Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

Piti ostaa Yubikey, mutta nyt Yubicon nettisivuille ei pääse. Ovatko he jonkin hyökkäyksen kohteena, vai mistähän moinen? Etusivukin vaatii kirjautumisen google tunnuksella, ja vielä sen että tunnus on tuossa heidän organisaatiossaan.
 
Piti ostaa Yubikey, mutta nyt Yubicon nettisivuille ei pääse. Ovatko he jonkin hyökkäyksen kohteena, vai mistähän moinen? Etusivukin vaatii kirjautumisen google tunnuksella, ja vielä sen että tunnus on tuossa heidän organisaatiossaan.
Alisivut näyttää toimivan normaalisti, jos sinne menee suoraan esim. Googlen tuloksista.

Etusivu näyttää uudelleenohjaavan jollekin testipalvelimelle:
Koodi:
location: https://www.stage.yubico.com/
joka sitten ohjaa Google-kirjautumiseen:
Koodi:
location: https://accounts.google.com/o/oauth2/v2/auth?...

Eli veikkaan, että joku on vaan mokannut sivuston asetusten määrittelyssä.
 
Näyttäisi passkeysiä vaivaavan sama hypeähky kuin lähes kaikkea muutakin uutta tekologiaa. FidoAlliancen passkeys- sivustolla on käytännössä pelkkää hypetystä siitä kuinka elämä muuttuu helpoksi ja kaikilla on kivaa kun otat passkey:n käyttöön. On hyvin hankala löytää lyhyttä yksinkertaistettua kuvausta siitä miten passkeys toimii. Toki voi kahlata huiman määrän kehittäjädokumentaatiota läpi, mutta jos ei itse ole toteuttamassa passkeysiä käyttävää verkkopalvelua, niin tuossa on kohtuuttoman paljon vaivaa.
Muistan joskus vuosia sitten, kun ensimmäisen kerran kiinnostuin Dockerista, niin silloinen Docker sivusto yhtälailla keskittyi kertomaan kuinka elämä on helpompaa Dockerin kanssa, mutta mistään selvinnyt, että mikä se Docker on. (chroot ympäristö steroideila)

Lieneekö tämä nyt oikea (ykisnkertaistettu) käsitys passkeysistä:
* webpalvelu kertoo käyttäjälle tukevansa passkeysiä
* käyttäjän laite generoi autentikointia varten avainparin
* julkinen avain tallennetaan webpalveluun
* salainen avain tallennetaan laitteelle biometrisen tai muun vahvan suojauksen taakse
* kun käyttäjä yrittää kirjautua palveluun, lähettää käyttäjä kirjautumispyynnön
* palvelu vastaa kirjautumishaaseteella
* käyttäjä lähettää salaisella avaimella allekirjoitettun vastauksen
* palvelu varmistaa annetun vastauksen käyttäjän julkisella avaimella

Kuten tässä jo aieminkin on keskusteltu, niin akilleen kantapääksi muodostuu tuo laitekohtainen avainpari. Turvallisuuden kannalta tuon salaisen avaimen synkronointi jonnekin on huono asia, mutta vastaavasti taas jokaiseen palveluun pitäisi rekisteröidä vähintään kaksi laitetta, jotta ei lukitse itseään pihalle laitteen hajotessa tai kadotessa.

Onko tällä hetkellä olemassa ratkaisua, jossa nuo salaiset avaimet saisi tallennettua ulkoiseen (joku fido dongle?) laitteeseen sen puhelimen tai tietokoneen sijaan ? Käyttötapauksena esim. joltakin vieraalta (työläppäri, kaverin kone, kirjasto, ...) koneelta kirjautuminen.
 
Onko tällä hetkellä olemassa ratkaisua, jossa nuo salaiset avaimet saisi tallennettua ulkoiseen (joku fido dongle?) laitteeseen sen puhelimen tai tietokoneen sijaan ?

Esim. Yubikeylle mahtuu 25 avainta. Ne kulkevat sitten taskussa ja niillä voi kirjautua Passkey:tä tukeviin palveluihin.
 
Twilio on ilmoittanut lopettavansa Authy-työpöytäsovelluksensa elokuussa 2024. Muutos vaikuttaa Authy-sovelluksiin Windowsille, Linuxille ja macOS:lle.

MacOS käyttäjät (Apple Silicon) voivat käyttää iOS versiota. Itse olen siirtynyt tuosta Authysta jo pois, mutta iOS versio pyörii vielä iOS, iPadOS ja Maceissa varalla.
 
Viimeksi muokattu:
Turvallisuuden kannalta tuon salaisen avaimen synkronointi jonnekin on huono asia, mutta vastaavasti taas jokaiseen palveluun pitäisi rekisteröidä vähintään kaksi laitetta, jotta ei lukitse itseään pihalle laitteen hajotessa tai kadotessa.
Pääsyavaimissa on metadata, joka välitetään palvelulle. Metadatassa on muun muassa merkintä, onko avain varmuuskopioitu vai laitteeseen sidottu. Jos palvelussa on rekisteröity vain yksi laitteeseen sidottu avain, palvelun tulisi suosituksen mukaisesti muistuttaa, että avaimia tarvitaan varalle lisää. Varmuuskopioituja avaimia sen sijaan voi yksikin riittää.

Googlen ja Applen toteutuksissahan avaimen yksityistä osaa käsitellään eristetyssä ympäristössä, joka voi olla erillinen turvasiru tai hypervisor-ratkaisu. Varmuuskopiot salataan niin, että yksityinen avain voidaan siirtää vain toiseen laitteeseen, jossa on vastaava eristetty ympäristö. Tässä on hyviä ja huonoja puolia. Hyvä puoli, että ratkaisu on turvallisempi kuin pelkkä ohjelmistototeutus. Huono puoli on, että avaimet on sidottu ekosysteemiin: esim. Applen laitteilla luodut avaimet pitää käyttää Applen laitteilla. Salasananhallintaohjelmissa on sitten ohjelmistopohjaisia pääsyavaimia, jotka siirtyvät esteettä ekosysteemien välillä.
Onko tällä hetkellä olemassa ratkaisua, jossa nuo salaiset avaimet saisi tallennettua ulkoiseen (joku fido dongle?) laitteeseen sen puhelimen tai tietokoneen sijaan ? Käyttötapauksena esim. joltakin vieraalta (työläppäri, kaverin kone, kirjasto, ...) koneelta kirjautuminen.
Ulkoisen donglen käyttäminen (ns. roaming authenticator) on toki vaihtoehto, mutta pääsyavaimissa on ratkaisuna myös avaimen välittäminen Bluetoothin kautta. Eli pääsyavainta säilytetään yleensä puhelimessa, ja vieras kone näyttää QR-koodin, joka skannataan puhelimella. Puhelin kertoo, että toinen laite haluaa käyttää tiettyä pääsyavainta, minkä käyttäjä sitten hyväksyy. Näin puhelin vahvistaa kirjautumisen vieraalle koneelle. Vaihtoehtona voi olla myös kyseisen puhelimen tallentaminen, jotta sen avaimia voi jatkossa käyttää myös ilman QR-koodia.

QR-koodin kautta kirjautuminen vaatii nimenomaan Bluetooth-yhteyden, eli se ei toimi pelkästään verkon kautta toisin kuin jotkut muut palvelut, joissa pääsyoikeuksia voi jakaa skannaamalla QR-koodeja. Tämä on kalasteluntorjuntaa varten tehty valinta: kun pääsyavaimen käyttäminen toisella laitteella vaatii laitteiden läheisyyden, tunnusten kalastelu on vaikeampaa, eli huijaussivu ei voi noin vain tyrkyttää QR-koodia, joka antaa pääsyn huijarille.

Päinvastainen operaatio on tuettu myös, eli vieraalla koneella voi haluta lisätä palveluun pääsyavaimen, ja QR-koodin skannaamalla pääsyavain luodaankin puhelimeen eikä kyseiselle koneelle.
 
Viimeksi muokattu:
Twilio on ilmoittanut lopettavansa Authy-työpöytäsovelluksensa elokuussa 2024. Muutos vaikuttaa Authy-sovelluksiin Windowsille, Linuxille ja macOS:lle.

MacOS käyttäjät (Apple Silicon) voivat käyttää iOS versiota. Itse olen siirtynyt tuosta Authysta jo pois, mutta iOS versio pyörii vielä iOS, iPadOS ja Maceissa varalla.
Nyt tuosta löytyy ilmoitus.
 
Uutisissa ja eri puolella nettiä on viime aikoina ollut kiihtyvässä määrin esillä SIM swap -menetelmä ja sillä aiheutetut vahingot. Tässä siis käytännössä varastetaan puhelinnumero, minkä jälkeen varas voi ongelmitta vastaanottaa kaikki uhrille lähetetyt puhelut ja tekstiviestit. En tiedä onko Euroopassa tai Suomessa jotain, joka teke SIM swappingin vaikeammaksi, mutta ainakin täällä USA:ssa se tuntuu onnistuvan todella helposti. On hyvin rajalliset mahdollisuudet vaikuttaa itse siihen, joutuuko uhriksi. Puhelimen fyysisellä varastamisella voi tietysti olla samat seuraukset, ainakin jos puhelin napataan kädestä silloin, kun se ei ole lukittuna.

Olin jo aloittamassa keskustelua otsikolla "Puhelimen tai puhelinnumeron varastamisen seuraukset ja niiltä suojautuminen", mutta kuten tuossa wikipedia-artikkelin alussa lukee, SIM swapping liittyy läheisesti tämän ketjun aiheeseen eli 2FA:han. SIM swappingista seuraa katastrofi esim. silloin, kun palvelun salasanan resetointi onnistuu pelkän puhelinnumeron avulla. 2FA muuttu tällöin pelkäksi "1FA":ksi, mikä on aika naurettavaa, koska esim. omalla kohdalla pidän puhelimen tai puhelinnumeron varastamista paljon todennäköisempänä kuin salasanojeni päätymistä vääriin käsiin, mutta puhelimeen perustuva 2FA auttaa vain jälkimmäiseen.

En löytänyt selvää vastausta siihen, onnistuuko google-tilin palautus pelkällä puhelinnumerolla silloin, kun sekä puhelinnumero ja sähköpostiosoite on annettu recovery-optioihin. Jos onnistuu, niin silloinhan puhelimen tai puhelinnumeron varastamalla saa täyden pääsyn niihin palveluihin, joissa kyseinen puhelinnumero ja gmail-osoite toimivat 2FA-välineinä, vaikka näissä palveluissa itsessään ei salasanan resetointi onnistuisi pelkällä puhelinnumerolla.

Facebookin ohjesivuilla luki erikseen, että jos 2FA:n enabloi, niin salasanaa ei voi resetoida pelkällä puhelinnumerolla. Toisaalta jos 2FA:ta ei enabloi (mikä on toki hieman offtopiccia tässä ketjussa), mutta puhelinnumeron on antanut Facebookille, niin silloinhan varas pääsee triviaalisti käsiksi puhelimen haltijan Facebook-tilillle, koska puhelinnumero toimii automaattisesti myös käyttäjätunnuksena.

En täysin ymmärrä, mikä nykyään on paras tapa pitää kaikki tärkeät tunnarit (esim. sähköposteihin ja pankkeihin) turvassa kyber- ja fyysisiltä hyökkäyksiltä, mutta kuitenkin siten, että uloslukittumisen vaaraa ei ole.
 

Erillinen softa iOS:lle ja Android:lle. Ei tarvitse tunnuksia.

Omassa Androidissa, nopea käynnistymään mutta biometrisen unlockauksen päälle laitto asetuksista kaataa appsin.. eiköhän tule korjaus kuitenkin nopeasti. Aegis tällä hetkellä käytössä mutta saatan vaihtaa tähän.
 

Erillinen softa iOS:lle ja Android:lle. Ei tarvitse tunnuksia.

Omassa Androidissa, nopea käynnistymään mutta biometrisen unlockauksen päälle laitto asetuksista kaataa appsin.. eiköhän tule korjaus kuitenkin nopeasti. Aegis tällä hetkellä käytössä mutta saatan vaihtaa tähän.

Täällä ei ongelmia S24+:n kanssa kun aktivoin sormenjäljet. Vaikuttaa ihan lupaavalta korvikkeelta Authenticatorille. Tosin, käytätä tätä tasan yhteen asiaan: Bitwardenin desktop-softaan kirjautumiseen, joka vielä ei tue Yubikeytä. Eli en voi tätä TOTP:tä synkata Bitwardenin vaultiin. (Tai voin mutta se ei siellä kauheasti auta...).

Tuleekohan tähän joskus mahdollisuus siirtää koodit uuteen puhelimeen ilman Bitwardenin vaultin käyttämistä?
 
Tuleekohan tähän joskus mahdollisuus siirtää koodit uuteen puhelimeen ilman Bitwardenin vaultin käyttämistä?
Käyttöjärjestelmän varmuuskopioinnin pitäisi toimia. Eli jos uutta laitetta ottaa käyttöön ja palauttaa silloin varmuuskopion, avaimet siirtyvät sieltä.

En tosin luottaisi pelkästään tähän: Aegis on ollut käytössä, ja siinä piti myös olla käyttöjärjestelmän varmuuskopiot, mutta se ei toiminut, vaan piti tuoda tiedostosta.
 
Mikäs näistä authenticator-sovelluksista olisi hyväksi todettu ja turvallinen, kun näitä tuntuu olevan niin useita, että ei oikein osaa sanoa mikä kannattaisi asentaa? Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.

Authyn saa useammalle laitteelle, mutta eikö siellä tapahtunut joku tietomurto pari vuotta sitten, eli uskaltaako sitä esim. käyttää?

Microsoftin appi olisi kiinnostanut, koska minulta löytyy outlook. Tutkin vähän mitä siitä sanottiin ja monessa paikkaa kommenteissa mainintaa, että sovellus juuttuu "looppiin", eli koitat avata tuon microsoftin sovelluksen ja se pyytää koodia, joka pitäisi tulla juuri sinne microsoftin sovellukseen mihin itse koitat päästä sisälle.

Olen aivan tauno näiden asioiden kanssa (anteeksi kaikkia Taunoja kohtaan), eikä kokemusta löydy, niin siksi kaipaisin viisaampien neuvoja.
 
mikä kannattaisi asentaa?
Aegis tai Bitwardenin erillinen Authenticator appsi.

Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.
Asenna tietokoneelle joku authenticator softa johon laitat myös samat tiedot. Lisäksi suosittelen tulostamaan paperille recovery koodit yms. (ehkäpä tärkeät salasanat, esim. jos on käytössä joku salasanasofta (jossa pitäisi käyttää pitkää esim. salasanalausetta), eli salasanajemma-softan password ja pää-email-tilisi salasana (joka on tietenkin pitkä ja generoitu salasanajemma-softalla)) ja jemmaan johonkin. Itse en luota ollenkaan mihinkään pilvivarmistuksiin autentikointien kanssa. Näiden 2FA/MFA hommien kanssa voi tosiaan helposti lukita itsensä ulos jos ei ole tarkasti miettinyt kaikkia skenaarioita läpi.
 
Mikäs näistä authenticator-sovelluksista olisi hyväksi todettu ja turvallinen, kun näitä tuntuu olevan niin useita, että ei oikein osaa sanoa mikä kannattaisi asentaa? Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.

Authyn saa useammalle laitteelle, mutta eikö siellä tapahtunut joku tietomurto pari vuotta sitten, eli uskaltaako sitä esim. käyttää?

Microsoftin appi olisi kiinnostanut, koska minulta löytyy outlook. Tutkin vähän mitä siitä sanottiin ja monessa paikkaa kommenteissa mainintaa, että sovellus juuttuu "looppiin", eli koitat avata tuon microsoftin sovelluksen ja se pyytää koodia, joka pitäisi tulla juuri sinne microsoftin sovellukseen mihin itse koitat päästä sisälle.

Olen aivan tauno näiden asioiden kanssa (anteeksi kaikkia Taunoja kohtaan), eikä kokemusta löydy, niin siksi kaipaisin viisaampien neuvoja.

Täällä on Authy toiminut ihan hyvin muutaman vuoden. Suurimpana eronahan näissä TOTP-sovelluksissa on se, mitä tapahtuu, jos menetät pääsyn alkuperäiseen laitteeseen tai haluat muutoin siirtyä uuteen laitteeseen. Authyssä nämä asiat menevät jouhevasti.

WIkipediassa on luettelo vaihtoehdoista: Comparison of OTP applications - Wikipedia
 

Statistiikka

Viestiketjuista
259 664
Viestejä
4 512 376
Jäsenet
74 449
Uusin jäsen
Mölberg

Hinta.fi

Back
Ylös Bottom