» »

MFA in zaklep samega sebe

MFA in zaklep samega sebe

Kapitan Jack ::

Odkar je prisel v igro SMS TAN in kasneje MFA, je vse skupaj postalo malo komplicirano za pravilen management gesel in MFA-jev.

Povem en primer, ki ga sedaj poskusam resiti.
Zena je imela na svojem Samsung Galaxyiju telefonu registriran Samsung Account. Danes sem ji naredil smart switch na novi telefon in hotel zradirat tastar. Gesla ni vedela, zato sem ga resetiral in to je slo. Potem je pa povprasal po avtentikaciji in tu je bila nastavljena njena stara cifra. Seveda ta cifra ne obstaja, kot tudi recovery keys.

Pac tu ni nic hudega. Naredil ji bom nov account za nov telefon, tastarega bom ze factory resetiral na drug nacin.

Ampak bolj me je zaskrbelo, da je pri meni podobno in dejansko je bilo to res. Prijavil sem se v samsung account in zahteval je potrditev na Samsung telefonu. To sem naredil, ker imam vse nastavljeno, ampak vprasal sem se, kako za vraga naj bi kao najdel s funkcijo "Find my phone", ce bi dejansko izgubil telefon. Kako bi lahko sploh kaj potrdil? Cifra bi bila izgubljena, telefon tudi, vsi MFA-ji tudi.

V svojem keepasu sem gledal in tudi jaz nimam nobenih recovery kljucev. Nic se ni zgodilo, ampak vidim, da si moram vse skupaj malo bolje nastimati zadevo.

Jaz sedaj vidim takole:
1.) Pregledati vse racune, kjer imam MFA vklopljen in poskrbeti za recovery kljuce in le te shraniti v nov, poseben keepas file.
2.) Na Samsung Accountu izklopiti MFA ali kupiti neko novo cifro in jo imeti v nekem telefonu kot rezervo

Sedaj imam nek keepass file, kateri master password mi je poznan in le ta je shranjen v google drive ter lokalno na disku.

MFA-ji so mi v Authyiju shranjeni, katere ce zelim delati restore, moram potrditi z SMS-om, ter z geslom.

Skratka sama zmesnjava.
Kako vi managirate zadevo?

kriptobog ::

Authenticator app, ki je backupiran v icloud. Apple id mfa pa ni vezan na telefonsko stevilko in se mfa preverja s kodo, ki je poslana na katerikoli drug apple device, ki je povezan s tem apple idjem in ima dostop do interneta (drugi telefon, macbook, mac pro, ipad, watch). Imam pa za vse vnose tudi recovery key za vsak slucaj.

Kapitan Jack ::

Evo ocitno se na https://smartthingsfind.samsung.com/ da prijaviti samo z email in geslom, ter tudi zakleniti telefon. Recimo wipe ne gre in me vrze na tisto varijanto s potrditvijo preko telefonske stevilke.

Ne bom pametoval, ampak, ko zgubim telefon zgubim tudi telefonsko stevilko. Sicer ne vem kako je z e-sim. Najbrz lahko staro sim zaklenem in si isto cifro pridobim na nov telefon?

Ce ja, potem je pol stvari ze resenih.

Kapitan Jack ::

Vse vec in vec ugotovitev, ko sem se poglobil v tole temo.

Testiram scenarijo, kjer sem izgubil telefon in nimam dostopa do svoje stevilke.

Zelim se loginati do keepassa, ki je v google drive, ampak ne morem, ker nimam MFA-ja, nimam stevilke, recovery backup codes so pa v keepasu shranjeni, do katerega pa nimam dostop, ker sem na dopustu, kjer sem izgubil telefon.

In kaj se je zgodilo. Hotel sem uporabiti moznost recovery e-mail naslova, ki je pri protonmailu in glej ga zlomka, kaj se je zgodilo. Poslal mi je verfication code na "moj" naslov. Ubistu imam ime.priimek@gmail.com in on mi je poslal na imepriimek@gmail.com (torej brez pike) ta verification. Skratka 2 WTF-ja sta tu. Eden, ki je poslal kodo na popolnoma drug naslo, ki ni moj recovery naslov, drug WTF je pa da ta naslov, ki je brez pike, ocitno pripada meni, ker sem ga lahko odprl v svojem ime.priimek@gmail.com gmail accountu.

V tem primeru rastura reset e-SIM pri operaterju, da lahko pridobim novo e-SIM. Ampak nimam pa PUK-a, ker je shranjen v keepasu, do katerega pa nimam dostopa.

Torej moram optimizirati tole vse skupaj, ampak ne vem kako. Edino kar lahko naredim je, da dam ta keepass nekam izven googla in do njega lahko pristopam samo z geslom, brez MFA-ja in/ali SMS kod. Ko imam pristop do KeePassa, imam dejansko pristop tudi svojemu gmailu. Ko imam ze tam pristop, pa je pol stvari reseno.

starfotr ::

Kapitan Jack ::

starfotr je izjavil:

Glede gmaila si preberi:

https://support.google.com/mail/answer/...

in recimo še tole:
https://gmail.googleblog.com/2008/03/2-...

Okej, nisem vedel. Hvala ti. Sedaj samo se ugotoviti, zakaj ne vzame protonmaila kot recovery naslova. Ce bi to delovalo tako kot treba, sem na konju.

A Google odgovarja na support vprasanja? Da jim posljem tiket, da pogledajo kaj je narobe. S protonom sem naredil verifikacijo in obojestransko sta nastavljena kot recovery.

kriptobog ::

kaj pa, da imas namesto stevilke mfa z google authenticator appom? app se pa backupira v cloud? Sicer potem rabis vec naprav z appom. Ali pa moznost preverjanja prisotnosti preko druge naprave, ki je povezana z istim racunom? Verjetno ima tudi google kaj takega? Pri applu to res vrhunsko deluje. Dvomim, da google ne bi imel iste fore.

RedDrake ::

Pred nekaj tedni sem za potrebe nekega GSM modema kupil novo predplačniško simko pri telekomu.
Načeloma zadeva samo čaka na klic in pošilja sms-e, po potrebi.
Danes sem se v modem ročno prijavil in s terminalom pogledal stanje.
Našel 7 sms-ov gor, od AirAsia, ko se je nekdo poskušal prijaviti v member account.
MFA preko tel. številke je še večji fail kot MFA na splošno ...

Kapitan Jack ::

kriptobog je izjavil:

kaj pa, da imas namesto stevilke mfa z google authenticator appom? app se pa backupira v cloud? Sicer potem rabis vec naprav z appom. Ali pa moznost preverjanja prisotnosti preko druge naprave, ki je povezana z istim racunom? Verjetno ima tudi google kaj takega? Pri applu to res vrhunsko deluje. Dvomim, da google ne bi imel iste fore.

To ze imam. Uporabljam Authy in tu mam vse MFA-je blokirane. Ampak, da naredim "restore" Authy rabim telefonsko stevilko. Ker on najprej te vprasa po cifri, jo vneses, poslje SMS, vneses kodo, dobis svoje MFA-je ven, sicer kriptirano, potem pa uporabis se svoje master geslo in vidis vse.

To recimo bi slo, ko bi nekako na drugem telefonu uspel pridobiti nazaj e-sim. Spet e-sim moj operater resi v parih minutah, ampak rabim QR kodo, ki pa jo poslje na gmail, kjer pa spet nimam dostopa.

Jaz vidim samo v resitvi, eno oring geslo na nekem racunu in to je to. Brez MFA-ja, brez vse te dodatne zascite. Drugace je slej ko prej lockout.

kriptobog ::

Kapitan Jack je izjavil:

kriptobog je izjavil:

kaj pa, da imas namesto stevilke mfa z google authenticator appom? app se pa backupira v cloud? Sicer potem rabis vec naprav z appom. Ali pa moznost preverjanja prisotnosti preko druge naprave, ki je povezana z istim racunom? Verjetno ima tudi google kaj takega? Pri applu to res vrhunsko deluje. Dvomim, da google ne bi imel iste fore.

To ze imam. Uporabljam Authy in tu mam vse MFA-je blokirane. Ampak, da naredim "restore" Authy rabim telefonsko stevilko. Ker on najprej te vprasa po cifri, jo vneses, poslje SMS, vneses kodo, dobis svoje MFA-je ven, sicer kriptirano, potem pa uporabis se svoje master geslo in vidis vse.

To recimo bi slo, ko bi nekako na drugem telefonu uspel pridobiti nazaj e-sim. Spet e-sim moj operater resi v parih minutah, ampak rabim QR kodo, ki pa jo poslje na gmail, kjer pa spet nimam dostopa.

Jaz vidim samo v resitvi, eno oring geslo na nekem racunu in to je to. Brez MFA-ja, brez vse te dodatne zascite. Drugace je slej ko prej lockout.


Ja prestavi mfa v drug authenticator app, ki se sinka v nek normalen cloud, kjer lahko prisotnost preverjas z drugo napravo kjer si prijalvjen z istim racunom. Meni to funkcionira ze znj let in nikoli tezav

energetik ::

Kapitan Jack je izjavil:

kriptobog je izjavil:

kaj pa, da imas namesto stevilke mfa z google authenticator appom? app se pa backupira v cloud? Sicer potem rabis vec naprav z appom. Ali pa moznost preverjanja prisotnosti preko druge naprave, ki je povezana z istim racunom? Verjetno ima tudi google kaj takega? Pri applu to res vrhunsko deluje. Dvomim, da google ne bi imel iste fore.

To ze imam. Uporabljam Authy in tu mam vse MFA-je blokirane. Ampak, da naredim "restore" Authy rabim telefonsko stevilko. Ker on najprej te vprasa po cifri, jo vneses, poslje SMS, vneses kodo, dobis svoje MFA-je ven, sicer kriptirano, potem pa uporabis se svoje master geslo in vidis vse.

To recimo bi slo, ko bi nekako na drugem telefonu uspel pridobiti nazaj e-sim. Spet e-sim moj operater resi v parih minutah, ampak rabim QR kodo, ki pa jo poslje na gmail, kjer pa spet nimam dostopa.

Jaz vidim samo v resitvi, eno oring geslo na nekem racunu in to je to. Brez MFA-ja, brez vse te dodatne zascite. Drugace je slej ko prej lockout.
Ne kompliciraj. Uporabljaj en pasword manager, kjer imaš zapisane tudi vse kode za vse 2FA račune. Pass. manager pa mora biti dostopen vedno.
Torej kako imam jaz - uporabljam Bitwarden z močnim master passwordom in 2FA. Ta password in kodo za 2FA imam vgravirano v jekleno ploščico in spravljeno doma na varnem mestu. Tudi če pozabim pass in izgubim telefon, bom lahko prišel do svojega Bitwardena.
Tam notri pa imam vse ostale 2FA kode in gesla.
Za restore Authyja ne rabiš nobenega backupa, ker imaš vse kode za nastavitev v svojem pass. managerju. Aja, pa raje uporabljaj odprtokodnega Aegisa za TOTP generator.
vires in numeris

Kapitan Jack ::

@energetik
Mogoce se slisi komplicirano, ker veliko napisem, ampak to imeti doma je enako kot bi rekel, imam doma svoj keepass file na racunalniku. Ampak jaz sem podal scenarij. Sem na dopustu in sem popusil vse.

Ce bi se kaj podobnega doma zgodilo, pac pridem domov, uporabim master password za svoj password manager in vzamem backup kode in to je to.

energetik ::

Če si na dopustu, ne rabiš nič, počakaš da prideš domov :))

Sicer pa - napišeš si master password in 2FA kodo na listek in imaš v denarnici. Kakšna je verjetnost, da bo naključni tat denarnice vedel, kaj so te čačke na papirju?
Za moj Bitwarden bi to zgledalo nekako takole: :D
omega expel panhandle sulfur resilient retired gnat dilute
T6FYJG7JBCSL5HUW4HTUCG49HWSVWG

Za hekerje pa je nedostopno.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

energetik ::

Oziroma še bolje, napišeš si samo kodo za 2FA, ker verjetnost da boš popušil telefon in hkrati še pozabil masterpass za tvoj password manager, je precej neverjetna. V tem primeru imajo Bitwarden, Lastpass in podobni prednost pred Keepassom, ker do njih dostopaš kjerkoli imaš zgolj internet. Za Keepass rabiš pa najprej prijavo v tvoj oblak, kjer je Keepass fajl.
vires in numeris

Kapitan Jack ::

Okej, torej prva stvar, katero bom danes naredil je prenos Keepass podatkov v Bitwarden. Torej, ce te prav razumem, se v Bitwarden prijavljas s svojim master geslom ter z MFA-jem?

V primeru izgube authenticatorja pa imas neko master kodo za 2FA? To bi lahko pohitrilo restore na dopustu. En listek v avtomobil, drug pa v denarnici npr.

energetik ::

Tako je, za Bitwarden rabiš master in pa kodo 2FA. Ista 2FA koda deluje v kateremkoli autentikatorju, od Googla do Aegis ali Authyja, preverjeno. Ker vsi delajo isto, če se ne motim vzamejo izvorno kodo + Unix čas, pa naredijo SHA-1 čez to.

Ja, 1 v avtu 1 v denarnici je dobra ideja. Itak pa master ponavadi veš na pamet. Paziti moraš le, da greš to počet na varno napravo. Kar pa je na dopustu kvečjemu tvoj telefon.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

Kapitan Jack ::

A se da v Bitwardena kako exportirati tudi datoteke iz Keepassa?

Tilen ::

Kapitan Jack je izjavil:


Ne bom pametoval, ampak, ko zgubim telefon zgubim tudi telefonsko stevilko. Sicer ne vem kako je z e-sim. Najbrz lahko staro sim zaklenem in si isto cifro pridobim na nov telefon?


V primeru ponudnika re:do si na nov telefon namestiš aplikacijo, se prijaviš v sistem in namestiš nov e-sim z enako številko. 2FA potrdiš preko e-mail ali SMS.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

energetik ::

Kapitan Jack je izjavil:

A se da v Bitwardena kako exportirati tudi datoteke iz Keepassa?

Skoraj zihr se da, vsaj preko CSV ali XML. V to smer nisem šel, delam pa redno backupe iz Bitwardena v Keepass.
Karkoli že delaš, delaj na varnem PC in počisti za sabo (disk, RAM). Najbolje je kar začasno mountat Veracrypt kontejner in vanj izvozit CSV iz Keepass. Ko vse zrihtaš, izbrišeš kontejner, resetiraš PC in je načeloma varno.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

Kapitan Jack ::

Ce koga se zanima glede Samsung Accounta best practice. Najbrz nic novega, ampak jaz sem ga sedaj izklopil iz google accounta, dodal email naslov in geslo, dodal mu authenticator, kateri se bo bakupiral na Authy. Dodal sem mu tudi dodatno telefonsko stevilko, ki je aktivna na drugem GSM-u.

Igral sem se s testnim scenarijem in deluje vse. Full erase data deluje top. Plus kar mi je vsec je "Lock" opcija, kjer tudi ce bi nekdo dobil pin ali ga uganil oziroma bi mu ga stric z nebes dal, mu z Lock lahko spremenim PIN in tako prepovem ponovni login plus tudi telefona ne more ugasniti.

Testiral sem tudi Bitdefenderjevo varijanto in deluje podobno. Pri bitdefenderju mi je cool, da mu lahko nastavis, da v kolikor "napadalec" poskusa 3x ali x krat pac kolikor mu ti poves, vpisati napacen film, da se aktivira selfi kamera in ti poslje sliko v cloud. :) Testiral in deluje, slika je res top. Mogoce bi npr. to lahko pomagalo pri iskanju storilca, ce bi se ga prijavilo na policijo. Sicer ne vem kaj bi si s to sliko lahko pomagal.

Malce se nagibam k temu bitdefenderju. 50 tak bi bil za premium varijanto letno, pa lahko bi instaliral na 10 devices. Pa VPN pride zraven, ter njihov password management. Kaj pa vem.

Saul Goodman ::

neumnost. ne uporabljaš password managerja, ki si ga dobil zravn pralnega praška, ampak tistega, ki je preverjeno dobra rešitev. med oprtokodnimi cross-platform je to bitwarden.

napasi ::

kriptobog je izjavil:

Authenticator app, ki je backupiran v icloud. Apple id mfa pa ni vezan na telefonsko stevilko in se mfa preverja s kodo, ki je poslana na katerikoli drug apple device, ki je povezan s tem apple idjem in ima dostop do interneta (drugi telefon, macbook, mac pro, ipad, watch). Imam pa za vse vnose tudi recovery key za vsak slucaj.
]

Zdravo če veš tudi glede Smart Switcha, na računalniku pred mesecem sem naredil kopijo telefona (naj bi bil pogoj za vpis gesla pa sem ga pozabil sedaj pa je bil telefon ponastavljen na tovarniške nastavitve in sem hotel nazaj posneti kar je bilo shranjeno p< ker sem pozabil kakšno geslo sem vpisal seveda ne gre.
Na Samsung ni nobene pomoči tudi tisti ki se pojavi v klepetalnici nič nimajo pojma. Sem poizkusil 3x in zmeraj dobil drugo osebo pa sem pri enem ko sem povedaj za kaj gre je mislim da poizkusil malo pri njih povprašat, pa ni vedel nobeden če sploh obstaja možnost za rešitev gesla. Ali ti ali kdo ve kako to rešiti da lahko nazaj naložiš v telefon.
Lp


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Oddelek: Novice / Varnost
4711028 (2585) Mr.B
»

Microsoft Authenticator - zamenjal telefon

Oddelek: Programska oprema
61014 (719) WizzardOfOZ
»

YubiKey in 2nd Factor Authentication

Oddelek: Informacijska varnost
375985 (1932) Matija82
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7020567 (16886) SeMiNeSanja

Več podobnih tem