2FA vs Bezpieczeństwo

0

Byc może dla niektórych to banał ale dla wielu pewnie coś co jest ale z czego i tak nie korzystam.

Ja jestem w tej drugiej grupe. Ale myślę że warto jednak się zainteresować. Obawy jednak są takie:

Jesli mam urządzenie 2FA i zgubie to urządzenie to co wówczas z głównym kontem do ktorgo chcemy się zalogować?
Tak , za pewno mogę mieć kopie na drugim urządzeniu. No ale przypuśmy spalą nam się dwa komputery/telefony?
Co wówczas ? czy korzystanie z takiego uwierzytelnienia nie jest tak naprawdę poniekąd większym ryzykiem ?

Po drugie. Co jeśli komputery się nie spalą ale dostawca 2FA zawiedzie, będzie jakiś krytyczny błąd w kodzie itp itd ?

1

Możesz sobie z urządzenia ściągnąć zaszyfrowany plik z generatorami kodów do wszystkich aplikacji i trzymać go w bezpiecznym miejscu/miejscach, które nie są zależne od 2fa.

Natomiast zamiast 2FA warto się zainteresować U2F, takich kluczy musisz mieć kilka w różnych miejscach, ale one są fizyczne, więc spalenie komputera Ci nie przeszkodzi.

1

Pierwsze:
Powinieneś wygenerować kody zapasowe i zapisać je w menadżerze haseł. Poza tym powinieneś zapisać też kod generujący do GAuth i zapisać go w menadżerze haseł (w OSOBNEJ BAZIE!), dzięki temu możesz gubić urządzenia, ale to nie boli, bo możesz zawsze skonfigurować nowe.
Chyba, że używasz klucza sprzętowego, wtedy to odpada i niespecjalnie da się obskoczyć.

Drugie:
No jak będzie błąd w usłudze, to nic nie poradzisz, 2FA nie jest magicznym rozwiązaniem. Równie dobrze ktoś może wyłączyć drugie uwierzytelnianie na Twoim koncie i problem z głowy.

Ponadto warto tu rozróżnić 2FA zrobione jako generowanie OTP, a 2FA zrobione jako podpisywanie adresu URL. To pierwsze niespecjalnie zwiększa bezpieczeństwo ponad SMS-y, to drugie jest bardzo upierdliwe w użyciu, ale daje "gwarancję" bezpieczeńśtwa.

0
Afish napisał(a):

Pierwsze:
Powinieneś wygenerować kody zapasowe i zapisać je w menadżerze haseł. Poza tym powinieneś zapisać też kod generujący do GAuth i zapisać go w menadżerze haseł (w OSOBNEJ BAZIE!), dzięki temu możesz gubić urządzenia, ale to nie boli, bo możesz zawsze skonfigurować nowe.
Chyba, że używasz klucza sprzętowego, wtedy to odpada i niespecjalnie da się obskoczyć.

Drugie:
No jak będzie błąd w usłudze, to nic nie poradzisz, 2FA nie jest magicznym rozwiązaniem. Równie dobrze ktoś może wyłączyć drugie uwierzytelnianie na Twoim koncie i problem z głowy.

Ponadto warto tu rozróżnić 2FA zrobione jako generowanie OTP, a 2FA zrobione jako podpisywanie adresu URL. To pierwsze niespecjalnie zwiększa bezpieczeństwo ponad SMS-y, to drugie jest bardzo upierdliwe w użyciu, ale daje "gwarancję" bezpieczeńśtwa.

A jakiej aplikacji korzystasz ?

0

Keepass + Google Authenticator + WinAuth. W pracy używam YubiKey jako OTP, więc nie jest to specjalnie bezpieczniejsze (za to upierdliwe na komórce).

2

Wersja OTP dla cierpliwych ludzi:

(venv) [email protected] ~/P/msmotp> cat otp.py
import onetimepass as otp
my_secret = 'UY3UXB9RPEXF98MID2QK'
my_token = otp.get_totp(my_secret)

print(my_token)

A sekret możesz zapisać sobie na kartce i schować do sejfu, rozdzielić pomiędzy znajomych albo zapamiętać.

A odnośnie reszty pytań: jasne, zawsze jest ryzyko że z jakiegoś powodu stracisz dostęp do wszystkich 2nd factorów. Kody OTP nie potrzebują zewnętrznych dostawców (jak wyżej) więc o ile znasz sekret to będą dalej działać. Jeśli używasz yubikeya to powinieneś się liczyć że go stracisz/zgubisz i mieć backup oraz plan awaryjny (np w pracy często w razie krytycznej porażki można iść do adminów w celu resetu klucza)

0

Dobra mamy 2FA , OTP a jak się ma do tego TOTP ??

1

Urządzenie 2FA, z którego można zrobić kopię zapasową traci cały swój sens zwiększonego bezpieczeństwa.
Albo producent jest dupa wołowa bezpieczeństwa, albo nie potrafi przeszkolić swoich klientów i uległ wygodzie adminów klienta.
Już oprogramowaniem na telefon można uzyskać lepszy poziom bezpieczeństwa niż w przypadku kopiowanego tokena.

Jeśli się da zrobić kopię zapasową takiego tokena, to ktoś może na chwilę pożyczyć token by zrobić kopie, a potem łamać szyfrowanie.
Jeszcze gorzej jeśli token został zgubiony, bo jeśli wykona się duplikat, to znalazca nawet nie musi nic odszyfrowywać (jeśli jest PIN to można go podpatrzeć przed kradzieżą).

Jeśli urządzenie zostało zgubione, to zgodnie z procedurami:

  1. powinno się zgłosić to jako incydent bezpieczeństwa,
  2. unieważnić ten token na wszystkich serwerach
  3. użytkownikowi wystawić nowy urządzenie/token.
0
MarekR22 napisał(a):

Urządzenie 2FA, z którego można zrobić kopię zapasową traci cały swój sens zwiększonego bezpieczeństwa.
Albo producent jest dupa wołowa bezpieczeństwa, albo nie potrafi przeszkolić swoich klientów i uległ wygodzie adminów klienta.
Już oprogramowaniem na telefon można uzyskać lepszy poziom bezpieczeństwa niż w przypadku kopiowanego tokena.

Jeśli się da zrobić kopię zapasową takiego tokena, to ktoś może na chwilę pożyczyć token by zrobić kopie, a potem łamać szyfrowanie.
Jeszcze gorzej jeśli token został zgubiony, bo jeśli wykona się duplikat, to znalazca nawet nie musi nic odszyfrowywać (jeśli jest PIN to można go podpatrzeć przed kradzieżą).

Jeśli urządzenie zostało zgubione, to zgodnie z procedurami:

  1. powinno się zgłosić to jako incydent bezpieczeństwa,
  2. unieważnić ten token na wszystkich serwerach
  3. użytkownikowi wystawić nowy urządzenie/token.

no dobra tylko dajmy na to logowanie jest tutaj najważniejsze. Czyli zakladamy ze zgubie możliwość autoryzacji i nie mogę się zalogować i nie ma opcji aby inaczej zalogować się do systemu/serwisu itp ani też zgłaszać "wyżej" jakiś incydentów. Co wówczas ?

1
menido napisał(a):

no dobra tylko dajmy na to logowanie jest tutaj najważniejsze. Czyli zakladamy ze zgubie możliwość autoryzacji i nie mogę się zalogować i nie ma opcji aby inaczej zalogować się do systemu/serwisu itp ani też zgłaszać "wyżej" jakiś incydentów. Co wówczas ?

Jeśli organizacja używa tokenów (albo kart chipowych z podpisem elektronicznym), to musi traktować bezpieczeństwo IT poważnie.
A to oznacza, że możliwość zgłaszania incydentów powinna być prosta i szybka (ostatnio odnawiałem tokena na telefonie i załatwiłem to w 2 godziny, będąc poza biurem - home office).
Wówczas to osoba odpowiedzialna za bezpieczeństwo w organizacji podejmuje decyzje o postępowaniu.

Jeśli się nie da zgłosić zagubienia tokena, to bezpieczeństwo w firmie to fikcja. Prędzej czy później pojawią się "obejścia" i cały sens używania tego sprzętu upadnie.

FYI: na bezpieczeństwie się nie znam (ale mniej niż przedmówcy), nauczyłem się tyle ile mi było potrzebne do realizacji jakiegoś projektu, który musiał przejść certyfikację wymaganą przez instytucję rządową.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0