• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Uwierzytelnianie 2FA - jakie?

VPS Starter Arubacloud
0 głosów
371 wizyt
pytanie zadane 23 maja 2021 w Bezpieczeństwo, hacking przez alpha.netrunner Gaduła (4,690 p.)
Czy dla zwykłego użytkownika dwuetapowe logowanie poprzez generowanie kodów w aplikacji np. Authy jest wystarczająco bezpieczne i chroni przed włamaniem na konto. Czy jednak warto zainwestować w fizyczny klucz typu YubiKey.
3
komentarz 24 maja 2021 przez Comandeer Guru (599,730 p.)

Tak naprawdę logowanie jednoetapowe może być bezpieczne. Wystarczy utworzyć limit prób błędnego logowania. 

A potem patrzeć, jak support pada pod naporem zgłoszeń wkurzonych userów, bo jakiś troll masowo zablokował im konta licznymi próbami logowania się ;) 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Skąd ktoś miał login? Raczej trudno takie informacje zdobyć. No chyba, że login to nick. Poza tym można takie przypadki łatwo filtrować. Pewnie większość i tak się zatrzyma już na firewall.
1
komentarz 25 maja 2021 przez Comandeer Guru (599,730 p.)

Skąd ktoś miał login?

Osobny login to kolejna rzecz do zapamiętania przez usera. A kolejna rzecz do zapamiętania = kolejna okazja do wycieku. Choćby przez karteczkę przy monitorze. Kurczę, pamiętam sytuację, którą opowiadała mi pewna osoba pracująca w banku. Oddział zrobił remont i nagle wpada jakiś wkurzony gość i opieprza ich od góry do dołu, jak śmieli wgl remont zrobić. Okazało się, że wyskrobał sobie PIN do karty na ścianie przy bankomacie. Jak zrobili remont, tak gość stracił PIN ¯\_(ツ)_/¯

Im więcej rzeczy zależy od usera, tym mniej system jest bezpieczny.

Jeżeli będzie dbał o bezpieczeństwo to jednoetapowe logowanie w zupełności wystarczy. 

Zatem nie wystarczy, bo wiara w to, że user faktycznie będzie dbał o bezpieczeństwo, jest mocno naiwna. 

1
komentarz 25 maja 2021 przez JakSky Stary wyjadacz (14,770 p.)
Ale login to przeważnie email(najlepiej taki dyskretny do zakladania kont). Poza tym na SPOREJ ilość stron da się zresetować hasło właśnie znając email i co? Jakoś problemu z tym nie ma. Ktoś Ci kiedyś zresetował hasło? Mi nigdy.
1
komentarz 25 maja 2021 przez Comandeer Guru (599,730 p.)

Nie, bo dobrze zrobione wymaga potwierdzenia przez kliknięcie linka w mailu. Ergo: nie da się zresetować hasła znając sam mail. I tak, dostałem kilka maili informujących o próbie resetowania hasła w różnych portalach.

A maile wyciekają wraz z wyciekami z różnych stron. Więc tym bardziej nie są bezpiecznymi loginami.

1 odpowiedź

+2 głosów
odpowiedź 24 maja 2021 przez dawid_cisco Użytkownik (930 p.)
wybrane 24 maja 2021 przez alpha.netrunner
 
Najlepsza
Cześć

Wszystko zależy od tego jak bardzo zależy Ci na twoim bezpieczeństwie.

Klub U2F typu uchroni Cię przed phishingiem w przeciwieństwie do kodów 2FA.

Niestety klucz U2F swoje kosztuje w przeciwieństwie do 2FA.

Ja osobiście korzystam klucza U2F do poczty, menadżera haseł, podpisywanie wiadomości email.

Podobne pytania

0 głosów
0 odpowiedzi 171 wizyt
pytanie zadane 17 marca 2019 w Java przez kvbq Obywatel (1,490 p.)
+1 głos
1 odpowiedź 245 wizyt
+1 głos
2 odpowiedzi 406 wizyt

92,453 zapytań

141,262 odpowiedzi

319,088 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...