Uwierzytelnianie 2FA - jakie?

Question

Czy dla zwykłego użytkownika dwuetapowe logowanie poprzez generowanie kodów w aplikacji np. Authy jest wystarczająco bezpieczne i chroni przed włamaniem na konto. Czy jednak warto zainwestować w fizyczny klucz typu YubiKey.

Comments

Zależy pewnie od kontekstu. Czy mówimy o silosach rakietowych, czy o jakiejś grze. Warto określić tło problemu.

---

Konto Google, gra, media społecznościowe itp.

---

Zbyt szeroko, nadal. Google to nie tylko wyszukiwarka, to poczta, to możliwość płacenia, to dokumenty. to chmura i pewnie wiele innych. Jaśniej określ problem.

---

Gmail, Dysk Google (Dokumenty, Prezentacje, Arkusze kalkulacyjne), Zdjęcia Google no i płatności Google Pay. A z reszty to Epic Games, Facebook, Instagram.

---

Źle mnie zrozumiałeś. Porównujesz kompletnie inne rzeczy. Włamując się na czyjeś konto google masz większe możliwości, niż włamując się na Epic Games. Dobierasz sposób ochrony do wartości. Nie ma sensu mieć miliona zabezpieczeń do furtki od śmietnika. Za to warto zabezpieczyć w ten sposób mieszkanie.

---

Czyli ważne rzeczy typu konto Google, Microsoft = YubiKey, reszta wystarczy Authy. W ten sposób wszystkie najważniejsze, wrażliwe dane są najlepiej chronione a pozostałe mniej istotne są po prostu bezpieczniejsze.

---

Racjonalne podejście. Prawdopodobnie równie dobrze sprawdzi się częsta zmiana hasła. Po prostu przy wycieku Twoje dane będą nieaktualne po stosunkowo krótkim czasie.

---

Tak naprawdę logowanie jednoetapowe może być bezpieczne. Wystarczy utworzyć limit prób błędnego logowania. Tak naprawdę sporo zależy od użytkownika. Jeżeli będzie dbał o bezpieczeństwo to jednoetapowe logowanie w zupełności wystarczy.

---

Tak naprawdę logowanie jednoetapowe może być bezpieczne. Wystarczy utworzyć limit prób błędnego logowania. 

A potem patrzeć, jak support pada pod naporem zgłoszeń wkurzonych userów, bo jakiś troll masowo zablokował im konta licznymi próbami logowania się ;) 

---

Skąd ktoś miał login? Raczej trudno takie informacje zdobyć. No chyba, że login to nick. Poza tym można takie przypadki łatwo filtrować. Pewnie większość i tak się zatrzyma już na firewall.

---

Skąd ktoś miał login?

Osobny login to kolejna rzecz do zapamiętania przez usera. A kolejna rzecz do zapamiętania = kolejna okazja do wycieku. Choćby przez karteczkę przy monitorze. Kurczę, pamiętam sytuację, którą opowiadała mi pewna osoba pracująca w banku. Oddział zrobił remont i nagle wpada jakiś wkurzony gość i opieprza ich od góry do dołu, jak śmieli wgl remont zrobić. Okazało się, że wyskrobał sobie PIN do karty na ścianie przy bankomacie. Jak zrobili remont, tak gość stracił PIN ¯\_(ツ)_/¯

Im więcej rzeczy zależy od usera, tym mniej system jest bezpieczny.

Jeżeli będzie dbał o bezpieczeństwo to jednoetapowe logowanie w zupełności wystarczy. 

Zatem nie wystarczy, bo wiara w to, że user faktycznie będzie dbał o bezpieczeństwo, jest mocno naiwna. 

---

Ale login to przeważnie email(najlepiej taki dyskretny do zakladania kont). Poza tym na SPOREJ ilość stron da się zresetować hasło właśnie znając email i co? Jakoś problemu z tym nie ma. Ktoś Ci kiedyś zresetował hasło? Mi nigdy.

---

Nie, bo dobrze zrobione wymaga potwierdzenia przez kliknięcie linka w mailu. Ergo: nie da się zresetować hasła znając sam mail. I tak, dostałem kilka maili informujących o próbie resetowania hasła w różnych portalach.

A maile wyciekają wraz z wyciekami z różnych stron. Więc tym bardziej nie są bezpiecznymi loginami.

Answer 1

Cześć

Wszystko zależy od tego jak bardzo zależy Ci na twoim bezpieczeństwie.

Klub U2F typu uchroni Cię przed phishingiem w przeciwieństwie do kodów 2FA.

Niestety klucz U2F swoje kosztuje w przeciwieństwie do 2FA.

Ja osobiście korzystam klucza U2F do poczty, menadżera haseł, podpisywanie wiadomości email.