Eiköhän periaatteet ole edelleen samat, joten tuolla varmaan pääsee alkuun...
Jos kyseessä Premium -> siinä olis mahollisuus myös FIDO2, jolle vahva suositus. Esim Yubikey Usb turva-avain, jota käyttäisi apin sijaan ja on turvallisempi. Toki hyvä olla toinen avain backuppina esim jos joutuupi hukkaan tms.
MS Authenticatorista löytyy nykyään asetuksista varmuuskopiointimahdollisuus (Asetukset - Varmuuskopio - Pilvipalveluvarmuuskopio). Joskus vuonna miekka ja kilpi kun ainakin tietyissa kilpailevissa tuotteissa (Googlen autentikaattori tietenkin poislukien...) varmuuskopiointi pilveen oli arkipäivää niin MS Authenticatorissa varmuuskopiointimahdollisuutta ei tietenkään ollut. Pikkuputiikeilla ei tuolloin ollut aikaa koodailla turhanpäiväisyyksiä tuotteisiinsa.
Tuo MS Authenticatorin pilvivarmistuskuvio voi tuottaa siinä mielessä hankalan muna-kana-ongelman, että ainakin minulla on se Microsoft-tili sen saman Authenticatorin itsensä takana. En ole koskaan tuota kokeillut, mutta olisi aika huolestuttavaa, jos varmistuksen palautus onnistuisi uuteen laitteeseen ilman vahvaa tunnistusta. Eli jos Authenticatorin sisältävä laite hajoaa, niin eipä taida ihan helpolla päästä sitä backuppia hyödyntämään, kun ei pääse kirjautumaan sinne tilille, jossa se backup on.
Vaihtoehtoisesti voi käyttää ilmaista Authyä vähintään kahdessa eri laitteessa ja riski menettää MFA:n pienenee merkittävästi.
Applen laitteilla ei enää onneksi iOS 16 jälkeen ole mahdollista.
9to5mac.com
authy.com
Itsellä neljässä laitteessa Authy. Pari maccia, iPhone ja iPad. Ajan noissa maceissä (apple silicon) myös mobiiliversio Authya, koska saa sormenjäljellä avattua ja Mac desktop Authy versio on intel roska ja vaatii Rosetta kikkareen. Ei ole enää Rosettaa mun maceissä.Seitsemässä laitteessa on itselläni tällä hetkellä.
Luot itsellesi ei-admin tunnuksen ja käytät sitä päivittäisessä käytössä. Admin sitten lähinnä säätöihin ja muuhun. Olettaen siis että sulla on vapaita lisenssislotteja jäljellä. Jos ei ole, kannattaa kysästä katsoisiko heidän support asiaa sormien läpi ja sallisi sulle +1 slotin.
Tuo on toki vaihtoehto, mutta ei toisaalta viitsi tehdä päivittäistä käyttöäkään tarpeettoman monimutkaiseksi. Haen siis vähän samaa mallia kuin miten Bitwarden toimii mm. silloin kun joku tunnus siirtyy roskakoriin. Se tunnus löytyy sieltä edelleen 30 päivää, mutta sitä ei tarjota kirjautumisiin. Ei taida onnistua nykyisellään ilman juuri tuollaista erillisen tunnuksen kanssa kikkailemista. Pitää varmaan laittaa siitä kehitysehdotusta edelleen.
Epänormaalia liikennettä kolmannen osapuolen pilvitallennustilassa havaittau
.lastpass.com / google 30.11.2022 sanoi:
lastpass15.8.2022 sanoi:
"Päästään eroon salasanoista" on aika leveällä pensselillä maalattu kuva, kun ei ominaisuus toimi kuin yhdessä selaimessa ja jokaisen sovelluksen/palvelun pitää lisäksi erikseen tukea sitä.Laitetaan tähänkin lankaan linkkivinkki, kun liittyy hyvin läheisesti autentikointtii ja salasanoihin. Päästään vihdoinkin kaikkien rakastamista ja vihaamista salasanoista eroon.
Chromeen tuli juuri passkeys autentikointi, palveluihin voi jatkossa rekisteröityä ja kirjautua vaan klikkaamalla, että jees kirjaudu, tai vaikka sormenjäljellä tai PIN koodilla, kasvoilla tms.
Introducing passkeys in Chrome
We announced in October that passkey support was available in Chrome Canary. Today, we are pleased to announce that passkey support is now ...blog.chromium.org
Tästä aiheesta onkin jo pyörinyt kolmisen vuotta lanka, mutta nyt se tulee jälleen entistä ajankohtaisemmaksi:
FIDO2, WebAuthn, Passwordless ja Passkeys
Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...bbs.io-tech.fi
Over and out tässä langassa. Kunhan esittelin hieman modernimman ja huomatavasti turvallisemman vaihtoehdon salasanoille.
Ei saisi joo, mutta arvaapas vaan kuinka montaa tavan käyttäjää kiinnostaa alkaa virittämään jotain autentikaattoria moneen laitteeseen. Monilla ei edes ole kuin se yksi laite.
Jos nyt ensiksi päästäisiin saman salasanan käyttämisestä joka paikassa, saatika että rivikäyttäjä miettisi ”jotain numerokoodeja”.
En muista mitä kautta sen sai päälle, mutta nykyään jos kirjaudun esim. Gmailiin, tulee pelkästään luuriin pyyntö hyväksyä kirjautuminen ja siinä kaikki. Eli kyllä se siellä on, mutta kuten sanoin, tämä paletti jokaisella toimijalla enemmän tai vähemmän rikki/sekaisin.
Jes, mutta tuo ei ole Passwordless(tm) vaan Googlen oma palvelu (Google prompts), jossa varmistetaan sisäänkirjatunella laitteella pääsy.
Se on semantiikkaa. Salasanaton kirjautuminen on "passwordless" ilman sitä trademark-merkkiä perässä.
Näin se tarkemmin ajateltuna taitaa mennä. Siitä on niin pitkä aika kun tuon otin käyttöön, niin en enää muista itsekään että miten se meni.
www.theverge.com
Onko salaus sellainen että käyttäjän salasanalla aukeaa ?
Ok, eli ajattelin että jos voimalla yrittää niin pelkällä salasanalla menee ? tai jos ei mene, niin pahiksilla tiedossa loput ? millä helpottaa. Aiemmin toki uutisoitu että muutakin vuotanut.
Jos on tiedossa että on käyttäjiä joilla salasana palveluun on ollut heille helppo ja tuttu muutenkin, niin yllättyisin jos ei olisi käyttäjiä joiden salasanat / käyttäjä / maili parit löytyy vanhoista vuodoista. Paitso jos LastPass on jotekin parsinut moiset ja pakottanut käyttäjät vaihtamaan salasanaa.
On ollut helppo käyttäänottaa, edullinen, vaihtaminen on aina työlästä, toki palvelu on vaihtoa vauhdittanut palvelu/hinnoittelu muutoksilla, ja aina on vakuuteltu että holvi on turvassa.
Noihin Top-listoihin suhtautuisin samalla tavalla kuin lööppilehtien juttuihinkin.
2fa myöten kaikki murrettu, en kyllä koskis enää pitkällä tikullakaan kyseiseen palveluun, saati uskoisi mitään mitä selittävät jatkossa.
Mielestäni varattomuus ei ole mikään uskottava perustelu näissä asioissa. Avoin lähdekoodi on jossain määrin ymmärrettävä, koska koodi on kaikkien nähtävillä muutenkin, vaikka se ei tietenkään ole mikään tae etteikö seasta vosi löytyä haavoittuvuuksia ja muita tuetoturvapoikkemia. Halutessaan voittoa tavoittelemattomat projektit voivat aina hankkia, tai kerätä rahoitusta koko asiaan.
infosec.exchange
