2. Fórumok
  3. OS, alkalmazások
  4. Jelszókezelők

Új hozzászólás Aktív témák

  • #1134 ledgeri nagyúr Llew #1129
    Új Válasz #1134
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    ledgeri

    nagyúr

    válasz Llew #1129 üzenetére

    Hosszú lett! ;]

    Az egész 2fa lényege, hogy ne csak jelszavad védje a fiókod. Bármi más ami IS kell a bejutáshoz, az második faktor:

    -SMS: előnye, hogy szinte mindenkinek van száma, így elkezdeni használni egyszerű. Hátránya, hogy harmadikfeles szolgáltatás függő. Emellett akár módosítható úgy, hogy te nem is tudsz róla. Ha csak ez van, akkor is megéri. De ha egy számod van, akkor az emiatt is bekerülhet spam adatbázisokba. Erre nem vonatkozik a menthetőség, általában 1 szám adható meg. (Viszont neked lehet több telefonszámod, amivel kivéded mikor a nagyi beregel valahova, véletlen vagy direkt, és leszivattatja a telefonkönyvét)
    (Velem pont most esett meg, hogy a Steam, ami eléggé GIGA cég, úgy küldött üzenetet, hogy nem érkezett meg, és az supporton keresztül, 1héten keresztüli oda-visszával, és teszt SMS-ekkel lett tisztázva, hogy valamiért nekem másképp kell küldeni SMS-t..., meglett, de ha SOS helyzet van akkor baj. :F

    -Email, többségében kód/link: Aki online van, annak van (általában). Sokaknak egy van amit mindenhova használnak, így ha kikerül jöhet spam. Sokan nem figyelnek a küldőre, így emiatt veszélyes. Emellett ez is harmadik félen múlik... és lehet, hogy van az a szituáció amikor egy programba belépnél egy adott gépen, de az emailfiókodba csak a 2fa miatt már neccess. Ha csak ez van, és ezt viszik, visznek mindent! (Ez sem menthető, általában 1 cím adható meg).

    -QR-kódos beléptetés, pl discord: Ha belépnél egy új eszközön, akkor a már belépett, és online lévp telefonoddal beolvasod a kódot, ami így adatot küld a szervernek, így az engedélyezi a belépést az új helynek. Nagyon veszélyes, mert nincs igazi ellenőrizhetősége, csali oldalakon tudnak olyan qr- kódot megjeleníteni, amikkel bothálzat lép be, és ennyi volt a fióknak! (nem menthető, de bármelyik korábban belépett eszközzel működhet)

    -Push üzenet (pl google fiók): Amikor belépnél egy új eszközön, az internetre csatlakozott, már belépett eszközre küld (netfüggő) üzenetet a szerver, ha te azt jóváhagyod, vagy az oldalon megadod a kódot, akkor beenged. Az előzőhöz képest jobb abból a szempontból, hogy van döntésed afelett, hogy megadod-e a jogot az új eszköznek, viszont ha a rosszakaród folyamatosan belépegetne, és erről te kapogatöd az üzeneteket, akkor egy rosz mozdulat, és ő bent van. ( Ez sem menthető, de vagy az összes korábbi eszköz jóváhagyhat, vagy van egy kijelölt. Előbbi esetben több felhasználónál bajos)

    -TOTP (szinte bármi a mi "használj google authentikátort"-kér). Az összes fentivel ellentétben, amik igénylik, hogy a második faktorod is online legyen, ez nem igényel egyéb hálózatot. Az egyszeri "szerver ad egy kódot" interakció után csak a "szerver várja a kód beírását" van. Ha jó kódot adsz, bejutsz, ha nem nem. Ha a kód csak a telefonodban volt, ami törött, vízbefulladt, otthon maradt, szervízben van, resetelődött, akkor annak a belépésnek annyi volt, emiatt másolandó, és mentendő! Amíg a kódot fel tudod idézni, addig bejuthatsz. Bárki aki ugyan ezt csinálja, bejuthat, DE a fentiekkel ellentétben nem akkor fut át rendszereken a kód, hanem csak egyszer, így ez jelentősen biztonságosabb. Ellenben sajnos ez is elcsalható, ha valaki nem figyel (valós oldallal összekapcsolt hamis odalon lépne be). Legjobb általánosan elterjedt!

    -Fizikai kulcs: Általában van egy kis chip benne, ami kommunikál a szerverrel ami be akar léptetni, és ezt még egy megbízható ellenőrizheti is. Ha a kulcs, a szerver, és a harmadik fél egyet ért, akkor bejutsz. Ha bármi nem stimmel (pl beléptető weboldal címe), akkor már nem engedélyezett a beléptetés. Hátránya, hogy 2 kulcs kell, mert fizikailag nincs egy másik pont ugyanolyan kulcs a világon, amiről a szerver tudná, hogy a tied, csak az, amiről te megadtad neki, hogy az a tied. Nem menthető, nem másolható)

    -Passkey*: Nem igazán sorolnám másodfaktornak, inkább új faktornak. A fenti mind arra játszott, hogy van a felhasználó neved, jelszavad ÉS a másod faktorod. Ennél nincs másod faktor, mert ha ez-ed van, akkor te vagy te:
    pl olyan olyan telefonon ami alkalmas rá belépsz fentiek szerint normálisan, majd beállítod a Passkey-t. Ez annyit tesz, hogy egy biztonságos algoritmusokon alapuló kombinációt ment el az eszköz, így a szerver tudja, hogy te vagy az. Ha be akarnál lépni, elég csak magadat igazolnod az eszközöd felé (ijjlenyomat, FaceID, vagy eszköz-saját pin) a többit elvégzi az eszköz és a szerver egymás közt. Előnye, hogy nem tudnak támadók kicsalni tőled semmi olyat, amit ők fel tudnának használni, míg ha pl el lopják a telefonod, ami újlenyomattal nyílik,akkor az fogja meg őket. Friss annyira, hogy pl olyan szolgáltatásról nem hallottam, ami csak ezt használná bármeilyen fenti kombináció kihagyásával.

    ...és akkor mentegetni, meg menekülő utak?

    -SMS: menekülő út az, hogy simán átírható másik SIM-kártyára az adott szám, ami a legnagyobb problémája is. Jó, ha elvész a telefon, Problémás, ha pl külföldön vagy, és valaki itthon épp így támad be (az hogy ez mennyire esélyes, és lehet M.o.-on, az más kérdés.... "van az az ügyintéző, és az pénz" ;]

    -Email: általában 1 mail adható meg ilyesmikre. Ha pont azt a mail-t viszik, akkor baj van. Menekülő szerintem ilyenből nincs. + szivárgások, és az utánuk jövő spam.

    -Qr-kódos: szerintem úgy rossz ahogy van, menekülő belőle nincs. Veszélyes... Jobb nem rászokni!

    -Push: Net kell neki, ha az nincs akkor bukó. Sosem használtam, így nem tudom mi van, ha csak ez van beállítva, és az az eszköz bukik, amire be van állítva. Mivel direktebb, mint a fenti kettő, jobb is!

    -TOTP: mint írtam, "csak tenálad van a kód, amit a szerver vár". Na emiatt kell úgy kezelned, mint a legkedvesebb digitális fotóidat. Ezeket exporttal, backuppal, vagy kimásolással bőven lehet sokszorosítani, csak az ne legyen könnyen elérhető, és jó vagy!

    -Passkey: inkább egyszerűbb beléptetés, mint másodfaktor... Tartsd észben, hogy mennyi és melyik eszközödre van mentve, és az hol van!

    -Fizikai kulcs: kettő kell, minimum, nincs mese, mert nem szoksorosítható!

    -Recovery kódok: mindent felold, mindent átír, különös figyelmet igényel! Kiemelten kezelendő! Ha jelszó mellett van, de van 2fa, utóbbi nem ér semmit, ha az első adatbázisát törik.

    Akkor hogy és mint külön mit?

    Az a lényeg hogy az a két dolog ami kell a bejutáshoz ne legyen egy művelettel elérhető! (Ha pl van jelszókezelőd, meg authentikátorod, és ez 2 külön dolog kódolva az jó, de ha ezek mentését babrálod, ami egy vercrypt állomány, és benne 2 txt, akkor az kritikus művelet!)
    Ha a jelszavaidat egy helyen tárolod, a totp-re van külön dolgod az jó, amíg mondjuk nem csak egy telefonod az, ami nem jelszóval vagy újjlenyomattal védett, és az appok is jelszómentesek. Ha valaki ellopja, és hozzá fér ehhez is, meg ahhoz is, akkor vihet mindent.. Még az is bajos, ha az appok nem jelszavasok, mert annyi a malware telóra is.... Viszont a másik oldal, hogy ha csak 1 telefonon van ez a kettő (bárhogy is védve támadó ellen), és az fizikailag sérül, akkor az meg azért baj, mert veszett minden..
    Ugyan ez: ha egy online jelszókezelőben van mind a kettő, és az bukik bármilyen módon (törik, lopják, leáll, hálózati problémák), ugyanúgy problémás. Remélem ebből érthető, hogy az egy hely az így bajos.

    Emellett még azt is jegyezd meg itt a végére, hogy tény, hogy jó a jelszókezelőzés, mert nem kell 100-300-500 jelszót megjegyezni, de ne gondold azt, hogy innentől kezdve egyet sem kell (bár passkey efelé megy)!! (vagy egyet kell)
    Ha A jelszókezelő jelszavát B-be, B-jelszavát C-be, C-jét meg A-ba mented, akkor rendben, hogy biztonságban van mint, de nem tudod te, és kizáróhatsz...
    H C-jét jegyzed meg csak, akkor ha A-t használod állandóan és az be van lépve, de valamiért kilép, akkor B-t feleslegesen zargatod. Tudd A-jét, B-jét, C-jét, és hozzáférsz az összes dolgodhoz. Ha kiesik B, probléma, de ott A és dolgai, C és dolgai... + nem lesz az, hogy valaki megszerzi B-t és bejuthat A-ba csak amiatt, mert ott van A bejutásához való cucc.

    Neked kell értékelned az összes fiókodat, az összes rendelkezésedre álló methódust magadnak!
    Kukutyim-fórum, ahova egyszer lépsz be egy évben? Nagy eséllyel nem baj, ha egy állományban van a jelszava, és hozzá a 2fa, ha mentős az, vagy pl csak SMS-t enged az sincs bekapcsolva..., mert számodra nem nagy érték, 2 perc ujraregelni ha kell, olvasható kintről is.
    Nemzetközi fórum, fiók: csak SMS-t enged, azért elég nagy, hogy támadható legyen? az SMS-t is megéri.
    Email-fiókod, amibe minden bel van regelve? Mindenből a legjobbat, és csak azt! Nemzetkozi a felülete, akkor még az SMS is rizikós rá! TOTP, ami külön van mentve külön jelszóval, külön alkalmazásban!
    Kedves fiók, ami baj lenne a menne: minden max, mert elfér... külön, mert van már rá módszer.
    Bank, és csak SMS: esetleg megéri venni egy friss számot (szinte minden dualsim ma már) és nem a 20 éves, eddig mindenhol használt és szivágott, szivárogtatott telefonszámot használni rá.
    stb stb stb

    (Újra le kellett írnom, hogy át is gondoljam, és leegyszerűsítsem:)
    Akadályozd azt, hogy más hozzáférjen vagy bejusson a dolgaidba, de tégy azért, hogy te a lehető legnagyobb valószínűséggel bejuss/hozzáférj, ha baj van! Napi használat esetére 1-2 számodra könnyítő/könnyebb megoldás megengedett!

    // #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //

Új hozzászólás Aktív témák