Ránéztem az authy.com-ra, és nekem ez nem világos, mire is lenne jó. Próbálják magyarázni az egységsugarúnak, és van fenn egy kis videó, amiben arról értekeznek, hogy micsoda nagy veszély, ha online accountokhoz illetéktelenek hozzáférnek, de ettől a videótól sajnos nem világosodtam meg.
Szerintem egy banki account eleve kétfaktoros (vagy ha nem, sürgősen keress másik bankot). A social media oldalakat nem ismerem, de a Google tudtommal szintén tud kétfaktoros azonosítást.
Ha jól értem az itt leírt kommenteket, a PC lokális fiókjára is alkalmazható ez a 2FA technológia. Ennek azonban nyilvánvalóan feltétele, hogy az adott gép online legyen. Na de mi van, ha a laptopot olyan helyen akarom használni, ahol nincs internet kapcsolat? Erre asszongya, hogy:
"Twilio Authy generates secure tokens offline from the safety of your Linux device, this way you can authenticate securely even when in airplane mode."
Ez mennyire biztonságos, hogy offline tokent használsz? Nekem mintha rémlene, hogy az offline tokent is el lehet lopni, és vissza lehet élni vele. Arról nem is beszélve, hogy ugyan a gép fizikai hozzáférését ezzel meggátolhatom, tehát ha például tanár vagyok a suliban, nem piszkálhatják a diákok, de ettől még kaphatok féregvírust, ami szépen elküldi a vizsgakérdéseket :-(
Vessetek a mókusok elé, de nekem ez tényleg csak a gyerekek géptől távol tartására alkalmas megoldásnak tűnik. Bár nem vitatom, hogy sok esetben ezzel a fő veszélyforrást máris sikerül kiiktatni :-)
Az offline 2FA TOTP megvalósítása tulajdonképpen annyi, hogy "tovább tudja számolni" az időalapú egyszeri jelszódat (TOTP) egy darabig, amíg az óra-eltérés túl nagy nem lesz.
Az authy nem a pc-be való belépésre való, hanem arra, hogy ezt a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell.
PC belépésre értelmes 2FA mondjuk egy ujjlenyomat-olvasó tud lenni.
"...a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell."
Ezt végképp nem értem. Ha egy weboldalra 2FA kódot (vagy hívd TOTF jelszónak, ahogy akarod) kell beadni, akkor vagy SMS-ben kapsz a telódra kódot, vagy mint pl. a Google Duo-nál, nem beírós kódot kapsz, hanem a Duo felületén kell lekattintanod egy zöld gombot. Ehhez képest ez az authy hol jön a képbe?
A TOTP nagy vonalakban úgy működik, hogy a szerver generál egy random "számot" (ez a shared secret) amit valahogy eljuttat a kliensre, "biztonságos" módon. Ezt általában úgy oldják meg, hogy mutatnak egy QR kódot, amit be kell fotózni egy megfelelő mobil alkalmazásba.
Ezután mind a kliens (a mobil alkalmazás segítségével), mind a szerver tud generálni egy kódot a shared secret-ből, mely egy időtartományon belül ugyanaz lesz. Tehát amikor authentikálni akarsz, akkor a kliensen generáltatsz egy kódot (X számjegy, legyen mondjuk 6) és ezt beküldöd a szerver oldalra. A szerver tudja, hogy az adott fiókhoz mi a hozzátartozó shared secret, és ő ebből generál egy számsort. A beküldött számsort összehasonlítja az általa generálttal, és ha megegyeznek, akkor beenged.
Most ugye vicceltek. Asztali gépre minek kétfaktoros akármi? Ilyenről még nem is hallottam. Még laptopon sincs sok értelme szerintem, pedig azt elemelhetik akárhol.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Szerintem a kérdező, nem a gépet akarja hitelesíteni, hanem a _gépre_ akar olyan programot telepíteni ami a kétfaktoros azonosításhoz szükséges kódokat generálja.
Amúgy +1 Authy-ra, én is ezt használom telefonon, laptopon, mindenhol.
Mert olyat meg sosem lattott, hogy open-space office, esetleg coworking space, ahova mondjuk berakod az asztali gepet, mert a laptop nem visz el 2 GPU-t egyszerre, es ejszaka futtatod rajta a tobb oras workloadot.
Azért lehet értelme, hogy nehezebben tudjon egy támadó hozzáférni a géppel a védett hálózati dolgokhoz, pl.
Dolgoztam bankban, ahol smartcard-ot adtak, a laptopomban van beépített SC olvasó, desktop gépekhez pedig külső SC olvasó volt csatlakoztatva.
Belépéshez Windows alatt ki lehetett választani, hogy jelszó helyett SC-vel authentikál az ember, és az SC jelszavát kellett megadni. Szóval a két faktor a kártya birtoklása és a jelszó ismerete volt.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Úgy emlékszem az okostelefonokból élsz valami szerviz kapcsán.. lehetnél egy kicsit hálásabb hogy a tapicskoló tamások révén kenyér van az asztalodon :)
Miért kell magyarosított és/vagy idegen szavakat használni, amikor tökéletes anyanyelvi megfelelője is van? Ettől nem lesz senki okosabb, bár sajnos van aki azt képzeli...
Bocsánat, nem akaratlagos volt. Ettől még válaszolhatnál, hogy a hozzászólásod miért lenne releváns? Mert kritizálni a kérdést vagy a kérdezőt nem teszi a kérdést semmissé. (megjegyzem egy idegen szó sem volt a kérdésben)
Az első faktor a pin, amit a bitlocker állít be, a második a windows jelszó.
When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.
Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”).
Hát rosszul érted. A listád ellenére ez két jelszó, nem is jelent sokkal többet mintha egymás után írnád a két jelszót.
A két faktor akkor tekinthető függetlennek, ha a faktorok megszerzéséhez kell valami extra tudás. PL ha TPM chipben lenne a titok és a pin idő függvényében változna amit a telefonodon lévő adatpárral ellenőriznél (ami a telefon titok tárában van és bármivel feloldva jeleníti meg az aktuális értéket)
Jelen esetben a gép feletti irányítás átvétele a felhasználó személyében, illetve a rajta tárolt adat megszerzéséhez elégséges maga az eszköz és a tulajdonos tudás. Ezt elegendő megszerezni egy diszkrét időpontban és már nyitva is az elérés. Nem is beszélve arról, hogy bekapcsolt állapotban már nincs is BIOS jelszó a képben (egyébként ezért jelent minimálisan nagyobb védelmet ahogy az első mondatomban leírtam, mivel megadása nem minden alkalommal kötelező)
Köszi, ezért volt nekem ez furcsa... eredetileg azt gondoltam, hogy két különböző típusú második faktor kellene, de aztán a cikk teljesen félrevezetett.
így van, a kétfaktoros hitelesítés egyik "alesete" vagy "megvalósítása" a TOTP. Nyilván nem a gépre akar bejutni hanem a gépről valahova máshova (és nem a telefonról akarja lelesni és begépelni).
Bocs, kifejtenéd ha egy harmadik elemet védünk és a számítógép a 2nd faktor akkor milyen szerepe van a BIOS jelszónak a képben. (erre történt a válasz, olvasd el)
Tök jó nézni ahogy elbeszéltek itt egymás mellett. Bizonyos feltételek mellett bőven van értelme asztali gépen vagy laptopon 2FA -zni (nyilván legyen jelszó, ujjlenyomat, disk encryption, ami kell - ha viszik, úgysem tudják használni).
A 2Fa pedig azt jelenti hogy külső szolgáltatásokhoz generál OTP kódokat. Én is bánom hogy a mobilomra meg a tabletemre raktam vagy 15 2fa -t, és állandóan keresgélem a mobilt a kezemmel. Semmilyen értelemben nem látok abban kockázatot, hogy ez ne a mobilon, hanem a gépemen fusson. Hacsak nem törik meg a gépet és irányitják távolról. Akkor esetleg.
Szerintem a separate device 2fa egy fokkal biztonságosabb, hiszen "a másik eszköz is meg kell legyen".
Nyilván ugyanezért törékenyebb és kényelmetlenebb is.
Ezt hogy csinálod meg? Én a telefonon Google Authenticator-t használok a legtöbb ilyen dologhoz, és nem tudok pl. két külön telefonon ugyanahhoz az alkalmazáshoz érvényes kódot generálni, pedig ugyanaz a generátor mindkét helyen. Átvinni nem tudja (vagy nem akarja) a szükséges tudást egyikről a másikra.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
úgy csinálod meg, hogy az eredeti secret-et az authy nem csak a saját gépeden tárolja hanem központilag is - ezzel nyilván tovább gyengítve a TOTP secure-ságát.
Hozzászólások
authy
Köszönöm! Tökéletes.
Ránéztem az authy.com-ra, és nekem ez nem világos, mire is lenne jó. Próbálják magyarázni az egységsugarúnak, és van fenn egy kis videó, amiben arról értekeznek, hogy micsoda nagy veszély, ha online accountokhoz illetéktelenek hozzáférnek, de ettől a videótól sajnos nem világosodtam meg.
Szerintem egy banki account eleve kétfaktoros (vagy ha nem, sürgősen keress másik bankot). A social media oldalakat nem ismerem, de a Google tudtommal szintén tud kétfaktoros azonosítást.
Ha jól értem az itt leírt kommenteket, a PC lokális fiókjára is alkalmazható ez a 2FA technológia. Ennek azonban nyilvánvalóan feltétele, hogy az adott gép online legyen. Na de mi van, ha a laptopot olyan helyen akarom használni, ahol nincs internet kapcsolat? Erre asszongya, hogy:
"Twilio Authy generates secure tokens offline from the safety of your Linux device, this way you can authenticate securely even when in airplane mode."
Ez mennyire biztonságos, hogy offline tokent használsz? Nekem mintha rémlene, hogy az offline tokent is el lehet lopni, és vissza lehet élni vele. Arról nem is beszélve, hogy ugyan a gép fizikai hozzáférését ezzel meggátolhatom, tehát ha például tanár vagyok a suliban, nem piszkálhatják a diákok, de ettől még kaphatok féregvírust, ami szépen elküldi a vizsgakérdéseket :-(
Vessetek a mókusok elé, de nekem ez tényleg csak a gyerekek géptől távol tartására alkalmas megoldásnak tűnik. Bár nem vitatom, hogy sok esetben ezzel a fő veszélyforrást máris sikerül kiiktatni :-)
Az offline 2FA TOTP megvalósítása tulajdonképpen annyi, hogy "tovább tudja számolni" az időalapú egyszeri jelszódat (TOTP) egy darabig, amíg az óra-eltérés túl nagy nem lesz.
Az authy nem a pc-be való belépésre való, hanem arra, hogy ezt a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell.
PC belépésre értelmes 2FA mondjuk egy ujjlenyomat-olvasó tud lenni.
Gábriel Ákos
"...a TOTP jelszót relatíve kényelmesen tudd beírni oda ahova kell."
Ezt végképp nem értem. Ha egy weboldalra 2FA kódot (vagy hívd TOTF jelszónak, ahogy akarod) kell beadni, akkor vagy SMS-ben kapsz a telódra kódot, vagy mint pl. a Google Duo-nál, nem beírós kódot kapsz, hanem a Duo felületén kell lekattintanod egy zöld gombot. Ehhez képest ez az authy hol jön a képbe?
Nem kapod a kodod sms-ben, hanem az authy (vagy a Google Authenticator) general neked egyet (az aktualis idokod alapjan)
“Any book worth banning is a book worth reading.”
A TOTP nagy vonalakban úgy működik, hogy a szerver generál egy random "számot" (ez a shared secret) amit valahogy eljuttat a kliensre, "biztonságos" módon. Ezt általában úgy oldják meg, hogy mutatnak egy QR kódot, amit be kell fotózni egy megfelelő mobil alkalmazásba.
Ezután mind a kliens (a mobil alkalmazás segítségével), mind a szerver tud generálni egy kódot a shared secret-ből, mely egy időtartományon belül ugyanaz lesz. Tehát amikor authentikálni akarsz, akkor a kliensen generáltatsz egy kódot (X számjegy, legyen mondjuk 6) és ezt beküldöd a szerver oldalra. A szerver tudja, hogy az adott fiókhoz mi a hozzátartozó shared secret, és ő ebből generál egy számsort. A beküldött számsort összehasonlítja az általa generálttal, és ha megegyeznek, akkor beenged.
Most ugye vicceltek. Asztali gépre minek kétfaktoros akármi? Ilyenről még nem is hallottam. Még laptopon sincs sok értelme szerintem, pedig azt elemelhetik akárhol.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Azert mert neked nincs ra szukseged masnak meg lehet...
Szerintem a kérdező, nem a gépet akarja hitelesíteni, hanem a _gépre_ akar olyan programot telepíteni ami a kétfaktoros azonosításhoz szükséges kódokat generálja.
Amúgy +1 Authy-ra, én is ezt használom telefonon, laptopon, mindenhol.
Ja, oké, így már világos. Azért nem kéne szűkszavúan topikot nyitni.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Már miért ne? Yubikey + yubico authenticator
Mert olyat meg sosem lattott, hogy open-space office, esetleg coworking space, ahova mondjuk berakod az asztali gepet, mert a laptop nem visz el 2 GPU-t egyszerre, es ejszaka futtatod rajta a tobb oras workloadot.
Azért lehet értelme, hogy nehezebben tudjon egy támadó hozzáférni a géppel a védett hálózati dolgokhoz, pl.
Dolgoztam bankban, ahol smartcard-ot adtak, a laptopomban van beépített SC olvasó, desktop gépekhez pedig külső SC olvasó volt csatlakoztatva.
Belépéshez Windows alatt ki lehetett választani, hogy jelszó helyett SC-vel authentikál az ember, és az SC jelszavát kellett megadni. Szóval a két faktor a kártya birtoklása és a jelszó ismerete volt.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Mondjuk, mert nem minden PC-felhasználó szeretne Tapicskoló Tamás nyomdokaiba lépni.
Úgy emlékszem az okostelefonokból élsz valami szerviz kapcsán.. lehetnél egy kicsit hálásabb hogy a tapicskoló tamások révén kenyér van az asztalodon :)
Rosszul emlékszel.
Tapicskolókból pedig nem élnék, ha okostelefonszervizben dolgoznék se, mert tapicskolóék egyből rohannak új telefont venni, ha elromlik.
Kapcsold be a BIOS hitelesítést, akkor már lesz még egy faktor. Esetleg TPM... amúgy mi szükség erre?!
Elaborálnád ezt az univerzumot amiben élsz?
Miért kell magyarosított és/vagy idegen szavakat használni, amikor tökéletes anyanyelvi megfelelője is van? Ettől nem lesz senki okosabb, bár sajnos van aki azt képzeli...
Bocsánat, nem akaratlagos volt. Ettől még válaszolhatnál, hogy a hozzászólásod miért lenne releváns? Mert kritizálni a kérdést vagy a kérdezőt nem teszi a kérdést semmissé. (megjegyzem egy idegen szó sem volt a kérdésben)
Rosszul értettem a kérdést. Ezek szerint a kérdés feltevője valamilyen 2FA alkalmazást akar helyettesíteni asztali gépen, hogy ne a mobilon legyen.
Egyetértek, igazából egy bios hitelesítés, plusz valamilyen merevlemez kódolás (mint windows-on a Bitlocker) kb. mindenre is elég.
Hogy lesz abból 2nd faktor? Mi a másik faktor?
Az első faktor a pin, amit a bitlocker állít be, a második a windows jelszó.
When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.
Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”).
https://docs.microsoft.com/en-us/windows/security/information-protectio…
Ez nem változtat a tényen hogy ez egy faktor, "valami amit a felhasználó tud"
Ahogy én értem (és egy kis keresés után megerősítettek ebben), hogy az első faktor megadása után a második faktor bármelyik a három közül lehet:
- valami amit tudsz
- valami amit birtokolsz
- valami, ami vagy
Tehát ha van két password-öd, akkor is kétfaktoros authentikációról beszélünk.
https://authy.com/what-is-2fa/
Hát rosszul érted. A listád ellenére ez két jelszó, nem is jelent sokkal többet mintha egymás után írnád a két jelszót.
A két faktor akkor tekinthető függetlennek, ha a faktorok megszerzéséhez kell valami extra tudás. PL ha TPM chipben lenne a titok és a pin idő függvényében változna amit a telefonodon lévő adatpárral ellenőriznél (ami a telefon titok tárában van és bármivel feloldva jeleníti meg az aktuális értéket)
Jelen esetben a gép feletti irányítás átvétele a felhasználó személyében, illetve a rajta tárolt adat megszerzéséhez elégséges maga az eszköz és a tulajdonos tudás. Ezt elegendő megszerezni egy diszkrét időpontban és már nyitva is az elérés. Nem is beszélve arról, hogy bekapcsolt állapotban már nincs is BIOS jelszó a képben (egyébként ezért jelent minimálisan nagyobb védelmet ahogy az első mondatomban leírtam, mivel megadása nem minden alkalommal kötelező)
rosszul érted, kétféle faktorral kell azonosítsd magad.
Gábriel Ákos
Köszi, ezért volt nekem ez furcsa... eredetileg azt gondoltam, hogy két különböző típusú második faktor kellene, de aztán a cikk teljesen félrevezetett.
Lehet, hogy félreérteted. A Google Authenticator egy TOTP app, ezt egy BIOS hitelesítés nem váltja le, az egész másra való.
így van, a kétfaktoros hitelesítés egyik "alesete" vagy "megvalósítása" a TOTP. Nyilván nem a gépre akar bejutni hanem a gépről valahova máshova (és nem a telefonról akarja lelesni és begépelni).
Gábriel Ákos
Bocs, kifejtenéd ha egy harmadik elemet védünk és a számítógép a 2nd faktor akkor milyen szerepe van a BIOS jelszónak a képben. (erre történt a válasz, olvasd el)
egyetértettem a hozzászólással amit kiegészítettem, olvasd el :)
semmi köze a bios jelszónak itt semmihez
Gábriel Ákos
Chromera https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpboh…
“Any book worth banning is a book worth reading.”
KeepassXC is tud ilyet.
Tök jó nézni ahogy elbeszéltek itt egymás mellett. Bizonyos feltételek mellett bőven van értelme asztali gépen vagy laptopon 2FA -zni (nyilván legyen jelszó, ujjlenyomat, disk encryption, ami kell - ha viszik, úgysem tudják használni).
A 2Fa pedig azt jelenti hogy külső szolgáltatásokhoz generál OTP kódokat. Én is bánom hogy a mobilomra meg a tabletemre raktam vagy 15 2fa -t, és állandóan keresgélem a mobilt a kezemmel. Semmilyen értelemben nem látok abban kockázatot, hogy ez ne a mobilon, hanem a gépemen fusson. Hacsak nem törik meg a gépet és irányitják távolról. Akkor esetleg.
Szerintem a separate device 2fa egy fokkal biztonságosabb, hiszen "a másik eszköz is meg kell legyen".
Nyilván ugyanezért törékenyebb és kényelmetlenebb is.
Gábriel Ákos
Igen, ez valid érvelés.
Én azért nem tennék a laptopomra kód generátort, mert a laptopot nem viszem mindenhova magammal. A telefont se, de sokkal többször van nálam.
Ha más gépről akarok belépni, akkor a telefon nagyobb eséllyel van nálam, mint a laptopom. Ennyi.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Mind a két helyen lehet ugyanaz a generátor, ez nem vagy/vagy kérdés.
“Any book worth banning is a book worth reading.”
Így igaz. Pont ezért szerintem az authy kifejezetten gyengíti a 2FA-t.
Gábriel Ákos
Már ha a belépésre azt a pc-t használja, amelyikkel a kódot is generálja.
“Any book worth banning is a book worth reading.”
Hmm.
Ezt hogy csinálod meg? Én a telefonon Google Authenticator-t használok a legtöbb ilyen dologhoz, és nem tudok pl. két külön telefonon ugyanahhoz az alkalmazáshoz érvényes kódot generálni, pedig ugyanaz a generátor mindkét helyen. Átvinni nem tudja (vagy nem akarja) a szükséges tudást egyikről a másikra.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Az eredeti titok amit rögzítened kell a készülékbe amit a 2FA létrehozásakor kerül be a készülékbe... (google esetén a QR kódról van szó)
3 pötty a jobb felső sarokban > Transfer accounts. A korábbi készüléken nem lesz deaktiválva.
Igy van, simán átvihető máshova ezzel a módszerrel. Ha lefotózod, akkor backupolhatod is. Persze azt csak ésszel. :))
úgy csinálod meg, hogy az eredeti secret-et az authy nem csak a saját gépeden tárolja hanem központilag is - ezzel nyilván tovább gyengítve a TOTP secure-ságát.
Gábriel Ákos
https://github.com/jaden/totp-generator
DUO, 10 userig ingyenes, saját felhasználásra, PAM-ba épül be.
https://duo.com/docs/duounix
Push-t küld telefonodra