MFA-ihmettelyä

[Nes8Bit]

Tämä ei oikein mihinkään kuulu, niin olisko tämä yleinen keskustelu oikea paikka.

Jos ajatellaan, että on reissulla ja puhelin ja pädi pöllitään, niin pääseekö nykyään vielä omaan Gmailiin tai Applen ID:seen tms. käsiksi pelkällä salasanalla ja käyttäjätunnuksella?
Kaikkialla vaditaan MFA-tunnistautumista, joka yleensä tuppaa olemaan viesti puhelimeen.
Mut jos kädessä on uusi kapula jollain paikallisella uudella liittymällä, niin onnistuuko mikään?
Onko siellä vielä niitä turvakysymyksiä tileillä, ensimmäisen luokan opettajani oli?

 

[bajamaja]

Riippuu ihan palvelusta mitä MFA vaihtoehtoja se tukee. Hyvin suunnittelluissa palveluissa on tarjolla monia vaihtoehtoja siltä varalta että se yksi tapa ei syystä tai toisesta toimikaan ja niitä voi olla esim:

- puhelinsoitto josta huudellaan koodeja
- tekstiviesti missä koodi
- sähköposti missä koodi
- authenticator mobiilisovellus (Google tai Microsoft Authenticator) joita voi asentaa useampaan eri laitteeseen varmuuden vuoksi
- läjä erilaisia turvakysymyksiä
- secondary sähköpostiosoite mihin voi vastaanottaa koodeja
- joku hardware token, esim yubikey tai muu vastaava

Valitettavan moni palvelu tukee vain tuota SMS:ää tai sähköpostia ilman että käyttäjällä on mitään mahdollisuutta vaikuttaa asiaan.

 

[neko]

Onko siellä vielä niitä turvakysymyksiä tileillä, ensimmäisen luokan opettajani oli?

Ne missä on tällaisia, minulla on täysin järjetön vastaus kysymykseen, ja tieto siitä on Bitwardenissa. Yleensä nämä tosin ovat aika merkityksettömiä, jos vielä ollaan tuolla tasolla, mutta silti.

Jos känny varastetaan, se on kieltämättä vmäinen juttu. Minulla on känny ulkona liikkuessa suurin piirtein kaikkein tärkeiden ohjelmien ajo estetty ilman tunnistautumista (en tähän hätää muista appin nimeä), joten ei välttämättä pääse mihinkään tärkeään kiinni ennen kuin pääsee jonkun toisen laitteen ääreen ja potkaisee ainakin Googlen ja Dropboxin palveluista pois, ja sulkee Samgungin kautta koko laitteen.

 

[Copper]

Sopinee tähän ketjuun kanssa:
Mahtaako nuo puhelimien sormenjälkitunnistimet olla miten varmoja? Omassa puhelimessa on pääsy käytännössä kaikkiin henk.koht tiedostoihin (Drive, Gmail), sekä työtiedostoihin/tunnareihin (Outlook, 2x Share). Tärkeimmät työhön liittyvät järjestelmät on suojattu käyttätunnus/salasana/varmistus (SMS/erillinen softa jossa PIN).
Googlen kautta nyt melko nopeaa saa puhelimen heitettyä tehdasasetuksiin, mutta ainahan siinä hetken kestää että koneelle pääsee.

 

[Agent_007]

Mahtaako nuo puhelimien sormenjälkitunnistimet olla miten varmoja?

Tavallinen taskuvaras ei ole puhelimen tietojen perässä, joten siltä osin en olisi kovin huolissani. Valtiolliset toimijat saanevat nuo kyllä aika varmasti ohitettua, kun noiden tarpeeksi tarkkojen kopiojälkien tekeminen on ollut jo vuosien ajan mahdollista

Politician's fingerprint 'cloned from photos' by hacker

Hacker Jan Krissler claims to have cloned the fingerprint of a German politician using standard photographs taken at an event.

www.bbc.com