Tässä kai tullaan siihen, että iotekin foorumitunnarien arvo on erittäin suhteellista.
Ihmiset, käyttäkää AUTHYä. Sen voi asentaa usealle laitteelle, ja yhden master passwordin takana siellä nuo tokenit pilvessä, vastaavasti kuin salasanojen hallintohjelmissa on salasanat. Authyn saa asenneltua myös tietokoneelle, hemmetin kätevää kun ei tartte erikseen kaivella puhelinta mistään, vaan voi ihan klikkaamalla kopsia koodin ja mennä pasteilemaan.
Älkää kuitenkaan tehkö näin, muuten vesittyy koko 2FA/MFA-pointti, kun kaikki munat ovat lähes samassa korissa. Itse pitäisin 2FA/MFA-työkalun fyysisesti erillään tietokoneesta, ellei kyse ole esim Yubicosta tai muusta vastaavasta fyysisestä avaimesta.
Miten se vesittyy?
Vesittymisellä tarkoitin jos tietokonetta käytetään kirjautumiseen, siihen on konfiguroitu mm. salasanojen hallintatyökalu ja samaan laitteeseen on asennettu (mielestäni täysin tarpeeton muutenkin) Authy-sovellus. Pääsy tietokoneelle voi ainakin teoriassa tarkoittaa pääsya kaikkiin ylläoleviin. Jos MFA on pelkästään esim puhelimessa tai Yubico-avaimen muodossa siihen pääseminen käsiksi vaatii huomattavasti järeämpää yritystä kuin pelkästään työpöytäkäyttöjärjestelmään. Oma vinkkini on siis ettei noin kannata tehdä, mutta kukin tekee miten parhaaksi näkee.Miten se vesittyy?
Jos esimerkiksi lisäät puhelimeesi sähköpostitiliä, jossa on MFA, tähän menet sitten kaivelemaan koodin tietokoneelta, koska "Vesittyy MFA pointti jos siinä samassa puhelimessa pyörii autentikaattori"
"Ainakin teoriassa" pätee ihan kaikkeen, mutta jos se teoreettinen mahdollisuus on täysin minimi, ei sitä voi laskea syyksi.
Tuon vuoksi ei kannata käyttää sellaista 2FA-sovellusta josta ei saa varakopioa talteen mieluiten muussa kuin poropietarimuodossa.
Neuvoissa on kuitenkin hyvä muistaa ettei kaikilla lukijoilla ole vältätmättä yhtä hyvä tietämys asioista kuten esim. sinulla. Monilla käyttäjillä saattaa olla sessiot auki jokaiseen järjestelmään, ohjelmat taustalla avattuina yms yms. Siksi suosittelen pitämään asiat erillään. Osaava käyttäjä varmasti pärjää huomattavasti "vaarallisemmalla" ratkaisulla.
Joo kyllä. Mutta yhtälailla se peruskäyttäjä, jolla ei tuota tietämystä ole, ei myöskään sinne puhelimeensa sitä autentikaattoria laita. Koska "kyllä minulla on tarpeeksi vahva salasana". Ja jos lähtökohta on tämä, se samassa korissa oleva autentikaattori on aivan HELVETISTI parempi ratkaisu kuin ei autentikaattoria ollenkaan. Ihan jo siitäkin syystä, että se on niin helvetisti kätevämpi käyttää samalta koneelta --> jopa se peruskäyttäjä saattaisi suostua sellaisen ottamaan käyttöön.
Onneksi kaikki he jotka käyttävät Microsoftin palveluita joutuvat ajan myötä tekemään näin jo pelkästään töiden (ja koulun?) vuoksi. Totta kai 2FA missä tahansa on tyhjää parempi. Kukaan ei ole väittänyt etteikö se ole. Itse vain veisin asian askeleen pidempään tehokkaamman tietoturvan saamiseksi. Yubicot ja vastaavat olisivat aika ideaaliratkaisuja oikein toteutettuna, mutta katsotaan päästäänkö sellaiseen tilanteeseen ikinä.
Spoilaan vähäsen: ei päästä.
Joku vastuu pitää olla myös käyttäjällä. Jos käyttäjä ei tiedä mitä sähköpostiosoitetta on käyttänyt missäkin palvelussa tai ei osaa ennakoida koulun/työn sähköpostin vaihtamista, katsoisin myös peiliin. Peräänkuulutan myös vahvistusviestiä sähköpostiosoitteen vaihtoon kuten niin monessa muussakin palvelussa on.
Ehkä viimeistään silloin jos/kun passkeys, tai vastaava muuttuu pakolliseksi yleisimmissä palveluissa ja järjestelmissä. Tilanne on tällä hetkellä ärsyttävän sekava, enkä yhtään vähättele loppukäyttäjien turhautumista näihin termeihin, appeihin, työkaluihin ja kaikkeen muuhun joka tekee tilanteesta sekavan. Toivotaan että lähitulevaisuudessa vihdoinkin päästäisiin salasanoista eroon, poislukien ne kivikautiset teollisuusjärjestelmät yms.
Voihan sitä koittaa optimoida sitä viimeistä promillea ongelmasta kun se ensimmäinen 99% on ensin ratkaisematta.
Just näin. Se on enää sitä hienosäätöä missä ne on tallessa. Pääasia kuitenkin tuo, että kun ne on jossain tallessa, ne voivat olla monimutkaisiakin kun ei tarvitse itse muistaa niitä.
Mikään näistä keinoista ei toimi "koska käyttäjällä voi olla joku vanha email, joka ei oo käytössä". Joka mielestäni on täysin käyttäjän omaa uunoutta. Edes salasanan palautus ei toimi tolla verukkeella.
No toi nyt on tuotu esiin syynä aiemmin. esim. sekin on "mahdotonta", että pitäis vanhalla sähköpostilla kuitata sähköpostin tai salasanan vaihtaminen. Luultavasti sähköpostin vaihtaminen yleensäki on aika marginaali tapaus.
Mut sille sivusto ei voi oikee mitää tehdä. Jo pelkästään poistamalla automaattisen sähköpostin vaihtamisen, olisi monta tiliä "pelastettu" unohditko salasanan -toiminnolla. Pl. lukien tietty ne, jotka ei oo tietoisia mistään, ku sähköposti-osoite ei ole käytössä. Totta näitä sadasta pari löytyy.
Nii ilmoitukset tulee siihen sähköpostiin, joka ei ole käytössä? Salasanan vaihtaa takas sillä sähköpostilla, joka ei oo käytössä? Toi nyt on selkeesti sellaista, joka ei varmaan foorumisoftalta taitu ja muutenki monimutkaisempaa eikä edes toimi, kuin tuurilla (jos sattuu muuten vain kirjautuun sisään, jossa asiasta voi ilmoittaa) ja sittenkää asialle ei voi tehdä mitään, kun ei ole pääsyä siihen sähköpostiin. Milläs sut tunnistetaan oikeaksi käyttäjäksi ku "häkkerillä" on samat tiedot tilistäsi kuin sulla itselläsi etkä voi reagoida vanhalla emaililla mitenkään, vahvistaaksesi olevasi alkuperäinen tunnarin omistaja.
Käytät sitä itse syynä tuohon omaan ajatuksees, joka ei myöskään toimi samasta syystä? On vaan monimutkaisempi.
Edelleen tuskin taipuu foorumisofta tohon, mut:
Totta mutta sen verta korjaan että hotmail osotteita voi edelleen käyttää. Itsellänikin 1997 vuodesta asti ollut hotmail osoite edelleen toiminnassa.
Itse vastikkään laitoin kaikki hotmail-osoitteet meneen suoraan poistoon, ku totesin viiden vuoden aikana tulleen vain kolmelta eri henkilöltä yksittäiset viestit noista. Sen sijaan roskapostiin tuppas 10 viestiä päivässä..
Joo minulla edelleen päivittäisessä aktiivisessa käytössä mutta tämä on kyllä jo täysn off topic joten parempi olla täällä keskustelematta aiheesta enempiä.
