Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

Google authenticator on käytössä parissa paikassa ja vierastan hieman tuon käyttöä kun pelottaa jos puhelin vaikka hajoaa niin miten nuo tiedot saa uuteen puhelimeen.

Meneekö se nyt niin, että jokaiseen palveluun joka tuossa authenticatorissa on niin siihen on oma palautusavain joka pitäisi pitää jossakin tallessa? Eli jos puhelin vaikka hajoaisi ja minulla on tuossa kymmenen tiliä yhdistettynä niin tarvitsen kymmenen palautusavainta jotta saan ne takaisin siihen?

Tuo on aika käteävä ominaisuus tuomaan lisäturvaa mutta kauhistuttaa ajatus, ettei pääse enää mihinkään käsiksi jos paska osuu tuulettimeen.

On ihan palvelukohtaista, miten tilin saa takaisin käyttöön jos se 2FA-menetelmä on Google Authenticator/vastaava ja luuri katoaa. Eli sun pitää joka palvelun kohdalla selvittää, miten toimit: onko jotain koodeja, voitko asettaa sinne useamman 2FA-menetelmän, pitääkö soittaa asiakastukeen jne. Ja hyvä että mietit asiaa, sillä todellakin pitää aina olla B-suunnitelma sen varalta että se pää-2FA ei enää toimi
 
Google authenticator on käytössä parissa paikassa ja vierastan hieman tuon käyttöä kun pelottaa jos puhelin vaikka hajoaa niin miten nuo tiedot saa uuteen puhelimeen
Siinä tapauksessa, että käytössä on useampi kuin yksi laite (toinen puhelin, tabletti, ja ehkä vielä jotain eksoottisempaa), Google Authenticatorissa on erittäin kätevää kopioida n kpl tilejä johonkin toiseen laitteeseen.
 
Google authenticator on käytössä parissa paikassa ja vierastan hieman tuon käyttöä kun pelottaa jos puhelin vaikka hajoaa niin miten nuo tiedot saa uuteen puhelimeen.

Meneekö se nyt niin, että jokaiseen palveluun joka tuossa authenticatorissa on niin siihen on oma palautusavain joka pitäisi pitää jossakin tallessa? Eli jos puhelin vaikka hajoaisi ja minulla on tuossa kymmenen tiliä yhdistettynä niin tarvitsen kymmenen palautusavainta jotta saan ne takaisin siihen?

Tuo on aika käteävä ominaisuus tuomaan lisäturvaa mutta kauhistuttaa ajatus, ettei pääse enää mihinkään käsiksi jos paska osuu tuulettimeen.
Itse suosittelisin siirtymään sellaiseen 2FA softaan, joka mahdollistaa varmuuskopioinnin käyttäjän niin halutessa, jonka sitten varmistat useaan paikkaan (ja muistat tehdä uuden kun lisäilet tilejä), esim.

Eli jos luuri hajoaa/katoaa, niin senkus lataat varmuuskopion uuteen luuriin ja jatkat hommia...
 
Itse suosittelisin siirtymään sellaiseen 2FA softaan, joka mahdollistaa varmuuskopioinnin käyttäjän niin halutessa, jonka sitten varmistat useaan paikkaan (ja muistat tehdä uuden kun lisäilet tilejä), esim.

Eli jos luuri hajoaa/katoaa, niin senkus lataat varmuuskopion uuteen luuriin ja jatkat hommia...
Tuo olisi varmasti paras vaihtoehto. Pitääkin tutustua tuohon.
 
Koska tykkään, että asiat väännetään rautalangasta niin kysytään vielä lisää. Eli sillä ei periaatteessa ole väliä jos vaikka yhdessä puhelimessa on googlen autentikaattori ja toisessa vaikka Aegis niin voin skannata saman paikan QR-koodin molempiin ohjelmiin ja niistä saa tarvittaessa saman koodin jolla pääsee kirjautumaan?
 
Perus TOPT koodissa on palvelimen kanssa jaettu avain. Vaihtuva koodi lasketaan tästä ja kellonajasta, joten sillä ei ole väliä, kuinka moneen laitteeseen se koodi on tallennettu. Eikä sitä ole mitenkään oikeasti pakko edes pitää puhelimessa.

Sen QR koodin voi printata paperille, ottaa kuvakaappauksen tai vaikka talentaa Keepassiin mikä generoi koodin yhtälailla.
 
Koska tykkään, että asiat väännetään rautalangasta niin kysytään vielä lisää. Eli sillä ei periaatteessa ole väliä jos vaikka yhdessä puhelimessa on googlen autentikaattori ja toisessa vaikka Aegis niin voin skannata saman paikan QR-koodin molempiin ohjelmiin ja niistä saa tarvittaessa saman koodin jolla pääsee kirjautumaan?
Kun uuden TOPT tilin lisäät, niin voit tehdä sen useammalle laitteelle skannaamalla saman QR koodin.

Nähtävästi pystyt tuosta Google authenticatorista luomaan jo olemassa oleville tileille QR koodit, jotka voit sitten skannata toisella laitteella vaikka tuohon Aegis softaan...
 
Kun uuden TOPT tilin lisäät, niin voit tehdä sen useammalle laitteelle skannaamalla saman QR koodin.
TOTP:n kohdalla nousee tietysti se heti esille, että avaimet on aika heikkoja, tietysti käytettävyys syistä. Mutta nykymittareilla ne on kyllä oikeasti huonoja. Henkilökohtaisesti suosin vahvempia ratkaistuita kuten FIDO2.
Moni ei muuten varmaan ole huomannut, että mm. Androidi tukee suoraan sitä, kuten myös nykyiset selaimet. Paitsi Firefox Androidilla.
 
Mitenkäs muute
palautuspolitiikka kullakin taholla oli. Mieluummin alkaisin nähdä sellaista, että tänne foorumille voisi kirjautua federoituna Googlen, Facebookin, Microsoftin yms tunnuksilla, mikä keskittäisi asioita yhden tilin taakse minkä huolehtimiseen voisi enemmän panostaa.

Mitenkäs tämmöiset "kirjaudu sisään Googlen/Facebookin/mikälie kautta"-jutut on yleensä toteutettu? Autentikointipalvelun tarjoaja lähettää "käyttäjätunnus+suola+salakala tyyliin /etc/shadow"-kombinaation vai mitenkä? Vai tuleeko sieltä jotain sessiokohtaista tikettiä mikä täsmää kirjautumista haluavan keksiin? Vai jotenkin muuten?
 
Mitenkäs tämmöiset "kirjaudu sisään Googlen/Facebookin/mikälie kautta"-jutut on yleensä toteutettu? Autentikointipalvelun tarjoaja lähettää "käyttäjätunnus+suola+salakala tyyliin /etc/shadow"-kombinaation vai mitenkä? Vai tuleeko sieltä jotain sessiokohtaista tikettiä mikä täsmää kirjautumista haluavan keksiin? Vai jotenkin muuten?

Jotenkin näin
1. Käyttäjä yrittää kirjautua sivulle
2. Sivun koodi sanoo tarvitsevansa tokenin ja ohjaa Googlen autentikointirajapintaan (tai johonkin toiseen)
3. Googlen rajapinta tekee käyttäjän tunnistuksen, mahdollisesti kysyy antaako käyttäjä sivun lukea käyttäjän tietoja XY ja antaa access tokenin
4. Käyttäjä kirjautuu access tokenilla sivulle
5. Token vanhenee jossain vaiheessa

Näin sen sivun ei tarvitse tietää koko salasanaa. Salasanan lähettely netin yli ei nykypäivänä kai ole muutenkaan enää kovin ajantasainen tekniikka.
 
Mitenkäs muute


Mitenkäs tämmöiset "kirjaudu sisään Googlen/Facebookin/mikälie kautta"-jutut on yleensä toteutettu? Autentikointipalvelun tarjoaja lähettää "käyttäjätunnus+suola+salakala tyyliin /etc/shadow"-kombinaation vai mitenkä? Vai tuleeko sieltä jotain sessiokohtaista tikettiä mikä täsmää kirjautumista haluavan keksiin? Vai jotenkin muuten?
Käyttää hyödyksi OAuth, tuolta voit lukea enempi:

Muutaman sekunnin Googletuksella olisit itsekin löytänyt saman tiedon...
 
Jos on harkinnut Yubikey hankkimista, niin nyt olisi hyvä tarjous, eli 2kpl yhden hinnalla vain tämän päivän ajan voimassa!
 
Yubikey Bio on kyllä yliveto. Nyt voi työkoneen näyttölukon avata "sormenjäljellä" (Windows Hello)
 
Ja nyt tuli sitten passkeys tekniikka.
Tavallaan ei mitään uutta, mutta hienoa jos edistäisi adoptiota. Vaikka sinänsähän tämä ei ole kaksivaiheinen tunnistautuminen, koska se on tavallaan turhaa ja vanhentunutta tekniikkaa.

Yubikey Bio on kyllä yliveto. Nyt voi työkoneen näyttölukon avata "sormenjäljellä" (Windows Hello)
Niih, siis. Hello tukee sormenjäljellä avaamista, ja tukee myös FIDO2 avaimia. Noi on sinänsä kaksi tavallaan täysin erillistä asiaa. Mulla kun on molempia vaihtoehtoja käytössä.

Yleisesti

Monet ei myös tiedä, että mm. Android puhelimissa on FIDO2 tuki suoraan sisäänrakennettuna, ainakin suurimmassa osassa. (Kaikissa?)

OAuth lupasi myös teknisesti paljon, mutta käytännön adoptio jäi täysin torsoksi. Vain muutama puristinen ultra-nörtti saitti implementoi sen kunnolla, eikä siltä silti oikein kukaan halunnut käyttää?
 
Viimeksi muokattu:
Hello tukee sormenjäljellä avaamista, ja tukee myös FIDO2 avaimia. Noi on sinänsä kaksi tavallaan täysin erillistä asiaa
Siksi laitoinkin lainausmerkkeihin, koska nyt ei tarvitse FIDO2:n pin-koodia hankalasti näpytellä. Aiemmin oli toki työmaalla käytössä muuten, paitsi juuri Windows Hello:n kanssa FIDO2.
 
Siksi laitoinkin lainausmerkkeihin, koska nyt ei tarvitse FIDO2:n pin-koodia hankalasti näpytellä. Aiemmin oli toki työmaalla käytössä muuten, paitsi juuri Windows Hello:n kanssa FIDO2.

Ilman Helloakin mm. biometrisellä FIDO2 avaimella on todella ilo kirjautua mm. Officeen mistä vaan (FIDO2 Passwordless). Kun se PIN koodi on korvattu sormenjäljellä, mutta avaimet on silti vaan HSM:ssä turvassa, joka lukittuu virheelisistä yrityksistä.

Mut joo, tää on tavallaan väärä keskustelu tälle aiheelle, FIDO2:sta on oma lanka myös - FIDO2, WebAuthn, Passwordless ja passkeys - Silloin kun sitä ei siis käytetä vaan 2FA:n yhtenä menetelmänä, vaan koko laajemmalle konseptille.
 
OAuth lupasi myös teknisesti paljon, mutta käytännön adoptio jäi täysin torsoksi. Vain muutama puristinen ultra-nörtti saitti implementoi sen kunnolla, eikä siltä silti oikein kukaan halunnut käyttää?

Mun mielestä kaikki, jossa voi kirjautua Googlella, Facebookilla ym ovat OAuth kirjautumisia. Microsoft poistaa Basic Authin kokonaan Azure AD/Office 365:sta ensi lokakuussa ja sen jälkeen sinne voi kirjautua vain MS:n OAuth toteutuksella.
 
OAuth is an authorization protocol, rather than an authentication protocol OAuth - Wikipedia
Juurikin näin, mutta se on käyttäjän kannalta epäolennaista miten se teknisesti tapahtuu. Se on vähän kun sanotaan että tekstiviesti kirjautuminen on epäluotettava ja vaarallinen tapa, no mutta Mobiilivarmenne on just sitä. Tosin se vaan on toteutettu ihan toisella tavalla.

Lopputuloema oli siis se, että kaikki halusivat tarjota identiteetti palveluita, mutta eivät halunneet hyväksyä toisten myöntämiä identiteettejä. Joissain tapauksissa toi on enemmän piilotettua miten toi toimii, kuten noi ...
Mun mielestä kaikki, jossa voi kirjautua Googlella, Facebookilla ym ovat OAuth kirjautumisia.
tuotteistetut kirjatumiset. Harvassa on ne, johon voi itse syötellä tarvittavat tiedot ja kirjautua sisään. Muistaakseni Ubuntu Forums ja Stack Overflow toteutti noi oikein, on mun mielestä ainoat tapaukset joihin itse olen törmännyt missä toimii kuten kuuluu. Varmaan muitakin on, mutta toi oli mun henkilökohtainen kokemus. Jos ajan omaa identiteetti serveriä, miten voin kirjautua identiteetilläni OAuthia käyttäen useimpiin palveluihin? No eipä onnistu, kun ne eivät halua hyväksyä mun identiteettiserveriä ja sen myöntämiä käyttöoikeuksia.

Sinänsä hilpeää seurata just tätä, miten yksinkertaiset asiat on saatu näin vaikeaksi ja hankalaksi ja siiloutuneeksi, vaikka perusteet on äärimäisen yksinkertaiset. Toinen iso kysymys on just tuo, että halutaanko tunnistautua oikeasti vahvasti vai ei. Ja kuka sen vahvan tunnistautumisen myöntää. Haluaako käyttäjät sitä? Haluaako palveluntarjoajat sitä? Tähän asti on näyttänyt olevan niin, että on jatkuva konflikti näillä asioilla. Ja vain niissä paikoissa joissa jossa asiat voidaan määrätä ne tulee hoidetuksi kunnolla.

Vähän samanlainen sotkuhan tuon HTTPS sertifikaatit on ollut alusta asti.

Se on mielestäni hienoa mm. TOTP:ssä ja FIDO2:ssa, silloin kun on resident key:t käytössä, että siinä nimenomaisesti ei tarvita ulkopuolisen tahon oikeutusta käyttöön, vaan se on suora luottamussuhde. Joka sitten taas sopii tai ei sovi, riippuen käyttäjistä ja palveluista.

Toisaalta ihan samat asiat on onnistuneet nyky mittakaavassa lähes ikuisesti mm. pgp:llä ja ssh:lla, openssl:llä. Nykyjään myös minisign:llä ja age:lla.
 
Viimeksi muokattu:
tuotteistetut kirjatumiset. Harvassa on ne, johon voi itse syötellä tarvittavat tiedot ja kirjautua sisään. Muistaakseni Ubuntu Forums ja Stack Overflow toteutti noi oikein, on mun mielestä ainoat tapaukset joihin itse olen törmännyt missä toimii kuten kuuluu. Varmaan muitakin on, mutta toi oli mun henkilökohtainen kokemus. Jos ajan omaa identiteetti serveriä, miten voin kirjautua identiteetilläni OAuthia käyttäen useimpiin palveluihin? No eipä onnistu, kun ne eivät halua hyväksyä mun identiteettiserveriä ja sen myöntämiä käyttöoikeuksia.

Se mitä enemmistöllä on, kiinnosti käyttäjää itseensä tai ei: android puhelin + gmail tili tai apple puhelin+apple id, corporate käyttäjillä on M365 tai Gsuite ja loput on marginaalitouhuja. Josko lähiaikoina alkaa näkyä myös "kirjaudu Microsoftilla" optioita kun pakotetaan kaikille MS tili Windowsiin. Luottamussuhteen rakentaminen Googlen, Applen, Facebookin tai Microsoftin Identiteettipalvelimille kannattaa koska se voi palvella suurta käyttäjämäärää. Saman vaivan näkö sellaiselle palvelimelle, jossa on yksi käyttäjä tuskin kannattaa ikinä.
 
Saman vaivan näkö sellaiselle palvelimelle, jossa on yksi käyttäjä tuskin kannattaa ikinä.

Varsin totta, mutta mm. FIDO2:n ja muiden itsenäisten ja avointen ratkaisuiden kuten TOTP:n kanssa mitään ongelmaa ei ole tuossakaan tapauksessa. Kuka vaan voi ottaa käyttöön, helposti ja pyytämättä keneltäkään lupia, koska tekniikat ja standardit on avoimia. Siksi pidän niistä, versus kuinka moni websaitti käyttää esim. RSA SecurID:tä.


Koska otsikossa mainitaan erityisesti kaksivaiheinen tunnistautuminen, niin en ole koskaan saanut keneltäkään mitään järkevää vastausta siihen, että miksipä niin. Olisiko nyt se mahdollisuus saada vastaus?

2FA - Kahden tekijän tunnistautuminen, tai tietty MFA:na useamman tekijän tunnistaminen versus kaksi (tai useamman) vaiheen tunnistautuminen.

Mutta miksi 2SA, eli kahden vaiheen vahvistaminen. Mielestäni tuossa tehdään kardinaali moka, ja vahvistetaan että ensimmäinen vaihe onnistui. Onko se tarkoituksella noin suunniteltu, vai onko kyseessä ajattelumoka, implementoinnin helpottaminen prosessissa vai onko sille ihan joku oikea syy? Perinteisesti tuo lasketaan vakavaksi turvallisuspuutteeksi oikein implementoidussa järjestelmässä vahvistetaan kaikki tekijät kerralla, eikä osa-kokonaisuuksia hyväksytä.

Jos joku osaisi kertoa mulle mikä logiikka tuossa on, koska se sotii kovasti mun logiikkaa vastaan. Tosin olen tässä asiassa heikoilla, koska mua ei ole opetettu toimivaan jollain tietyllä tavalla, vaan olen itsenäisesti järkeillyt näitä asioita. Silloin tuntuu monesti joutuvan eri polulle virallisen totuuden kanssa.

Pari teoriaa toki tuohon on, sellaisten palveluiden osalta joissa käyttäjätunnukset on julksia. Mutta noin yleisesti en ymmärrä turvallisen autentikoinnin konseptissa tuota asiayhteyttä.
 
En pidättelisi hengitystä, että saavat tämän vuoden aikana noita tukijoille.

Eipä kannattanut pidättää. Nyt realistinen targetti on tämän vuoden loppu :D


Siellä on vihdoin saatu uudet masiinat noiden tekemiseen, joilla toivottavasti saannit lähestyvät 100%:a 60%:n sijaan. Mutta niiden tuotantokuntoon saattaminen kestää.

Meanwhile... Ostin ihan oikein Yubikey Security Key C NFC:n backup-avaimeksi. Toimii tietenkin kuin junan vessa ja kaikella tavalla laadukkaasti valmistettu. Kahdella avaimella sivustot on turvassa, eikä tarvitse laittaa mitään TOTP-hökötystä backupiksi, jos sivu vaan tarjoaa FIDO/FIDO2:n.

 
Kahdella avaimella sivustot on turvassa, eikä tarvitse laittaa mitään TOTP-hökötystä backupiksi, jos sivu vaan tarjoaa FIDO/FIDO2:n.
Tämä. Samoin se oli hyvä muistaa, että Android puhlimissa (ainakin suuressa osassa) on FIDO2 tuki. Niin ärsyttää kun ihmiset vänkää tuota vastaan "kun kuulemma ei sitten voi mitään jos se katoaa". Joka tietenkin on täyttä disinformaatiota, mutta pitäähän sitä aina olla joku syy, millä voipi vastustaa kaikkea.
 
Googlen ilmoitus tuli kuvien kautta, et pidä kännykkä lähellä, kun tilillesi tulee 2-vaiheinen tunnistus käyttöön. Aiheuttaako se mitään ongelmaa jos sama puh numero parilla tilillä?
 
Aivan ok veto Cloudflarelta tarjota asiakkaille avaimia edullisemmin.

Blogin tekstistä lainattuna ja tarkennuksena tosiaan tarjoavat perus security key-mallia:
Yubico is providing Security Keys at “Good for the Internet” pricing - as low as $10 per key. Yubico will ship the keys to customers directly.
The specific security keys and prices for this offer are: Yubico Security Key NFC at $10 USD and the Yubico Security Key C NFC at $11.60 USD.
 
Onko noissa hinnoissa huomioitu veroja tänne EU alueelle? Eli mitkä on lopulliset euro hinnat noilla avaimilla postituskuluineen?
 
Blogin tekstistä lainattuna ja tarkennuksena tosiaan tarjoavat perus security key-mallia:
Yubico is providing Security Keys at “Good for the Internet” pricing - as low as $10 per key. Yubico will ship the keys to customers directly.
The specific security keys and prices for this offer are: Yubico Security Key NFC at $10 USD and the Yubico Security Key C NFC at $11.60 USD.
Tarjouksen ehdoista:
Offer Terms: This one-time use coupon will expire on December 31, 2022, at 11:59pm PT and is valid only at Yubico.com/store. The promotional pricing is valid for YubiKey 5 NFC and YubiKey 5C NFC

YubiKey 5 normihinta on noin 50€, eli on aika hyvä tarjous vaikka tuo $10 olisikin veroton hinta. Postikuluthan pitäisi olla ilmaiset. :)
 
Onko noissa hinnoissa huomioitu veroja tänne EU alueelle? Eli mitkä on lopulliset euro hinnat noilla avaimilla postituskuluineen?
Joku kirjoitti Redditissä että euroilla maksetut avaimet toimitettaisiin Ruotsista mutta tästä en ole varma koska en ole vielä omaa koodia saanut.
 
Tarjouksen ehdoista:
Offer Terms: This one-time use coupon will expire on December 31, 2022, at 11:59pm PT and is valid only at Yubico.com/store. The promotional pricing is valid for YubiKey 5 NFC and YubiKey 5C NFC

YubiKey 5 normihinta on noin 50€, eli on aika hyvä tarjous vaikka tuo $10 olisikin veroton hinta. Postikuluthan pitäisi olla ilmaiset. :)
Ristiriitaista tietoa kyllä sivuilla, koska "Yubico Security Key NFC at $10 USD" ja "Yubico Security Key C NFC at $11.60 USD" on ihan eri tuotteita kuin nuo "YubiKey 5 NFC and YubiKey 5C NFC".

Ja kaikissa noissa on mainittu:
*VAT-exclusive pricing: VAT is calculated in checkout based on destination and volume.

Täytynee odotella, kunnes joku tilailee ja ilmoittaa mitä sieltä saa ja mihin hintaan :)
 
Ristiriitaista tietoa kyllä sivuilla, koska "Yubico Security Key NFC at $10 USD" ja "Yubico Security Key C NFC at $11.60 USD" on ihan eri tuotteita kuin nuo "YubiKey 5 NFC and YubiKey 5C NFC".

Ja kaikissa noissa on mainittu:
*VAT-exclusive pricing: VAT is calculated in checkout based on destination and volume.

Täytynee odotella, kunnes joku tilailee ja ilmoittaa mitä sieltä saa ja mihin hintaan :)

1664637649932.png


Tilattu on - ihan hyvä tarjoushinta jos haluaa. En ihan peruskäyttäjälle suosittelisi välttättä mutta saa tuossa ihan hyvän tarjouksen. Toimitus +5€ alkaen ilman seurantaa tai 10€:lla seurannalla. Muualta tuskinpa halvemmalla saa näin helposti.
 
Joku kirjoitti Redditissä että euroilla maksetut avaimet toimitettaisiin Ruotsista mutta tästä en ole varma koska en ole vielä omaa koodia saanut.
Tilattu on - ihan hyvä tarjoushinta jos haluaa. En ihan peruskäyttäjälle suosittelisi välttättä mutta saa tuossa ihan hyvän tarjouksen. Toimitus +5€ alkaen ilman seurantaa tai 10€:lla seurannalla. Muualta tuskinpa halvemmalla saa näin helposti.

Mikäli toimitus menee edelleen samalla tavalla kuin toukokuussa Yubicon oman tarjouskampanjan aikaan, niin avaimet lähetetään Alankomaista ja myös tuolla halvemmalla toimitusmaksulla saa DPD:n toimituksen seurannalla.
 
Vaikka Security Key on riisuttu malli, siinä on kuitenkin mukana ne kaikkein tehokkaimat, tietoturvallisimmat ja helppokäyttöisimmät protokollat. Eli siis FIDO/FIDO2/Webauthn. Mä en jaksa Yubikeytä käyttää TOTP-juttuihin. Hyvä diili tuo Cloudflaren diili!
 
Viimeksi muokattu:
Mikäli toimitus menee edelleen samalla tavalla kuin toukokuussa Yubicon oman tarjouskampanjan aikaan, niin avaimet lähetetään Alankomaista ja myös tuolla halvemmalla toimitusmaksulla saa DPD:n toimituksen seurannalla.

Ruotsista taitaapi tällä kertaa mennä na lähti UPS:llä ainakin tuli seuranta. Itse halusin seurannalla niin maksoi vähän enemmän.

Vaikka Security Key on riisuttu malli, siinä on kuitenkin mukana ne kaikkein tehokkaimat, tietoturvallisimmat ja helppokäyttöisimmät protokollat. Eli siis FIDO/FIDO2/Webauthn. Mä en jaksa Yubikeytä käyttää TOTP-juttuihin. Hyvä diili tuo Cloudflaren diili!

Juu suosittelen jos haluaa tuollaisen fyysisen tikun.
 
Kyllä tuolla hintaa varmaan voisi tilata 2kpl C-mallia, silloin toukokuussa oli se 2kpl yhden hinnalla tarjous ja otin normi USB-liitännällä, silloin sai tuon saman 60e hintaan, eli nyt saa vielä halvemmalla...

Toivottavasti ovat korjanneet vaan lähetyksen sekoilut, silloin oli osoite aivan väärin paketissa ja jotkut taisi joutua kyselee perään.

Varmaan olisi muitakin kiinnostuneita tuosta, jaksaako joku laitella tarjous alueelle tuosta ketjun, jossa selitetty mitä kaikkea pitää tehdä saadakseen?
 
Kyllä tuolla hintaa varmaan voisi tilata 2kpl C-mallia, silloin toukokuussa oli se 2kpl yhden hinnalla tarjous ja otin normi USB-liitännällä, silloin sai tuon saman 60e hintaan, eli nyt saa vielä halvemmalla...

Toivottavasti ovat korjanneet vaan lähetyksen sekoilut, silloin oli osoite aivan väärin paketissa ja jotkut taisi joutua kyselee perään.

Varmaan olisi muitakin kiinnostuneita tuosta, jaksaako joku laitella tarjous alueelle tuosta ketjun, jossa selitetty mitä kaikkea pitää tehdä saadakseen?
Kävin postaamassa tarjouksen tarjousketjuun: Tekniikka - Cloudfaren asiakkaille (myös ilmaistilit): Yubico Security Key NFC (2FA/MFA)-avain (alk. $10/avain)
 
Foorumi sekoilee kun viesti tuli tuplana, vaikka postasinkin vain kerran.
 
Kai tuossa nyt perus SSH avainten tuki on myös mukana. Se on ihan kiva lisä.

On kyllä. Musta se lasketaan osaksi FIDOa. Eli meinaan noita ed25519-sk-avaimia. Niitten pitäisi toimia noilla riisutuilla avaimilla. Vanhanmalliset PGP-avaimet tuskin toimivat SSHn kanssa tolla riisutulla.
 
On kyllä. Musta se lasketaan osaksi FIDOa. Eli meinaan noita ed25519-sk-avaimia. Niitten pitäisi toimia noilla riisutuilla avaimilla. Vanhanmalliset PGP-avaimet tuskin toimivat SSHn kanssa tolla riisutulla.
Niinhän se lasketaan, mutta FIDO:ssa on useita tukia eri cipher suiteille jne, ihan kuten AES-256-GCM on osa TLS:ää, niin se ei silti toimi kaikkialla. Eli esim. osa vanhemmista avaimista ei tue ed25519-sk:ta, niiden kanssa voi tosin toimia ecdsa-sk. Yubico:lla kun ei muistaakseni ole mahdolisuutta ajaa firmis päivityksiä avaimiin kuten monella kilpailijlla. Eli kun avain vähän vanhenee se pitää uusia, sen sijaan että päivittäisi vaan ohjelmistot siihen.

Anyway, pari kaveri on sanonut, että ei käytä FIDO2 avaimia kun se on niin vaikeaa. Itse tykkään kovasti ja on kyllä mielestäni yksi kätevimpiä tapoja kirjautua palveluihin, erityisesti passwordless modessa, jollin ei tarvita mitään käyttätunnuksia eikä salasanoja, painaa vaan login. Ihan kuten SSH:llakin.

Toivottavasti (?) tulevaisuudessa myös OIDC tulee vähentämään tarvetta erilaisille sivustoille implementoida erilaisia login-tapoja. Näitä ratkaisuitahan on ollut vaikka kuinka ja paljon ja osa on paremmin implementoituja kuin toiset. Tästä tosin olikin pitkä keskustelu jo autentikointi ketjussa, eikä sinänsä liity 2FA:n, paitsi että kun OIDC palvelun tuottaja tarjoaa 2FA:n tai toivottavasti passwordless loginin, niin sitten muiden palveluiden ei tarvitse enää miettiä sitä. Google tosin kertoi, että juuri tässä langassa onkin juteltu tästä aiheesta 5 vuotta sitten. Heh.
 
Viimeksi muokattu:
Täytyy nyt myöntää että allekirjoittanut on "pihalla kuin lumiukko" tämän päivän tietoturva-asioista ainakin koskien salasanojen / tilien hallintaa.
Kysyisinkin nyt , että kun kuitenkin olisi varmaankin suotavaa edes käyttää tuota kaksivaiheista tunnistusta käytössä oleviin online tileihin, niin onko yleisesti kuitenkin suositeltavaa jättää kaksivaihein tunnistus pois päältä luotettujen laitteiden kohdalta vai olisiko syytä kaksivaiheinen tunnistus olla päällä kaikilla laitteilla kaikissa tilanteissa ?
 
Kysyisinkin nyt , että kun kuitenkin olisi varmaankin suotavaa edes käyttää tuota kaksivaiheista tunnistusta käytössä oleviin online tileihin, niin onko yleisesti kuitenkin suositeltavaa jättää kaksivaihein tunnistus pois päältä luotettujen laitteiden kohdalta vai olisiko syytä kaksivaiheinen tunnistus olla päällä kaikilla laitteilla kaikissa tilanteissa ?
Tällaista laitekohtaista valintamahdollisuutta ei yleensä ole. Mutta sen sijaan on mahdollisuus valita niin, että luotettu laite muistetaan, eikä sen kanssa tarvitse MFA:n kanssa räpeltää joka kerta kun kirjautuu.
MFA kannattaa olla aina käytössä kaikilla tileillä, missä vain se on mahdollista, jolloin huijareilla on pienempi mahdollisuus kirjautua sinuna
 
Tällaista laitekohtaista valintamahdollisuutta ei yleensä ole. Mutta sen sijaan on mahdollisuus valita niin, että luotettu laite muistetaan, eikä sen kanssa tarvitse MFA:n kanssa räpeltää joka kerta kun kirjautuu.
MFA kannattaa olla aina käytössä kaikilla tileillä, missä vain se on mahdollista, jolloin huijareilla on pienempi mahdollisuus kirjautua sinuna
Onko riski enää kovin iso, että huijari / hakkeri voisi käyttää minun laitteen kautta tiliä (ns. luotettuna laitteena), kun käytössä pöytäkoneella on WIN 11 + F-secure toltal ja mobiilissa Iphone / Ipad compo ?
 
Onko riski enää kovin iso, että huijari / hakkeri voisi käyttää minun laitteen kautta tiliä (ns. luotettuna laitteena)
Mukavuus x turvallisuus on vakio, joten jos ei pidä mitään laitetta luotettuna ja kirjautuu itsekin aina MFA:n kautta, verkkorikollisten homma hankaloituu. Mobiililaite on turvallisempi kuin Windows, joten esim. raha-asioita on parempi hoitaa pelkästään sillä jne.
 
Onko riski enää kovin iso, että huijari / hakkeri voisi käyttää minun laitteen kautta tiliä (ns. luotettuna laitteena), kun käytössä pöytäkoneella on WIN 11 + F-secure toltal ja mobiilissa Iphone / Ipad compo ?

Kun tiettyyn laitteeseen luotetaan, niin sä tavallaan teet siitä laitteesta yhden 2FA-tekijän. Eli varas tarvitsee yhä edelleen sekä sun salasanan ja jonkun fyysisen laitteen (se luotettu laite, Yubikey/kännykän Authenticator). Eli vaikka luotat laitteeseen, on se tili todella paljon varmemmin suojattu kuin ilman sitä.
 
Olen eri mieltä

Ei tuo ole mikään mielipideasia. Jos tunnistautuminen vaatii salasanan lisäksi myös tietyn laitteen, niin se on määritelmän mukaan 2FA. Kaikissa menetelmissä on mahdollisia tietoturvaongelmia, ei kukaan muuta varmaan väitä. 2FA on myös SMS-pohjaiset menetelmät, joita vastaan on ihan tunnettujakin hyökkäyksiä, esim. "sim swap". MFA:n kloonaamisen helppous riippuu ihan menetelmästä. Yubikey ja FIDO2 >> SMS 2FA.
 

Statistiikka

Viestiketjuista
258 399
Viestejä
4 489 785
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom