Kaksivaiheinen vahvistus | Two-/Multi-factor authentication

[Sommite]

Turvallisuuden kannalta tuon salaisen avaimen synkronointi jonnekin on huono asia, mutta vastaavasti taas jokaiseen palveluun pitäisi rekisteröidä vähintään kaksi laitetta, jotta ei lukitse itseään pihalle laitteen hajotessa tai kadotessa.

Pääsyavaimissa on metadata, joka välitetään palvelulle. Metadatassa on muun muassa merkintä, onko avain varmuuskopioitu vai laitteeseen sidottu. Jos palvelussa on rekisteröity vain yksi laitteeseen sidottu avain, palvelun tulisi suosituksen mukaisesti muistuttaa, että avaimia tarvitaan varalle lisää. Varmuuskopioituja avaimia sen sijaan voi yksikin riittää.

Googlen ja Applen toteutuksissahan avaimen yksityistä osaa käsitellään eristetyssä ympäristössä, joka voi olla erillinen turvasiru tai hypervisor-ratkaisu. Varmuuskopiot salataan niin, että yksityinen avain voidaan siirtää vain toiseen laitteeseen, jossa on vastaava eristetty ympäristö. Tässä on hyviä ja huonoja puolia. Hyvä puoli, että ratkaisu on turvallisempi kuin pelkkä ohjelmistototeutus. Huono puoli on, että avaimet on sidottu ekosysteemiin: esim. Applen laitteilla luodut avaimet pitää käyttää Applen laitteilla. Salasananhallintaohjelmissa on sitten ohjelmistopohjaisia pääsyavaimia, jotka siirtyvät esteettä ekosysteemien välillä.

Onko tällä hetkellä olemassa ratkaisua, jossa nuo salaiset avaimet saisi tallennettua ulkoiseen (joku fido dongle?) laitteeseen sen puhelimen tai tietokoneen sijaan ? Käyttötapauksena esim. joltakin vieraalta (työläppäri, kaverin kone, kirjasto, ...) koneelta kirjautuminen.

Ulkoisen donglen käyttäminen (ns. roaming authenticator) on toki vaihtoehto, mutta pääsyavaimissa on ratkaisuna myös avaimen välittäminen Bluetoothin kautta. Eli pääsyavainta säilytetään yleensä puhelimessa, ja vieras kone näyttää QR-koodin, joka skannataan puhelimella. Puhelin kertoo, että toinen laite haluaa käyttää tiettyä pääsyavainta, minkä käyttäjä sitten hyväksyy. Näin puhelin vahvistaa kirjautumisen vieraalle koneelle. Vaihtoehtona voi olla myös kyseisen puhelimen tallentaminen, jotta sen avaimia voi jatkossa käyttää myös ilman QR-koodia.

QR-koodin kautta kirjautuminen vaatii nimenomaan Bluetooth-yhteyden, eli se ei toimi pelkästään verkon kautta toisin kuin jotkut muut palvelut, joissa pääsyoikeuksia voi jakaa skannaamalla QR-koodeja. Tämä on kalasteluntorjuntaa varten tehty valinta: kun pääsyavaimen käyttäminen toisella laitteella vaatii laitteiden läheisyyden, tunnusten kalastelu on vaikeampaa, eli huijaussivu ei voi noin vain tyrkyttää QR-koodia, joka antaa pääsyn huijarille.

Päinvastainen operaatio on tuettu myös, eli vieraalla koneella voi haluta lisätä palveluun pääsyavaimen, ja QR-koodin skannaamalla pääsyavain luodaankin puhelimeen eikä kyseiselle koneelle.

 

[user9999]

Twilio on ilmoittanut lopettavansa Authy-työpöytäsovelluksensa elokuussa 2024. Muutos vaikuttaa Authy-sovelluksiin Windowsille, Linuxille ja macOS:lle.

Authy authenticator apps for desktop are being discontinued in August 2024 - gHacks Tech News

Twilio has announced that the Authy authenticator apps for desktop will reach end of life in August 2024. Here's what you can do.

www.ghacks.net

MacOS käyttäjät (Apple Silicon) voivat käyttää iOS versiota. Itse olen siirtynyt tuosta Authysta jo pois, mutta iOS versio pyörii vielä iOS, iPadOS ja Maceissa varalla.

Nyt tuosta löytyy ilmoitus.

https://support.authy.com/hc/en-us/articles/17592416719003

 

[Lammas]

Uutisissa ja eri puolella nettiä on viime aikoina ollut kiihtyvässä määrin esillä SIM swap -menetelmä ja sillä aiheutetut vahingot. Tässä siis käytännössä varastetaan puhelinnumero, minkä jälkeen varas voi ongelmitta vastaanottaa kaikki uhrille lähetetyt puhelut ja tekstiviestit. En tiedä onko Euroopassa tai Suomessa jotain, joka teke SIM swappingin vaikeammaksi, mutta ainakin täällä USA:ssa se tuntuu onnistuvan todella helposti. On hyvin rajalliset mahdollisuudet vaikuttaa itse siihen, joutuuko uhriksi. Puhelimen fyysisellä varastamisella voi tietysti olla samat seuraukset, ainakin jos puhelin napataan kädestä silloin, kun se ei ole lukittuna.

Olin jo aloittamassa keskustelua otsikolla "Puhelimen tai puhelinnumeron varastamisen seuraukset ja niiltä suojautuminen", mutta kuten tuossa wikipedia-artikkelin alussa lukee, SIM swapping liittyy läheisesti tämän ketjun aiheeseen eli 2FA:han. SIM swappingista seuraa katastrofi esim. silloin, kun palvelun salasanan resetointi onnistuu pelkän puhelinnumeron avulla. 2FA muuttu tällöin pelkäksi "1FA":ksi, mikä on aika naurettavaa, koska esim. omalla kohdalla pidän puhelimen tai puhelinnumeron varastamista paljon todennäköisempänä kuin salasanojeni päätymistä vääriin käsiin, mutta puhelimeen perustuva 2FA auttaa vain jälkimmäiseen.

En löytänyt selvää vastausta siihen, onnistuuko google-tilin palautus pelkällä puhelinnumerolla silloin, kun sekä puhelinnumero ja sähköpostiosoite on annettu recovery-optioihin. Jos onnistuu, niin silloinhan puhelimen tai puhelinnumeron varastamalla saa täyden pääsyn niihin palveluihin, joissa kyseinen puhelinnumero ja gmail-osoite toimivat 2FA-välineinä, vaikka näissä palveluissa itsessään ei salasanan resetointi onnistuisi pelkällä puhelinnumerolla.

Facebookin ohjesivuilla luki erikseen, että jos 2FA:n enabloi, niin salasanaa ei voi resetoida pelkällä puhelinnumerolla. Toisaalta jos 2FA:ta ei enabloi (mikä on toki hieman offtopiccia tässä ketjussa), mutta puhelinnumeron on antanut Facebookille, niin silloinhan varas pääsee triviaalisti käsiksi puhelimen haltijan Facebook-tilillle, koska puhelinnumero toimii automaattisesti myös käyttäjätunnuksena.

En täysin ymmärrä, mikä nykyään on paras tapa pitää kaikki tärkeät tunnarit (esim. sähköposteihin ja pankkeihin) turvassa kyber- ja fyysisiltä hyökkäyksiltä, mutta kuitenkin siten, että uloslukittumisen vaaraa ei ole.

 

[TenderBeef]

Bitwarden just launched a new authenticator app. Here’s what it means to users. | Bitwarden

Bitwarden Authenticator gives users the ability to generate and store TOTP codes

bitwarden.com

Erillinen softa iOS:lle ja Android:lle. Ei tarvitse tunnuksia.

Omassa Androidissa, nopea käynnistymään mutta biometrisen unlockauksen päälle laitto asetuksista kaataa appsin.. eiköhän tule korjaus kuitenkin nopeasti. Aegis tällä hetkellä käytössä mutta saatan vaihtaa tähän.

 

[Paapaa]

Bitwarden just launched a new authenticator app. Here’s what it means to users. | Bitwarden

Bitwarden Authenticator gives users the ability to generate and store TOTP codes

bitwarden.com

Erillinen softa iOS:lle ja Android:lle. Ei tarvitse tunnuksia.

Omassa Androidissa, nopea käynnistymään mutta biometrisen unlockauksen päälle laitto asetuksista kaataa appsin.. eiköhän tule korjaus kuitenkin nopeasti. Aegis tällä hetkellä käytössä mutta saatan vaihtaa tähän.

Täällä ei ongelmia S24+:n kanssa kun aktivoin sormenjäljet. Vaikuttaa ihan lupaavalta korvikkeelta Authenticatorille. Tosin, käytätä tätä tasan yhteen asiaan: Bitwardenin desktop-softaan kirjautumiseen, joka vielä ei tue Yubikeytä. Eli en voi tätä TOTP:tä synkata Bitwardenin vaultiin. (Tai voin mutta se ei siellä kauheasti auta...).

Tuleekohan tähän joskus mahdollisuus siirtää koodit uuteen puhelimeen ilman Bitwardenin vaultin käyttämistä?

 

[TenderBeef]

Tuleekohan tähän joskus mahdollisuus siirtää koodit uuteen puhelimeen ilman Bitwardenin vaultin käyttämistä?

Normi import/export? Tulevissa featureissa oli importti mainittu (tosin meinasiko vain vain toisista softista?).

 

[Sommite]

Tuleekohan tähän joskus mahdollisuus siirtää koodit uuteen puhelimeen ilman Bitwardenin vaultin käyttämistä?

Käyttöjärjestelmän varmuuskopioinnin pitäisi toimia. Eli jos uutta laitetta ottaa käyttöön ja palauttaa silloin varmuuskopion, avaimet siirtyvät sieltä.

En tosin luottaisi pelkästään tähän: Aegis on ollut käytössä, ja siinä piti myös olla käyttöjärjestelmän varmuuskopiot, mutta se ei toiminut, vaan piti tuoda tiedostosta.

 

[user9999]

Spotify aloitti kaksivaiheisen tunnistautumisen käytöönoton

Spotify aloitti yllättäen kaksivaiheisen tunnistautumisen käyttöönoton – asiaan ei voi itse vaikuttaa

Kaksivaiheinen tunnistautuminen tekee tuloaan Spotifyhin, ja ensimmäisille käyttäjille se on jo julkaistu. Halukkuutta ei kysytä. Kaksivaiheisessa tu

mobiili.fi

 

[kojooottiii]

Mikäs näistä authenticator-sovelluksista olisi hyväksi todettu ja turvallinen, kun näitä tuntuu olevan niin useita, että ei oikein osaa sanoa mikä kannattaisi asentaa? Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.

Authyn saa useammalle laitteelle, mutta eikö siellä tapahtunut joku tietomurto pari vuotta sitten, eli uskaltaako sitä esim. käyttää?

Microsoftin appi olisi kiinnostanut, koska minulta löytyy outlook. Tutkin vähän mitä siitä sanottiin ja monessa paikkaa kommenteissa mainintaa, että sovellus juuttuu "looppiin", eli koitat avata tuon microsoftin sovelluksen ja se pyytää koodia, joka pitäisi tulla juuri sinne microsoftin sovellukseen mihin itse koitat päästä sisälle.

Olen aivan tauno näiden asioiden kanssa (anteeksi kaikkia Taunoja kohtaan), eikä kokemusta löydy, niin siksi kaipaisin viisaampien neuvoja.

 

[TenderBeef]

mikä kannattaisi asentaa?

Aegis tai Bitwardenin erillinen Authenticator appsi.

Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.

Asenna tietokoneelle joku authenticator softa johon laitat myös samat tiedot. Lisäksi suosittelen tulostamaan paperille recovery koodit yms. (ehkäpä tärkeät salasanat, esim. jos on käytössä joku salasanasofta (jossa pitäisi käyttää pitkää esim. salasanalausetta), eli salasanajemma-softan password ja pää-email-tilisi salasana (joka on tietenkin pitkä ja generoitu salasanajemma-softalla)) ja jemmaan johonkin. Itse en luota ollenkaan mihinkään pilvivarmistuksiin autentikointien kanssa. Näiden 2FA/MFA hommien kanssa voi tosiaan helposti lukita itsensä ulos jos ei ole tarkasti miettinyt kaikkia skenaarioita läpi.

 

[oongee]

Mikäs näistä authenticator-sovelluksista olisi hyväksi todettu ja turvallinen, kun näitä tuntuu olevan niin useita, että ei oikein osaa sanoa mikä kannattaisi asentaa? Eninten arveluttaa jos puhelin hajoaa yms. ja ei pääsekään enää kyseiseen sovellukseen ja sitten ollaankin sormi keskellä suuta.

Authyn saa useammalle laitteelle, mutta eikö siellä tapahtunut joku tietomurto pari vuotta sitten, eli uskaltaako sitä esim. käyttää?

Microsoftin appi olisi kiinnostanut, koska minulta löytyy outlook. Tutkin vähän mitä siitä sanottiin ja monessa paikkaa kommenteissa mainintaa, että sovellus juuttuu "looppiin", eli koitat avata tuon microsoftin sovelluksen ja se pyytää koodia, joka pitäisi tulla juuri sinne microsoftin sovellukseen mihin itse koitat päästä sisälle.

Olen aivan tauno näiden asioiden kanssa (anteeksi kaikkia Taunoja kohtaan), eikä kokemusta löydy, niin siksi kaipaisin viisaampien neuvoja.

Täällä on Authy toiminut ihan hyvin muutaman vuoden. Suurimpana eronahan näissä TOTP-sovelluksissa on se, mitä tapahtuu, jos menetät pääsyn alkuperäiseen laitteeseen tai haluat muutoin siirtyä uuteen laitteeseen. Authyssä nämä asiat menevät jouhevasti.

WIkipediassa on luettelo vaihtoehdoista: Comparison of OTP applications - Wikipedia

 

[Paapaa]

Puhelimen ajan asetus manuaaliseksi ja sitten takaisin automaattiseksi ei tee mitään.

Toisesta ketjusta. Tämän koettaisin ensin selvittää, eli onhan se puhelimen kello oikeassa. Näyttääkö se samaa kuin NTP-synkassa oleva tietokone? Tai edes Suomen aika: NTP-palvelu Jos kännykän kello on väärässä koko ajan, niin luultavasti ongelmat toistuvat ihan riippumatta 2FA-softasta.

 

[arcane]

Toisesta ketjusta. Tämän koettaisin ensin selvittää, eli onhan se puhelimen kello oikeassa. Näyttääkö se samaa kuin NTP-synkassa oleva tietokone? Tai edes Suomen aika: NTP-palvelu Jos kännykän kello on väärässä koko ajan, niin luultavasti ongelmat toistuvat ihan riippumatta 2FA-softasta.

Tjoo, sikäli ei ollut vaikutusta, vaikka otin google authenticatorista koodeista QR-koodin ja kopioin samat koodit ehdotetun Aegisin puolelle - molemmat softat näyttävät samoja koodeja, jotka vaihtuvat tismalleen samaan aikaan.

Vertasin tuohon NTP-palvelun aikaan, niin kellot vaikuttavat vaihtavan minuuttia täsmälleen samaan aikaan tai maksimissaan 0,5-1 sekuntia eri aikaan, jonka ei pitäisi nähdäkseni olla oikeasti merkittävä heitto heitto. Muutenkin aika on säädetty olemaan automaattinen. Jos androidin kellon voi jotenkin pakottaa synkkaamaan, niin voisi sitä kokeilla.

Ehkä minun pitää nuo pari ongelmallista koodia yrittää vaan poistaa MFA ja asettaa uudestaan. Yksi tosiaan vaan ei hyväksy koodejani välillä, ja toinen lähetti perään viestin muistaakseni että olisin käyttänyt jopa yli vartin vanhaa koodia, jonka nyt olisin varmasti huomannut jos kännykän kello olisi noin pahasti pielessä... kuitenkin seuraavan koodin se taas hyväksyi, joten sikäli pidän hieman ihmeellisenä myös sitä jos palvelu hyväksyisi jopa vartin vanhoja koodeja. Molemmat palvelut liittyvät töihin, joten sikäli en ole ollut niin huolissani että jos lukittaisin itseni asioiden ulkopuolelle - IT pystyy ne minulle resetoimaan tarvittaessa. Mutta voisin silti yrittää kuitenkin ratkoa ongelmaa, kun se on ilmestynyt vasta viimeisen puolen vuoden aikana - autentikaattoria olen onnistuneesti näissä käyttänyt jo vuosia.

Yleisesti näitä on vaikea vertailla onko vika vain muutamassa palvelussa vai onko synkkaus jotenkin täysin pielessä, koska palvelut eivät kerro, kuinka vanhoja tai uusia koodia ne hyväksyvät. Esimerkiksi Github hyväksyy täysin mukisematta koodin, joka on juuri ehtinyt vaihtumaan pois autentikaattorin ruudulta.

 

[Paapaa]

Yleisesti näitä on vaikea vertailla onko vika vain muutamassa palvelussa vai onko synkkaus jotenkin täysin pielessä, koska palvelut eivät kerro, kuinka vanhoja tai uusia koodia ne hyväksyvät. Esimerkiksi Github hyväksyy täysin mukisematta koodin, joka on juuri ehtinyt vaihtumaan pois autentikaattorin ruudulta.

Jos vain osa koodeista ei toimi, niin se kielisi siitä, että ongelma ovat ne pari palvelua. Eli niiden kellot eivät ole synkassa. Ja sinun koodeissa ja 2FA-softassa ja kellossa ei ole mitään vikaa. Ehkä koetat asettaa ne uudestaan niihin pariin palveluun. Ja jos ei auta, niin pistä sinne supporttiin viestiä.

 

[arcane]

Eli niiden kellot eivät ole synkassa.

Sikäli kun nämä palvelut ovat Microsoft ja LastPass, niin nämä eivät ole ihan mitään pikkupalveluita. Pidän tätä vaihtoehtoa melko epätodennäköisenä. Mutta pitää tosiaan resetoida näihin uusi koodi, ja katsoa toistuuko. Muissa törmään ongelmaan harvemmin, mutta toisaalta nuo ovat ne kaksi koodia jota eniten joudun syöttämään.

Nopealla testillä ainakin pari henkilökohtaisesti käyttämääni palvelua sitten taas hyväksyivät ihan viime sekunnilla syötetyn koodinkin.

 

[arcane]

No niin, tähän synkkausongelmaan taisikin löytyä ratkaisu.

LastPass valitteli, että TOTP koodini olisi yli tunnin vanha. Olin jo kerran resetoinut MFAn LastPassiin, ja vielä kokeillut Aegista, jotka kumpikaan ei auttanut - aika ei vaan ollut synkronoitu. Tunti tietysti viittasi siihen, että jonkinlaisesta aikavyöhyke-ongelmasta olisi kyse. Kävin sitten puhelimella vielä kerran aika-asetuksissa, ja sieltä puuttui täppä kohdasta "Aseta aikavyöhyke sijainnin perust. - Käytä puhelimesi sijaintia aikavyöhykkeen määrittämiseen. Tästä saattaa olla apua, jos matkauhelinverkko antaa joskus väärän aikavyöhykkeen". Kytkin tämän päälle siitä huolimatta, ettei minulla ole ikinä ollut ongelmia puhelimen kellonajan, aikavyöhykkeen tai kesä-/talviajan kanssa. Nyt ainakin Microsoft ja LastPass hyväksyivät taas koodit, jotka antoi siinä vaiheessa kun uusi koodi oli jo vaihtunut ruudulle.

...mikä minua hämmentää tässä eniten on se, että miten tällainen aikakriittinen työkalu ei mukamas toimi jokaisessa palvelussa UTC-ajassa täysin aikavyöhykkeistä piittaamatta? Ja kun puhelin kuitenkin määrittää kellonajan automaattisesti, niin luulisi että siinä määritetään nimenomaan UTC-aika, ja vasta erikseen aikavyöhykelisät, jolloin pitäisi riittää että laitteet neuvottelevat UTC-aikaa.

Myös ehkä TOTPin kannalta hieman huolestuttavaa, että palvelut näemmä hyväksyvät kitisemättä jopa lähes tunnin vanhoja autentikaatiokoodeja. Olisin olettanut että heittoa saa olla vain sekunteja tai max. minuutin.

 

[arcane]

"Aseta aikavyöhyke sijainnin perust. - Käytä puhelimesi sijaintia aikavyöhykkeen määrittämiseen. Tästä saattaa olla apua, jos matkauhelinverkko antaa joskus väärän aikavyöhykkeen". Kytkin tämän päälle siitä huolimatta, ettei minulla ole ikinä ollut ongelmia puhelimen kellonajan, aikavyöhykkeen tai kesä-/talviajan kanssa. Nyt ainakin Microsoft ja LastPass hyväksyivät taas koodit, jotka antoi siinä vaiheessa kun uusi koodi oli jo vaihtunut ruudulle.

No eipä tainnut tämäkään korjata ongelmaa täysin, koska tänään taas erinäiset palvelut eivät hyväksyneet koodeja ensimmäisellä yrittämällä.

 

[TenderBeef]

Protonilta tuli oma Authenticator softa. Löytyy appsit mobiiliin ja myös kaikille desktopeille, myös linuxille!

 

[leripe]

Protonilta tuli oma Authenticator softa. Löytyy appsit mobiiliin ja myös kaikille desktopeille, myös linuxille!

Pitääpä laittaa seurantaan ja harkita vaihtoa, kunhan ensimmäiset bugit jne hiottu.

 

[Aaltoliike]

Protonilta tuli oma Authenticator softa. Löytyy appsit mobiiliin ja myös kaikille desktopeille, myös linuxille!

Pitääpä laittaa seurantaan ja harkita vaihtoa, kunhan ensimmäiset bugit jne hiottu.

Tuli luettua tuosta, että ilmeisesti local backupit on tällähetkellä salaamattomia kokonaan, eli suoraan raakatekstinä.

Kunhan tuo on korjattu nii vaihdan itsekkin varmaankin Authyn tuohon.

 

[TenderBeef]

Tuli luettua tuosta, että ilmeisesti local backupit on tällähetkellä salaamattomia kokonaan, eli suoraan raakatekstinä.

Mites tuo haittaa?

 

[Aaltoliike]

Mites tuo haittaa?

No ei luulisi olevan iso homma lisätä salaus paikalliseen varmuuskopioon, kerta Aegiksella onnistuu jne.

 

[Sommite]

Mites tuo haittaa?

Androidissa saattaa olla useampi sovellus, joilla on kaikkien tiedostojen lukuoikeus mutta joiden ei tarvitsisi päästä 2FA-avaimiin. Salaus tarjoaa turvakerroksen näiden väliin.

 

[TenderBeef]

Tuli luettua tuosta, että ilmeisesti local backupit on tällähetkellä salaamattomia kokonaan, eli suoraan raakatekstinä.

Androidissa saattaa olla useampi sovellus, joilla on kaikkien tiedostojen lukuoikeus mutta joiden ei tarvitsisi päästä 2FA-avaimiin.

Hetkinen, mistä tässä kaikessa nyt oli kyse? Manuaalisesta backupista lokaaliin (luulin aluksi että kyse oli desktopissa, mutta ilmeisesti kyse oli mobiilista), vai appsin omista tiedostoista järjestelmässä?

 

[Cryptic5627]

Yubikey(t) + Bitwarden on edelleen lyömätön yhdistelmä. Protonin ympäristö on käytössä muuten kyllä mutta en halua kaikkea yhdestä korista. Yubikeyt hoitaa tärkeimmät MFA:t ja toissijaiset TOTP:t Bitwardenissa.

 

[asentaja142]

Tuli luettua tuosta, että ilmeisesti local backupit on tällähetkellä salaamattomia kokonaan, eli suoraan raakatekstinä.

Kunhan tuo on korjattu nii vaihdan itsekkin varmaankin Authyn tuohon.

Kannattaako tässä tilanteessa yleensä edes tehdä back uppeja? Yleensä kaikissa palveluissa kun luot 2FA saat palautus koodin sieltä joka tulee säilyttää turvassa.
EDIT: Toki siinä on silloin 2 back uppi metodia.

 

[Aaltoliike]

Nyt oli ensimmäistä kertaa oikeasti hyötyä kyseisestä ominaisuudesta. Oli varmaa viittä vaille ettei lähteny Discord tunnus mulla kävelee. Oli heikohko salasana (tunnustan, tässä mentiin käytettävyys edellä) nii yhtäkkiä tos 19 aikaa Discord kirjaa mut kaikkialta ulos, vaatii pakkovaihtamaan salasanan ku tilillä kuulemma jotain hämminkiä ja lätkäsivät 4 tunnin suukapulan. En pystyny kirjottaa mitää mihinkään, ainoastaa lukemaan viestejä. No onneks oli 2-vaiheinen varmistus nii ei lähteny koko tunnus kävelee jos botit/hakkerit kävi koputtelee tunnuksia. Nollasin senkin varmuuden vuoksi. Muutin salasanan vastaamaan nykyisin mulla olevaa salasanakäytäntöä, eli vähintään 40 merkkiä, täysin randomi.