Android vs. Google 2-step auth

Android

Már egy ideje terveztem, és végre eldöntöttem, hogy bekapcsolom. Nem hinném, hogy az én identitásomat nagyon el akarnák lopni (nincsen se 1, se több betűs Twitter accountom), de a biztonság az fontos. Szeretek előre olvasgatni, hogy ne érjen meglepetés, és volt is sok szép leírás, hogy a 2-step auth bekapcsolásakor válasszam az Android lehetőséget. Na de olyan nem volt, csak SMS és voice. Na király, de egye fene, a kíváncsiság erősebb volt, legyen SMS, majd esetleg kikapcsolom, ha nem lehet róla lebeszélni később se. Utána már sikerült átváltani Androidra (Google Authenticator app telepítése). Kicsit nem értem, hogy miért nem lehetett rögtön az, és miért állította mégis ezt annyi cikk, de mindegy...

Utána beszólt az Outlook, hogy rossz a Gmail jelszó, és a hibaüzenetben ott volt, hogy neki egy app-specific password kell, vágtam is rögtön, hogy mi van, kapott egyet, működik ez is, király. Nyomtattam backup kódokat is, eltettem biztos helyre, egy fokkal jobban is érzem magam most már.

Na de ami előtt végképp értetlenül állok, az az, hogy az Android telefon is beszólt, hogy rossz a Google jelszó. Kapott ő is egy ASP-t, azóta jó, tehát nem esünk kétségbe. Na de én vagyok a hülye vagy a Google? Fel van a telefonra telepítve az accountomhoz bepárosított Google Authenticator alkalmazás, meg arra a telefonra kapom (kapnám) az SMS-eket, és mégis ASP-t kér? Pont az Android telefon nem támogatja a 2-step authot? Sőt, az Outlookkal ellentétben még a hibaüzenetben sem képes kiírni, hogy ő is ASP-t kér? Sőt, miután bekapcsoltam a 2-step authot, feljött egy figyelmeztetés a böngészőben, hogy milyen fajta alkalmazások esetén lesz szükségem ezentúl ASP-re, volt ott Blackberry, iPhone, GTalk alkalmazás, stb., de Android nem. Hogy van ez?

+1. Észrevettem, hogy amikor a telefon kéri a Google account jelszavát egy fekete képernyőn, van egy olyan opció is, hogy browser sign in. Rákattintok, bejön egy kis böngészőszerű ablak, beírom a nevet és az igazi (nem ASP) jelszót, erre jó fiú módjára kéri a 2-step auth-hoz tartozó ellenőrző kódot, mint ahogy weben teszi is, ez lenne az igazi 2-step. Átváltok a Google Authenticatorra, ott a kód, de az előző jelszavas ablakra már nem lehet visszaváltani, nincs ott az ablak listában...

  • 4351 megtekintés

( Dwokfur v | 2014. 02. 02., v – 18:51 )

Én a Google drive-val harcolok azóta.
Mindig kiveszem a pipát, hogy jegyezze meg biztonságosnak a gépet, még akkor is, ha a saját laptopom előtt ülök. Ezután a Google drive nem hajlandó belépni. Ha csinálok neki app specifikus passwd-t, akkor meg explicit kiírja, hogy neki nem jó az apps specifikus jelszó.
Az androidon megy a Google drive a 2-step auth után is.

Szerencsére csak néhány app ment a google drive-ra, és tulajdonképpen azért kell, mert mások megosztanak velem dokumentumokat. A mentést saját magamnak intézem, nem felhőben tárolom. Ezek után végül is csak sajnálkozni tudok a Drive hibaüzenetén. Majd adok neki egy virtuális zsebkendőt.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( atomheart v | 2014. 02. 02., v – 19:59 )

"feljött egy figyelmeztetés a böngészőben, hogy milyen fajta alkalmazások esetén lesz szükségem ezentúl ASP-re, volt ott Blackberry, iPhone, GTalk alkalmazás, stb., de Android nem. Hogy van ez?"

Az en telomon a gmail alkalmazasnal nem kellett semmit berhelni, mukodik tfa beallitasa utan is, viszont a Samsung e-mail takolmanyahoz mar kellett app-specific jelszot generalnom...

Szerk: nem hasznalok google authenticatort, sms-ben kapom a tokent.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

( battila | 2014. 02. 02., v – 19:36 )

Anroid verziotol fugg. Szerencsed van, hogy android 4-esed van. Mert alatta nem tamogatta a 2-steps-et.

Alapvetoleg a tokent nem eszkozhoz kapcsolod, hanem alkalmazashoz. Tehat hiaba van azon a telefonon a GA minden egyes alkalmazasnak kell egy token. Ezeket a tokeneket tudod a g oldalan torolgetni is, ha veletlenul kompromitalodik egy eszkozod.

Ha telefont valtasz, akkor szinten a g oldalan tudod ezt megcsinalni. Mert az keves, ha feltelepited az uj eszkozre, attol meg nem az lesz az ervenyes authentikatorod.

Szerintem eleg jol megcsinaltak, es elegge logikus is.

szerk: ha bekapcsolod az 2 steps auth-ot, akkor nalam az alkalmazasok bejelentik, hogy weben is lepj be, es ott mar keri a tokent.

Én az ASP-re úgy tekintek, hogy a 2FA mellékterméke. Normál esetben az appoknak alapból támogatniuk kellene a 2FA-t, mint weben: bekéri a jelszót, aztán egy ellenőrző kódot is. Ha egy app vagy protokoll ezt nem támogatja, akkor pótmegoldásként jön be az ASP. Erre alapozva tűnik nekem furcsának, hogy a telefonom ASP-t kér. Kérhetne rendesen 2FA verification kódot, sőt, elkérhetné a Google Authenticatortól a kódot, hogy nekem semmit se kelljen csinálni.

--

És ezt hogyan képzeled?
5 percenként megnézi mondjuk, hogy jött-e leveled, minden egyes alkalommal rákérdez a jelszóra, és az új kódra?

A két lépésesnek az az értelme, hogy van egy jelszó, amit megjegyzel, és mellé valami, ami nálad van (telefon, vagy papír, stb).
Ha valaki az általad megjegyezhető jelszót ellopja, kitalálja, akkor még mindig ott a nehézség, hogy kell a második kód.

Ennek ugye közös gépen van értelme, ha egy könyvtárból pl. belépnél, akkor ne legyen elég a jelszavad.

De a saját otthoni gépedben ha megbízol, vagy a telefonodban, ha megbízol, akkor azokat nem kell ennyire védeni - cserébe kényelmesebbek lesznek.
Az app. spec jelszó pont erre van. Még jobb is, mint ha egyszer belépnél két faktorossal aztán azt mondanád, hogy ettől többé ne kérj jelszót.

( janoszen v | 2014. 02. 03., h – 00:22 )

Hint: GA helyett valts at SMS-es OTP-re es sokkal egyszerubb lesz, mert le tudod huzni a status bart vagy mi a banatot es ott lesz a kod.