• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Uwierzytelnianie 2FA - jakie?

VPS Starter Arubacloud
0 głosów
503 wizyt
pytanie zadane 23 maja 2021 w Bezpieczeństwo, hacking przez alpha.netrunner Gaduła (4,910 p.)
Czy dla zwykłego użytkownika dwuetapowe logowanie poprzez generowanie kodów w aplikacji np. Authy jest wystarczająco bezpieczne i chroni przed włamaniem na konto. Czy jednak warto zainwestować w fizyczny klucz typu YubiKey.
3
komentarz 24 maja 2021 przez Comandeer Guru (604,920 p.)

Tak naprawdę logowanie jednoetapowe może być bezpieczne. Wystarczy utworzyć limit prób błędnego logowania. 

A potem patrzeć, jak support pada pod naporem zgłoszeń wkurzonych userów, bo jakiś troll masowo zablokował im konta licznymi próbami logowania się ;) 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Skąd ktoś miał login? Raczej trudno takie informacje zdobyć. No chyba, że login to nick. Poza tym można takie przypadki łatwo filtrować. Pewnie większość i tak się zatrzyma już na firewall.
1
komentarz 25 maja 2021 przez Comandeer Guru (604,920 p.)

Skąd ktoś miał login?

Osobny login to kolejna rzecz do zapamiętania przez usera. A kolejna rzecz do zapamiętania = kolejna okazja do wycieku. Choćby przez karteczkę przy monitorze. Kurczę, pamiętam sytuację, którą opowiadała mi pewna osoba pracująca w banku. Oddział zrobił remont i nagle wpada jakiś wkurzony gość i opieprza ich od góry do dołu, jak śmieli wgl remont zrobić. Okazało się, że wyskrobał sobie PIN do karty na ścianie przy bankomacie. Jak zrobili remont, tak gość stracił PIN ¯\_(ツ)_/¯

Im więcej rzeczy zależy od usera, tym mniej system jest bezpieczny.

Jeżeli będzie dbał o bezpieczeństwo to jednoetapowe logowanie w zupełności wystarczy. 

Zatem nie wystarczy, bo wiara w to, że user faktycznie będzie dbał o bezpieczeństwo, jest mocno naiwna. 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Ale login to przeważnie email(najlepiej taki dyskretny do zakladania kont). Poza tym na SPOREJ ilość stron da się zresetować hasło właśnie znając email i co? Jakoś problemu z tym nie ma. Ktoś Ci kiedyś zresetował hasło? Mi nigdy.
1
komentarz 25 maja 2021 przez Comandeer Guru (604,920 p.)

Nie, bo dobrze zrobione wymaga potwierdzenia przez kliknięcie linka w mailu. Ergo: nie da się zresetować hasła znając sam mail. I tak, dostałem kilka maili informujących o próbie resetowania hasła w różnych portalach.

A maile wyciekają wraz z wyciekami z różnych stron. Więc tym bardziej nie są bezpiecznymi loginami.

1 odpowiedź

+2 głosów
odpowiedź 24 maja 2021 przez dawid_cisco Użytkownik (930 p.)
wybrane 24 maja 2021 przez alpha.netrunner
 
Najlepsza
Cześć

Wszystko zależy od tego jak bardzo zależy Ci na twoim bezpieczeństwie.

Klub U2F typu uchroni Cię przed phishingiem w przeciwieństwie do kodów 2FA.

Niestety klucz U2F swoje kosztuje w przeciwieństwie do 2FA.

Ja osobiście korzystam klucza U2F do poczty, menadżera haseł, podpisywanie wiadomości email.

Podobne pytania

0 głosów
0 odpowiedzi 231 wizyt
pytanie zadane 17 marca 2019 w Java przez kvbq Obywatel (1,490 p.)
+1 głos
1 odpowiedź 300 wizyt
+1 głos
2 odpowiedzi 526 wizyt

93,014 zapytań

141,978 odpowiedzi

321,271 komentarzy

62,357 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...