turvassa. Ja käyttäjällä pitää olla muitakin laitteita, joiden avulla palveluihin kirjautuminen jatkuu.

Avain on pakko varmuuskopioida johonkin. Muuten tilanne jossa sinulla oli vain yksi avain yhdessä laitteessa, ja tuo laite katoaa, on melkoinen soppa.

 

[TenderBeef]

Ei salasanojen korvaajaa, vaan niiden syrjäyttäjää, tarpeettomaksi tekijää.

Siis häh, pakkohan siellä taustalla olla tunnari+salasana?!

Avain on pakko varmuuskopioida johonkin. Muuten tilanne jossa sinulla oli vain yksi avain yhdessä laitteessa, ja tuo laite katoaa, on melkoinen soppa.

Aivan. Rupeaa kuulostamaan tosi huonolta tämä passkeys homma, ainakin tavalliselle kuluttajalle, varsinkin jos salasanoja ei enää sitten ole ollenkaan tämän kanssa. En laittaisi rahoja tämän tekniikan puolesta, että tulisi leviämään kaikille käyttöön. Kuulostaa kovasti siltä, että tämän passkeys homman kanssa porukka tulee lukitsemaan itsensä tililtään ulos vielä useammin kuin esim. 2FA:n kanssa.

 

[mikajh]

Avain on pakko varmuuskopioida johonkin.

Ei ole, eikä turvallisessa passkeys-avaimenhallinnassa se ole edes mahdollista. Ainoastaan silloin, jos toteutus on sellainen, että se vuotaa avaimen turvasäiliön ulkopuolelle luontivaiheessa.

Muuten tilanne jossa sinulla oli vain yksi avain yhdessä laitteessa, ja tuo laite katoaa, on melkoinen soppa.

Olisi tietysti. Mutta ei eroa siitä, että aiemmin unohdit salasanan. Passkeysia tukevat palvelut näyttävät jo nyt, millä kaikilla laitteilla sinne on kirjauduttu. Käyttäjäystävällisyyttä olisi huomauttaa, jos laitteita on vain yksi, eikä muita kirjautumisvaihtoehtoja ole

 

[Humanoid]

Ei ole, eikä turvallisessa passkeys-avaimenhallinnassa se ole edes mahdollista. Ainoastaan silloin, jos toteutus on sellainen, että se vuotaa avaimen turvasäiliön ulkopuolelle luontivaiheessa.

Olisi tietysti. Mutta ei eroa siitä, että aiemmin unohdit salasanan. Passkeysia tukevat palvelut näyttävät jo nyt, millä kaikilla laitteilla sinne on kirjauduttu. Käyttäjäystävällisyyttä olisi huomauttaa, jos laitteita on vain yksi, eikä muita kirjautumisvaihtoehtoja ole

Sitä odotellessa, kun porukka päivittää esim. Googlen käyttämään pelkkiä Passkey-avaimia, ja sitten lukitsevat itsensä tilin ulkopuolelle Moni normaali käyttäjä ei vaivaudu ottamaan talteen palautuskoodeja tai muutakaan oleellista.