<<< Archiválás felhőbe 

Második faktor mentés2024-08-20

Célszerű úgy beállítani a webes szolgáltatásokat, hogy belépéskor ne csak jelszót kérjenek tőlünk, hanem a jelszó mellett egy második faktort is ellenőrizzenek. Legtöbbször egy mobilon kapott vagy generált kódot kell megadnunk, így aki be akar lépni, annak nem elég ismernie a jelszavunkat, nála kell, hogy legyen a mobilunk is.

Korábban írtam róla, hogy SMS-ben kapott kód viszonylag gyenge megoldás, mert az SMS-ek viszonylag könnyen eltéríthetőek, autentikátor appokat, köztük a Google Authenticatort javasoltam. Egész addig nagyon boldog is voltam a Google Authenticatorral, amíg egyszer össze nem tört a telefonom. (Frissítés: időközben ez változott, lásd e cikk végét.) Azt hittem, a Google Authenticator a Google fiókomban tartja a seedet, amely segítségével a belépési kódokat generálja -- de nem így működik. A belépési kódokat generáló seed a telefonon van, és ha a telefon megsemmisül, akkor többet senki nem tud belépési kódot generálni. (Vajon miért kizárólag a telefonon tartja a seedeket? Azért, hogy ne vádolhassák a Google-t, hogy túl sok infót gyűjt össze rólunk?) Végig kellett mennem az összes szolgáltatáson, ahol Google Authenticatort használtam, és valahogy rá kellett vennem őket, hogy engedjenek be másképp. Nem mindig volt egyszerű. :)

Tanulság: Menteni kell az autentikátor app seedeit, különben csúnyán kizárhatom magam mindenhonnan. Google Authenticatorral az első bejelentkezéskor megadott seedeket kellen menteni, és ez macerás. Arra jutottam, jobb másik autentikátor appot használni.

Egyik megoldás az Authy. (Előnye, hogy PC-n is fut, így ott is tudok kódokat generálni, de ez egyúttal hátrány is; a PC-n futó Authy tartalmát úgy gondolom, túl könnyen lemásolhatja valaki, ha hozzáfér a PC-mhez vagy esetleg feltöri.)

Másik megoldás a FreeOTP. Ugyanazt a TOPT szabványt valósítja meg, mint a Google Authenticator és az Authy, csak nyílt forráskódú alkalmazás, és könnyen exportálhatóak belőle a seedek.

Ismerek olyat is, aki a Bitwarden-re esküszik, ez egy online cucc, egyszerre jelszókezelő és második faktort generáló autentikátor, tehát ő tudja intézni a bejelentkezés összes lépését. Ez előny is és hátrány is egyszerre.

Lényeg, hogy mentsük az autentikátor appunk seedjeit, különben alaposan pórul járhatunk!

Frissítés (2024-08-25):

A következő olvasói visszajelzéseket kaptam időközben:

  • A Google Authenticatorban régen valóban offline volt minden seed, de időközben (2023 óta) már képes szinkronizálni a seedeket a Google fiókba, de ezt be kell kapcsolni (megkérdezi, hogy menetse-e a seedeket).

    Így választhatunk, milyen Authenticatort szeretnénk: aminek külön menteni kell a seedjeit, vagy ahol a Google Nagy Testvér funkciója megoldja helyettünk a mentést. Azt javaslom, hogy aki autentikátor appot használ, az mindenképp intézzen hozzá valamilyen mentést.

  • További autentikátor eszközök, amelyek mentik a seedjüket pl. a 2FAS (amely szintén open source, és van böngésző-pluginje) és a Passbolt (ez utóbbi inkább nagycéges megoldás).

Nagyon szépen köszönöm! :)

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.