Legfontosabb online fiókjaimat (Google, O365, bank, kriptotőzsde stb.) ... védem.

Titkosítás, biztonság, privát szféra

A Google állítja, hogy a 2 lépéses ellenőrzés (Two-Step Verification -2SV) bevezetésével felére esett a sikeres fiókfeltörések száma:

In 2021, we auto-enrolled over 150 million people in two-step verification (2SV). As a result of this effort, we have seen a 50% decrease in accounts being compromised.

Ha többfajta ellenőrzést is engedélyeztél (pl. be tudsz lépni Jelszó + SMS és jelszó + Autenticator App használatával IS), akkor válaszd az erősebbet: SMS -> Auth. app. -> Security Key

2 lépéses|faktoros ellenőrzést (2SV, 2FA) használok - Security key, egyéb hardver
9% (72 szavazat)
2 lépéses|faktoros ellenőrzést (2SV, 2FA) használok - Authenticator App
52% (421 szavazat)
2 lépéses|faktoros ellenőrzést (2SV, 2FA) használok - SMS, Push notification
20% (160 szavazat)
Nem 2 lépéses|faktoros Push notificaton (Pl. Use your phone to sign in)
2% (16 szavazat)
Csak jelszó
15% (124 szavazat)
Egyéb, leírom
2% (14 szavazat)
Összes szavazat: 807

( persicsb | 2022. 02. 11., p – 10:26 )

Valamelyiket így, valamelyiket úgy.

Tanulságos lenne az eloszlást összehasonlítani azzal, amikor a feladat az, hogy válaszd a gyengébbet. :)

Pl. van olyan fiókom (nem kritikus szolgáltatáshoz, de értsd jól), ahol van egy hiperszuper auth app, extra PIN kóddal, stb., de amúgy beenged egy random google/apple/ms oauth fiókkal. Vagy akár bizonyos bankok is fostalicskák ilyen szempontból, adnak hardver tokent, de ha loginnál azt mondod, hogy nincs nálad, akkor kiküldik SMS-ben a TOTP-t.

A gyakorlatban mindig szükség lehet ilyen fallbackre, mint a kulcs helyett SMS, és ez valóban nem a legjobb, de érthető kompromisszum.

Az oauth azonban szerintem más, ez koncepcionálisan inkább a felelősség kiszervezése egy másik megbízható félre. Nem értem, miért lenne ez csak "egy random fiók".

A gyakorlatban mindig szükség lehet ilyen fallbackre, mint a kulcs helyett SMS, és ez valóban nem a legjobb, de érthető kompromisszum.

Oké, de ahol akkora a security elvárás, hogy proprietary hardveres tokent adnak, ott az SMS, mint fallback megoldás elég megmosolyogtató. Akkor a tokennek nincs értelme, felesleges volt odaadni. Mondjuk lehetne a fallback megoldás az, hogy beslattyogsz a bankfiókba, ott jöhet az aláírásminta, okmányellenőrzés, és utána adnak egy másik tokent.

Nem értem, miért lenne ez csak "egy random fiók".

Olyan értelemben random, hogy a szolgáltatónál van bizonyos alapelvárás, a fiók security-val kapcsolatban, pl. kötelező auth app használat, a 3rd party oauth providernél viszont nincs. Lásd az előző pont, ha a saját biztonsági megoldás megkerülhető azzal, hogy ráakasztom a FB fiókomat, akkor értelmetlen volt kötelezni a usert a bonyolultabb védelemre regisztrációkor.

Oké, de ahol akkora a security elvárás, hogy proprietary hardveres tokent adnak, ott az SMS, mint fallback megoldás elég megmosolyogtató

Igen :)

Legtobb helyen sim hijack es annyi. De pl. van olyan, hogy sms melle meg kell mas is, pl. a korabban megadott recovery szemelyt felkeresni, extra kerdesre valaszolni, akarmiszam veget beirni stb...

( zslaszlo v | 2022. 02. 11., p – 11:23 )

Kövezzetek meg, de nekem már az is sok, hogy a telefonon kapok push üzenetet.  Ha még egy autentikációs faktor lenne (sms, otp, akármi) az nálam már a használhatatlan kategória. Ja, a telefonomon meg minden auth nélkül használhatom a levelezőt, az nem biztonsági rés, ugye?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Én a telefonomat azért nem zárom le semmilyen kóddal, többek között azért nem, mert ha pl balesetet szenvedek és megtalálják nálam, nem tudnak segíteni vele.

Persze mondhatnátok, hogy ellenkező esetben inkább nagyon is kihasználható, ha pl elhagyom.

Ilyen szemszögből nézve, az a "zár" nekem, hogy nálam van, s inkább ne hagyjam el.

Majd' minden adatom szinkronizálva van a NASomra, így ha elveszik, nincsen pótolhatatlan adatom. Olyannak látnék értelmét, hogy bekapcsoláskor (de csak akkor egyszer) kérjen tőlem valami kódot.

Így ha elveszítem, s lemerül, akkor még jó vagyok.

ui: a telefonom egy 8 éves Samsung Note 3, így nincsen rajta ujjlenyomat olvasó sem, nem is tudom, mennyire könnyedén / megbízhatóan lehetne használni azt, mint lezárás feloldás

Ugy tudom minden mobilrol lehet veszhivast kezdemenyezni, mondjuk az nem tudom hogyan donti el, hogy az 112-t vagy a 911-et tarcsazza (pl. ha europabol megy turista az USA-ba vagy forditva). Termeszetesen lehetnek eltero szamok is mas regiokban amikrol fogalmam sincs.

Amugy ha balesetet szenvedsz remelhetoleg a megtalalonak is lesz mobilja amin tud segitseget hivni, manapsag ez mar elegge alap.

Nekem is van amugy megjelenitve info a zarolt kepernyon ha a becsuletes megtalalo felvenne velem a kapcsolatot.

Majd' minden adatom szinkronizálva van a NASomra, így ha elveszik, nincsen pótolhatatlan adatom.

Gondolom ezeket az adatokat nem szeretned masnal viszontlatni.

nincsen rajta ujjlenyomat olvasó sem, nem is tudom, mennyire könnyedén / megbízhatóan lehetne használni azt, mint lezárás feloldás

Ha mukodik akkor tokeletes, nalam neha nem ismeri fel, ha kesztyu van rajtad akkor macera (az arcfelismerot pedig a szajmaszk szivatja meg).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

de szvsz. ez egy szukseges rossz

verzusz

felére esett a sikeres fiókfeltörések száma

... asszem en kerek elnezest. Ha valamifele analintrudert is kene hasznalni a vesenk eladasa mellett es azzal meg 1/3-a lenne a sikeres feltoresek szama akkor hogy unnepelnenk? Eh... onmaga parodiaja ez az egesz ;)

( opt | 2022. 02. 11., p – 12:34 )

Ha jól emlékszem, O365-nél 85% visszaesést írtak kb egy éve. Ez az 50% nagyon meglep.

Lassan az authenticator app a legtöbbet használt alkalmazás a telefonomon. Mivel sok helyen használom, keresgetni kell a listában, hova is akarok belépni, így pedig már nagyon kényelmetlen használni. Lassan ezért kell majd Yubikeyt vennem.

Aki hardveres kulcsot használ, hogy oldja meg, hogy mindig nála legyen? Ha otthon vagyok, akkor az a probléma ha a kulcscsomómon van, ha nincs a kulcscsomómon, akkor tutira nem lesz nálam, amikor kéne. Érdemes ezekből rögtön kettőt venni? Be lehet kettőt is regisztrálni egy helyre?

Yubico recommends a spare key

Why is a spare key so important?

It’s best practice to keep at least one spare YubiKey in case your primary is lost or stolen. Having a spare key gives you the assurance that you will not be without access to critical accounts when you need them most. No need to fear being locked out of any accounts, and no need to go through a lengthy recovery and identity verification process to recover them.

Please note that to register your spare key you will need to follow the same process as registering your primary key. Not all services support registering multiple YubiKeys. More information: yubico.com/spare.

trey @ gépház

Köszi, de egyelőre ez a backup, pótkulcs inkább marketing dumának tűnik, mint tényleges haszonnak. Ahol van Yubikey lehetőség, ott van szoftveres lehetőség is backup megoldásnak.

A gelei által felvetett probléma miatt csak speciális esetekben növeli érdemben a biztonságot, hiába veszek többet, akkor is csak részben könnyít meg a második faktor használatot.

A kényelmi rész miatt ki fogom próbálni.

( bacsi2 | 2022. 02. 11., p – 13:02 )

yubikey

google auth

ms auth

szolgáltatáshoz dedikált app

sms

dedikált laptop (csak egy VPN-hez), amin telefonhívásos auth van

 

Van minden. :)

( pirate | 2022. 02. 11., p – 14:28 )

Szerkesztve: 2022. 02. 11., p – 14:32

Az a legnagyobb hatranya a 2FA-nak, hogy nagyon konnyen kerulhetsz olyan helyzetbe ha nincs nalad a telefonod akkor gyakorlatilag labon lotted magad es semmit nem tudsz csinalni online. Ha pedig elveszett/elloptak akkor meg nagyobb szivas.

[szerk.]

Hasznalok ott, ahol:
- megkovetelik
- tudom magam maskepp is azonositani (pl. szemelyesen)
- be tudok lepni a rendszerbe 2FA nelkul es ki tudom kapcsolni ha szukseges

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

A nagyobb biztonság, több macera, több probléma lehetőség...

A komolyabb szolgáltatók adnak egyszer használatos jelszavakat az olyan esetekre, ha nincs nálad vagy elhagyod a telefont, kulcsot.... Ha meg tudod oldani, hogy ezeket bárhonnan elérd, de azért biztonságban is legyenek, akkor vész esetre van megoldás.

Ha meg tudod oldani, hogy ezeket bárhonnan elérd, de azért biztonságban is legyenek, akkor vész esetre van megoldás.

Nagy esely van ra, hogy (akar veletlenul) olyan helyen tarold aminek az eleresehez 2FA-ra is szukseged van. Pelda: kulfoldi ut (nyaralas/uzleti) alatt eltunik a mobil/yubikey. Belep(nel) a szolgaltatasba ahol a veszhelyzeti kodok vannak, a szolgaltatas biztonsagos es erzekeli a szokatlan (helyrol jovo) aktivitast, tehat extra informaciokat ker toled, amiket nagy valoszinuseggel 2FA ved, a kor bezarult :)

Szerintem a megoldas egy regebbi okostelefon ilyen celra valo felhasznalasa, minden 2FA appot feltenni, kodokat bele, stb. Ha utazas kozben tunik el az elsodleges mobil akkor nem kenyelmes, de legalabb ha hazaersz akkor be tudsz lepni mindenhova.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha ellopják a táskádat, és benne van mindkét telefon?

Egyertelmu, hogy az egyik telefon mindig otthon van, hatha nem raboljak ki a lakast es zsebelnek ki ugyanazon a napon :)

Én továbbra is egyszerűbbnek találom olyan helyen tárolni, amit bárhonnan elérek.

Ez nem teljesen vilagos, hogyan ered el azt a helyet? Valami auth. csak van, nem 2FA gondolom.

A nagyon spéci eseteket nehéz teljesen levédeni.

Igaz, de pl. az utazast/nyaralast nem tartom annyira specialis esetnek (mondjuk igy covid idejen lehet atertekelem az elobbi kijelentesemet).

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

A szoftveres megoldásokról lehet mentést csinálni, azt lehet otthon, akárhol tárolni. Hardveresből többet kell venni.

De onnan indultunk, ha nincs nálad a telefon, és éppen a világ végén vagy, de be kéne lépni valahova, amihez kell egy második faktor. Ehhez kellenének a biztonsági kulcsok. Nekem a keepass egy titkosított fájlban tárolja ezeket, amihez csak jelszó kell :D

  • Rábízod egy megbízható családtagra, barátra,... de a jelszót csak te tudod.
  • Be tudok lépni vpn-n otthonra, egy telefon és még jó pár helyre be tudok lépni, ami megoldja az egzotikus hely miatti kizárást a kedvenc helyeimre való belépéshez.
  • Távoli asztallal belépek megbízható ismerős gépére, ami szintén megoldja az egzotikus hely miatti kizárást.

Egy csomó dolog megoldható biztonságosan.

Két hete fizettem elő LastPass-ra. Ott ezt írják :)

Emergency access

Always ensure someone has access to your LastPass account, in case of an emergency.

Nekem ezért vannak az auth appjaim az ipaden és az iphoneon is. Elveszthetem akár mindkettőt, mert backupom van amiből nulláról is vissza lehet állítani az authenticator appokat.

A backup a laptopomon és (titkositott archivumban) fiókos pendriveon is megvan.

Vagyis ahhoz hogy az accountjaimhoz gond nélkül hozzáférjek, elég ha az iphone, ipad, laptop, usb key a fiókban közül bármelyik a rendelkezésemre áll.

A fontosabbakhoz amúgy google auth appot használok, de csak megszokásból, van pár app ami kényelmesebb és kompatibilis vele.

( uid_4656 v | 2022. 02. 11., p – 15:03 )

A preferenciasorrendem:

  • bármi, aminek esetében csak fel kell oldani a telefonomat az ujjlenyomatommal és rá kell bökni az "igen, akarom" gombra --> ez teljesen biztonságos érzetet kelt és kényelmes
  • Authy --> ez sokkal kevésbé biztonságos érzetet kelt, mivel fut számítógépen is, és pont ezért kényelmes is
  • bármilyen app, amiből kézzel át kell gépelnem máshova egy kódot --> ezek biztos tök biztonságosak, de iszonyúan idegesítőek
  • minden egyéb, pl. SMS és társai --> na, ne.

Sajnos ez van, a kényelem, gyorsaság, biztonság azok ilyen háromszöget alkotnak, és ellentétes végpontok. Nincs olyan, hogy mindhárom, valamilyen ára lesz annak, ha kényelmet akarsz, vagy ha biztonságot, egyszerre nem megy. Igen, idegesítőek a kódmásolások, jelszóbegépelések, SMS, stb., de a te biztonságod szolgálják, és ezért vállalni kell a kényelmetlenséget. Ami kényelmes, bekészített hardverkulcs, elmentett/tárolt jelszó (böngészőben pl.), ujjlenyomat-, arcfelismerés, egy faktoros autentikáció, az meg biztonságos nem lesz.

Én is sokáig ellenálltam, hogy kétfaktoros traktoros nem leszek, de idővel rákényszerül az ember. A Google-ben amiatt kell, hogy a neomutt engedélyt kapjon a GMail-fiók IMAP-os elérésére, ezt csak 2FA-val lehet beállítani, anélkül nem engedi. F@szbukon meg feltörték a fiókom, igaz a FB rendszere megfogta a feltörőt, és azonnal értesítettek, vissza tudtam szerezni, de emiatt ott is be kellett kapcsolni a 2FA-t. A password managerekkel is úgy voltam sokáig, hogy nem ülök fel a hype-nak, aztán néhányszor rácsesztem, hogy nem tudtam útközben mobilról belépni ilyen-olyan fiókba, meg egyes oldalakon történő adatszivárgások miatt jelszót kell cserélni, meg különböző jelszókat adni, túl sok fiókhoz kell a jelszót észben tartani, egy ponton kénytelen voltam feladni, már én is használok ilyet, előbb KeepassXC-t, majd KeepasCLI-t, most pedig már saját multiplatformos OpenPGP AES256-os megoldást használok minden eszközön. Felhős szolgáltatásban nem bízom, hogy másnál legyenek a jelszavaim, meg a zárt kódú megoldások sem megbízhatóak (pl. Bitlocker), mert ott meg nem tudod ellenőrizni, hogy van-e bekészítve hátsó kapu 3 betűs szerveknek.

The world runs on Excel spreadsheets. (Dylan Beattie)

( sweetlou6 | 2022. 02. 11., p – 16:02 )

Authy-t használok a legtöbb helyen.

( rpsoft v | 2022. 02. 11., p – 17:30 )

Tud valaki Androidra olyan klienst, amivel lehet olvasni az O365-ön levő leveleket, 2FA-val? (K9 sajna nem megy.)

( arpi_esp v | 2022. 02. 11., p – 18:57 )

Szerkesztve: 2022. 02. 11., p – 18:58

az apple-fele icloud 2fa minek szamit? ott egy masik eszkozon kell jovahagyni a belepest  (tippre push es/vagy app, de felugrik egy ablak es biometriaval ellenoriz)

( pomm v | 2022. 02. 11., p – 21:51 )

A legfontosabb fiókjaim saját vasakon futnak és jelszóval, csak vpn keresztül elérhetőek és persze játszik hozzá a 2FA is - így nyugodtan alszom....
A google, face, etc az jelszó + 2FA

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

( hrgy84 | 2022. 02. 12., szo – 03:24 )

Google-t nagyon sokáig használtam 2FA-val, és nagyon jó volt, mindaddig, amíg tönkre nem ment a telefonom annyira, hogy Factory Resetelni kellett a szervízben. Akkoriban még a Google saját Authenticatorát használtam, ami nem tudta semmi módon a beállításait a telefon saját memóriáján kívül tárolni, így teljesen elvesztek a benne tárolt kulcsok - így a Google-ös kulcsok is. Ami ezután következett, egy rémálom volt, 2FA engedélyezett Google fiókba 2FA nélkül bejutni agyhalál (vagy legalábbis az volt pár éve), így ahogy sikerült nagy nehezen bejutni, letiltottam. Amúgy használok 2FA-t több helyen is (AWS, Azure, Facebook, stb), de a Google-ömön nem, mert ott kritikus számomra, hogy bármilyen helyzetben gyorsan be tudjak lépni. Mivel az egyes Google szolgáltatások nem leválaszthatók (nem tudom azt mondani, hogy a Drive-hoz kérhet nyugodtan 2FA-t a GMailhez meg nem), így sajnos ez a kevésbé ideális megoldás maradt csak. Cserébe generált jelszavakat használok, amik semennyire sem értelmesek. Ha kicsit... nem is tudom, nem feltétlenül egyszerűsítenék, de legalább átláthatóbbá tennék a Google-nél az ilyen vész esetén életbe lépő folyamatokat, szívesen visszakapcsolnám a két faktoros belépést, de így... necces.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nos, ez azért erősen user-error szagú :) Voltak/vannak letölthető kulcsok, pont a ilyen szívások elkerülése végett. A fentiekből az következik, hogy ezeket te nem mentetted el. Amúgy meg van élet a Google Hitelesítőn túl, pl az Aegis, amit meg úgy és oda mentesz, ahova akarsz.

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

( hunyadym | 2022. 02. 12., szo – 12:49 )

Szerkesztve: 2022. 02. 12., szo – 12:50

Ha többfajta ellenőrzést is engedélyeztél (pl. be tudsz lépni Jelszó + SMS és jelszó + Autenticator App használatával IS), akkor válaszd az erősebbet.

Nem pont a gyengébbet kellene? Biztonsági szempontból nem jobb az authenticator app az SMS-nél, ha a támadó választhat, hogy melyiket szeretné használni. (A security key mondjuk az másik kérdés, ott a phishing ellen is van védelem.)

Illetve a push notificationt én az authenticator app mellé tenném egy kategóriába, mindkettőhöz a telefonodhoz kell hozzáférés. Az SMS azért nem olyan biztonságos, mint az authenticator app vagy a push notification, mert a telefonszolgáltatód a gyenge láncszem (pl. ha "elveszett" SIM kártya vagy számhordozás miatt a támadó megszerzi a telefonszámodat és ő kapja onnantól az SMS-eidet).

"Az SMS azért nem olyan biztonságos, mint az authenticator" - ja azért van a githubon 10 millio decode Google authenticator script, egy jó kis root(valami 0click exploit, de androidosoknál ezt önként is csinálják a népek) a telefnodon azt heló.

"push notification" - tény hogy a csatorna end-2-end titkosított, de ha mondjuk megpattintják a push szervereket, akkor ott azért lehet galiba

"elveszett" SIM kártya - hogy tud elveszni egy SIM kártya? kiesik a telefonból a sim tartó tálca, amit pajszerrel kell kiszedni a telefonból amúgy is?

számhordozás miatt a támadó megszerzi a telefonszámodat - számhordozásnál marad a szám az enyém, nem ez a lényege?

s ő kapja onnantól az SMS-eidet - tessék?

> hogy tud elveszni egy SIM kártya?

mondjuk telefonnal egyutt. elhagyod vagy ellopjak...

a tamado meg bemegy a szolgaltatohoz hogy "elveszett" es adjanak egy masikat, es adnak...  tudom, mert nekem is veszett el es bementem es kb semmit nem ellenoriztek, adtak masikat. elemrakott egy papirt irjam ala, azt csa.

> számhordozás miatt a támadó megszerzi a telefonszámodat

pedig volt ra pelda Mo-n is. bemegy a tamado az egyik szolgaltato ugyfelszolgalatara hogy venne egy elofizetest, de athozna a regi szamat, es bemondja a te szamodat. mivel nem igazan tudjak/akarjak ellenorizni, jogosult-e, beallitottak neki.  de elvileg azota mar szigoritottak az ellenorzesen, pont az ilyenek miatt.

https://24.hu/tech/2021/01/06/barki-aldozatul-eshet-egy-sim-cseres-atve…

https://www.hwsw.hu/hirek/63793/sim-swap-csalas-nmhh-telekom-telenor-vo…

masik lehetoseg hogy elteritik a forgalmat, egy kulfoldi kis szolgaltato behazudja hogy oda roamingoltal, es ezert arra routeolodik az sms... erre is volt mar pelda par eve, asszem oroszoknal.

Ha a hardver kulcsot szerzik meg, rögtön tudják használni, ha a telefonodat, akkor egyáltalán nem biztos, hogy hozzá tudnak férni a szoftveresen tárol, generált kulcsokhoz. Pl ezért is szoktam megkérdőjelezni a hardver kulcsok jelentős előnyét, a szoftveres megoldásokkal szemben. Vannak esetek amikor az egyik jobb, van amikor a másik.

Átlagos, automatizált támadások ellen mindegyik jelentős plusz védelmet jelent, de látni, hogy mely módszereket használják ki többen.

A rootolt telefon esetén megérdemli, akinek hozzáférnek az adataihoz.

( Sanya v | 2022. 02. 13., v – 07:35 )

2 faktor a banki appoknál eleve van. A revolutnál is volt, bár április 1-től annak is vége lesz.

A többi helyre erős, de több helyen újrahasznosított jelszó a semmirevaló oldalakon.

A jobb oldalakon erős egyedi jelszó.

 

 

A gyenge jelszavaimat a hetekben fogom lecserélni, és mindent saját bitwardenben tartani(csak arról is kellene mentés, nem?)

( BlackCode | 2022. 02. 13., v – 10:45 )

Szerkesztve: 2022. 02. 13., v – 10:46

Jelszavak és OTP KepassXC/KeepassDX-ben tárolva (PC/Android), jelszóval + kulccsal védve. A password db kulcs szigorúan offline kezelve.

Így a böngésző, Android app integrációt, 2FA kezelést 1 toolból lefedem.