• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Uwierzytelnianie 2FA - jakie?

Aruba Cloud - Virtual Private Server VPS
0 głosów
698 wizyt
pytanie zadane 23 maja 2021 w Bezpieczeństwo, hacking przez alpha.netrunner Mądrala (5,030 p.)
Czy dla zwykłego użytkownika dwuetapowe logowanie poprzez generowanie kodów w aplikacji np. Authy jest wystarczająco bezpieczne i chroni przed włamaniem na konto. Czy jednak warto zainwestować w fizyczny klucz typu YubiKey.
3
komentarz 24 maja 2021 przez Comandeer Guru (606,550 p.)

Tak naprawdę logowanie jednoetapowe może być bezpieczne. Wystarczy utworzyć limit prób błędnego logowania. 

A potem patrzeć, jak support pada pod naporem zgłoszeń wkurzonych userów, bo jakiś troll masowo zablokował im konta licznymi próbami logowania się ;) 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Skąd ktoś miał login? Raczej trudno takie informacje zdobyć. No chyba, że login to nick. Poza tym można takie przypadki łatwo filtrować. Pewnie większość i tak się zatrzyma już na firewall.
1
komentarz 25 maja 2021 przez Comandeer Guru (606,550 p.)

Skąd ktoś miał login?

Osobny login to kolejna rzecz do zapamiętania przez usera. A kolejna rzecz do zapamiętania = kolejna okazja do wycieku. Choćby przez karteczkę przy monitorze. Kurczę, pamiętam sytuację, którą opowiadała mi pewna osoba pracująca w banku. Oddział zrobił remont i nagle wpada jakiś wkurzony gość i opieprza ich od góry do dołu, jak śmieli wgl remont zrobić. Okazało się, że wyskrobał sobie PIN do karty na ścianie przy bankomacie. Jak zrobili remont, tak gość stracił PIN ¯\_(ツ)_/¯

Im więcej rzeczy zależy od usera, tym mniej system jest bezpieczny.

Jeżeli będzie dbał o bezpieczeństwo to jednoetapowe logowanie w zupełności wystarczy. 

Zatem nie wystarczy, bo wiara w to, że user faktycznie będzie dbał o bezpieczeństwo, jest mocno naiwna. 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Ale login to przeważnie email(najlepiej taki dyskretny do zakladania kont). Poza tym na SPOREJ ilość stron da się zresetować hasło właśnie znając email i co? Jakoś problemu z tym nie ma. Ktoś Ci kiedyś zresetował hasło? Mi nigdy.
1
komentarz 25 maja 2021 przez Comandeer Guru (606,550 p.)

Nie, bo dobrze zrobione wymaga potwierdzenia przez kliknięcie linka w mailu. Ergo: nie da się zresetować hasła znając sam mail. I tak, dostałem kilka maili informujących o próbie resetowania hasła w różnych portalach.

A maile wyciekają wraz z wyciekami z różnych stron. Więc tym bardziej nie są bezpiecznymi loginami.

1 odpowiedź

+2 głosów
odpowiedź 24 maja 2021 przez dawid_cisco Użytkownik (930 p.)
wybrane 24 maja 2021 przez alpha.netrunner
 
Najlepsza
Cześć

Wszystko zależy od tego jak bardzo zależy Ci na twoim bezpieczeństwie.

Klub U2F typu uchroni Cię przed phishingiem w przeciwieństwie do kodów 2FA.

Niestety klucz U2F swoje kosztuje w przeciwieństwie do 2FA.

Ja osobiście korzystam klucza U2F do poczty, menadżera haseł, podpisywanie wiadomości email.

Podobne pytania

0 głosów
0 odpowiedzi 331 wizyt
pytanie zadane 17 marca 2019 w Java przez kvbq Obywatel (1,490 p.)
+1 głos
1 odpowiedź 351 wizyt
+1 głos
2 odpowiedzi 621 wizyt

93,327 zapytań

142,323 odpowiedzi

322,396 komentarzy

62,657 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...