Jak sobie uprościć 2FA?

Jak sobie radzicie z 2FA? Czy rzeczywiście za każdym razem przepisujecie te kody czy może macie zapamiętane sesje wszędzie i na tyle rzadko się logujecie gdziekolwiek że nie jest to problemem?

Tęsknię za czasami kiedy żeby zalogować się na stronę wystarczyło wpisać hasło. Teraz wszędzie, nawet na mało istotnych stronach trzeba wpisać kod z smsa lub jeszcze gorzej - osobnej aplikacji do generowania tokenów.

Czy jest jakaś apka która to robi automatycznie? Na niektórych stronach mogę wyłączyć co prawda 2FA, ale lepsze rozwiązanie by było gdyby na przykład apka tylko sprawdzała czy telefon jest w zasięgu komputera (np przez bluetooth) lub żebym musiał przyłożyć palec do telefonu żeby zeskanować odcisk, po czym przesyłała kod z smsa (dodatkowe punkty za umiejętność przekazania kodu z powiadomienia z innych aplikacji) i po stronie komputera automatycznie wpisywała kod.

Czasami żeby coś zrobić muszę przepisywać kod dwa, albo więcej razy. Może coś źle robię, ale często po przejściu na stronę, jestem przekierowany na stronę logowania, a po zalogowaniu się otrzymuję komunikat w stylu "poprawnie wylogowano" i muszę to robić jeszcze raz, czasem trzeci raz żeby przejść na stronę ustawień i czwarty raz żeby coś na niej zmienić. Obłęd. Czy strony nie mogą pamiętać że już wpisałem kod i przez chociaż minutę dać kredyt zaufania?

Są niby klucze fizyczne (U2F), ale:
a) działają tylko w niektórych serwisach które je wspierają,
b) nie wiem czy w praktyce są wygodniejsze
c) kosztują dodatkowo, co jest moim zdaniem zbędnym wydatkiem bo moim celem nie jest większe bezpieczeństwo tylko większa wygoda. Może nie są to miliony ale jakbym miał wyrzucać pieniądze w błoto to już wolałbym sobie kupić na przykład tańczącego kaktusa
i przede wszystkim:
d) bardziej niż włamu na konto boję się że zgubię klucz lub pamięć w nim się uszkodzi i w ten sposób stracę dostęp do swoich danych co jest dużo bardziej prawdopodobnym scenariuszem
e) nie chcę żeby dostęp do moich kont, danych był uzależniony od tego czy mam przy sobie jakieś dodatkowe urządzenie. Czasem mam potrzebę dostępu z losowego sprzętu, miejsca i czasu. Nie chcę musieć pamiętać o zabieraniu kolejnej rzeczy gdy wyjeżdżam lub wychodzę z domu.

Co robić, jak żyć?

Może zacznijmy od tego czy w końcu chcesz mieć 2FA czy nie :P Nie znam przypadku, gdzie second factor jest wymagany (chętnie poznam) nie licząc kont firmowych. Osobiście chętnie włączam 2FA tam gdzie to możliwe.

Jeśli chodzi o wygodę - mam Biwardena i w telefonie i w przeglądarce. Stamtąd lecą hasła i kody TOTP. Tam gdzie to możliwe używam klucza Yubikey, ale to nie jest wygodniejsze od TOTP. Ryzyko, że zguba klucza to koniec świata nie ma -> mam dwa klucze, a poza tym kody odzyskiwania do kont i ustawione alternatywne metody logowania w oparciu o SMS czy TOTP.

W kwestii wygody wg mnie: TOTP > U2F > SMS.

a) wraz ze wzrostem popularności będzie rosła ilość serwisów, które to wspierają
b) na pewno bezpieczniejsze
c) wydaje mi się, że tańczący kaktus nieco mniej chroni konto :D
d) dlatego zaleca się mieć klucz zapasowy. W serwisie masz oba zarejestrowane i jeden trzymasz na dnie szafy, albo po prostu włożony w pcta, a drugi masz przy sobie.
e) ideą logowania dwuskładnikowego nie jest zwiększenie wygody w logowaniu, a zwiększenie bezpieczeństwa konta. Najwygodniej by było w ogóle się nie logować

Veo napisał(a):

Najwygodniej by było w ogóle się nie logować

Co do wygody to można dyskutować - wg mnie fajnie się korzysta z magic linków do logowania i ogranicza to liczbę wektorów ataku :)

keepasxc

Korzystam z menadżera haseł 1password, obsługujące TOTP. Typowe logowanie to użycie przycisku palca lub skan facjaty, by odblokować 1password, reszta zazwyczaj podstawia się sama. Czasami muszę skorzystać ze skrótów klawiszowych by skopiować login/hasło/kod. Można też wyklikać, ja ktoś ma awersję do skrótów klawiatury. W niektórych portalach, jak poczta, do 2FA korzystam z U2F (yubikey) zamiast 1p. Klucz w wersji z NFC, a więc działa i na telefonie i na laptopie.
1p można obsługiwać także z poziomu terminala, są różne pluginy, osobiście korzystałem tylko z integracji z gitlabem i gh.

d) bardziej niż włamu na konto boję się że zgubię klucz lub pamięć w nim się uszkodzi i w ten sposób stracę dostęp do swoich danych co jest dużo bardziej prawdopodobnym scenariuszem

Co najmniej 2 klucze to podstawa. Zdecydowanie menadżer haseł z obsługą kodów jest wygodniejszy.

obscurity napisał(a):

Co robić, jak żyć?

Nie włączać tego gówna nigdzie, i nie ryzykować zablokowania sobie dostępu do własnych danych z jakiegoś durnego powodu typu utrata urządzenia.