Mam pytanko: ostatnio ustawiłem sobie 2fa przez Google authenticator na poczcie Onet. Dotąd używałem apki Spark na androida. Ale przestała działać. Nie ma opcji, żeby tam wpisać kod. Jest jakaś inna apka mailowa, żeby działało 2fa?
#technologia #2fa #bezpieczenstwo #poczta
@markxvyarov @AlvaroSoler również polecam aegisa
andotp poszedł do lamusa :<
jest jeszcze enteauth ale nie korzystałem, coś tam kojarzę że na redżim wspomniano że więcej danych zgarnia
ostatecznie jest jeszcze bitwarden jeśli chciałbyś również czegoś do przechowywania haseł
@AlvaroSoler Chodzi Ci o klienta poczty, czy apkę do 2fa?
Jeżeli o klienta poczty, to nie wiem
Czyli mam np. [email protected] (stary mail), z którego wszystkie maila przekazywane są do [email protected] (nowy).
Jeżeli chodzi o apkę do 2fa, to ja korzystam z 2FAS (open-source, ma rozszerzenia do przeglądarki, więc klikasz na stronie, że chcesz kod 2fa, w apce pojawia się powiadomienie, że prosisz o kod, zatwierdzasz, kod jest automatycznie wpisany w przeglądarce)
@HmmJakiWybracNick tak, o appke na androida do poczty.
Dziękuję wszystkim, ale chodzi mi o właśnie appke na androida do poczty, która obsługuje (ta appka) 2fa.
@AlvaroSoler fairemail ma obsługę oauth, aczkolwiek nie używam od dawna
k-9mail chyba też, ale w tym przypadku nigdy nie korzystałem w nim z 2FA i nie wiem jak z obsługą tego u innych dostawców niż G i MS
a co do odpowiedzi, to bez dodania nicków nikt nie dostanie powiadomienia o niej
ja tu z przypadku wpadłem bo się zastanawiałem czy ktoś jeszcze podawał inne apki do 2FA i przypomniałem sobie o tym wpisie
Zaloguj się aby komentować
Korzystam z Bitwardena jako menadżera haseł i 2FAS jako authenticator 2FA.
Dzisiaj odkryłem, że Bitwarden sam w sobie ma on wbudowaną funkcjonalność bycia authenticatorem 2fa.
Zastanawiam się jak wygląda kwestia bezpieczeństwa, jeśli chciałbym w 2FAS zostawić tylko Bitwardena, a wszystko inne z 2FAS wynieść do Bitwardena, żeby to on tym zarządzał.
Co jest bezpieczniejszą opcją?
#bitwarden #2fa #bezpieczenstwo
@HmmJakiWybracNick zdaje mi się, że na tym polega 2fa - na oddzieleniu źródeł autentykacji, w razie wysypu pierwszej warstwy pozostaje druga. Co się wydarzy jak ktoś uzyska dostęp do źródła w którym masz obie warstwy? Nie raz nie chce mi się przepisywać tych kodów. Klucz u2f jest spoko opcją, ale w niewielu miejscach jest obsługiwany.
2FAS to dla dzieci alkoholików
@parapet-inferno No właśnie też myślałem w identyczny sposób ;v chyba zostaje jednak przy 2fas ;v
@saiko W sumie to by się trochę zgadzało ¯\_( ͡° ͜ʖ ͡°)_/¯ Swoją drogą czemu? Korzystałem z microsoftowych, googlowych, lastpassowych authenticatorów i wydaje się być najwygodniejszy.
Zaloguj się aby komentować
@hejto myślicie nad dodaniem 2FA? #technologia #bezpieczenstwo #2fa
@jenot To by była poezja
Zaloguj się aby komentować
W sumie nikt nie popełniał chyba jeszcze wpisu o Yubikeyach, więc potencjalny autorze - jako uzupełnienie tego wpisu masz szansę
No, ale nie o tym.
Zapewne większość z was uwierzytelnia różne rzeczy telefonem - czy to aplikacją bankową, czy też korzystając z aplikacji typu Google Authenticathor, Authy, 2FAS, Ping iD. Wiecie, jak to skonfigurować i jak obsługiwać. Ale czemu działa? I dlaczego jak zgubimy telefon i nie mamy kopii zapasowej, to nie można nijak odzyskać konta bez kodów generowanych przy podpinaniu aplikacji / klucza uwierzytelniającego?
Aby nie pomieszać (bo klucze sprzętowe typu Yubikey to jedno, a aplikacje generujące kody to drugie) warto poznać pojęcie TOTP (Time Based One Time Password). To ten 6-cyfrowy kod, który zmienia się co 30 sekund, który generuje nam aplikacja. To działa, bo istnieje "sekret", który zna authenticator. Owym "sekretem" jest właśnie jest kod (kreskowy, QR itp), który skanuje się łącząc aplikację z kontem. Gdy apka uwierzytelniająca "zna" ten sekret, może wypluwać 6-cyfrowe kody, które pozwolą na zalogowanie się - ale uwaga - nigdy nie ujawnia go ponownie i nie ma jak jej go z bebechów wydłubać.
W przypadku aplikacji na smartfony "sekret" jest przechowywany w telefonie. W przypadku kluczy sprzętowych takich jak Yubikey, "sekret" jest przechowywany TYLKO na kluczu (i ujawniony, gdy podłączysz klucz do dowolnego urządzenia, na którym możesz uruchomić Yubikey Authenticator).
Korzystając z aplikacji uwierzytelniających Jeśli chcesz, możesz wydrukować kod kreskowy / QR (czyli ów "sekret") i załadować go do wielu urządzeń (czyli np. 3 smarfony będą w stanie generować te same kody) na początku, gdy po raz pierwszy ustawiasz TOTP lub później w dowolnym terminie. Czyli tylko aplikacje, które "widziały" ów konkretny, sekretny kod będą w stanie generować dla użytkownika działające kody.
Ogólnie przyjmuje się, że najlepiej jest mieć "sekret" w dwóch miejscach, zwłaszcza w przypadku stron / kont, które nie dają opcji awaryjnego uwierzytelniania np. przy pomocy SMS (a pamiętajmy, że opcja awaryjna czyni rzeczy MNIEJ bezpiecznymi np. ta SMS-owa jest podatna na kradzież / klonowanie karty SIM). Większość ludzi w takiej sytuacji skorzystałaby z dwóch fizycznych kluczy (dlatego doradza się od razu kupowanie zapasowego), przechowywałaby wydrukowaną kopię "sekretu" do konfiguracji authenticatorów, albo kodów do odzyskwania konta gdzieś w bezpiecznym miejscu.
To, co warto zrozumieć i zapamiętać, to fakt, że nie możba NIGDY wydostać sekretu z Yubikey lub aplikacji typu Google Authenticator. Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego (lub jego odpowiednika tekstowego).
Klucze Yubikey obsługują również U2F, który jest lepszym, bardziej bezpiecznym rozwiązaniem od TOTP, ponieważ nie ma tu kodu, który można wyłudzić. Niestety wsparcie dla tej opcji jest rzadziej spotykane niż dla TOTP, ale zdecydowanie lepiej jest używać go, jeśli się ma taką możliwość. Jest to coś, czego prawdopodobnie nigdy nie próbowałeś, jeśli nie masz jakiejś odmiany klucza sprzętowego.
Na koniec ciekawostka: żaden polski bank nie umożliwia dodatkowego zabezpieczenia swojego konta przy pomocy kluczy sprzętowych i mimo plotek o trwających pracach, od dwóch lat temat z miejsca nie ruszył.
Uwaga: wyjaśnienie znalazłam w necie i przerobiłam, żeby się lepiej czytało i było przystępniejsze dla przeciętnego człowieka. Wg mojej wiedzy trzyma się kupy, ale jeśli ktoś znacznie lepiej obeznany ode mnie dostrzeże nieścisłości, to proszę o sprostowanie
W ogóle to ciekawe, czy ktoś tę ścianę tekstu w ogóle przeczyta
A tu trochę info o kluczach (i niech was nie pokusi kupować kiedykolwiek używki, czy korzystać z jakiegoś znalezionego na ulicy
@arcy keepass do bazy lokalnej, na fonie keepass2android offline,a do weryfikacji dwuetapowej Authy zamiast google.
Jako poczta polecam proton mail opcjonalnie tutanota.
@Nebthtet
Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego
a google auth nie ma backupu i nie można przenosić pomiędzy urządzeniami?
@kosik jakieś formy backupu są (nie wiem jak na Androidzie, na iOS na pewno, bo mój migrowało w backupie). Ale raczej nie wyciągniesz z niego tego kodu kreskowego do ponownego zeskanowania, bo to byłby gigantyczny wektor potencjalnego ataku.
Zaloguj się aby komentować
