Two factor auth - czy każdy hosting powinien to wprowadzić?

[Konrad Z. 1]

Zapoczątkowałem dzisiaj na forum dyskusję dotyczącą braku two factor auth w wielu firmach:

http://www.webhostingtalk.pl/topic/51682-dyskusja-blazingfastio/?p=451219

 

Chciałbym to kontynuować ponieważ temat jest ciekawy. Osobiście uważam, że nie jest to "feature", a standard. Dowiedziałem się, że technologie z tym związane są uzależnione od innych firm i lepiej w ogóle tego nie mieć. Chciałbym jednak zacytować moją wypowiedź z tamtego tematu:

 

Sprawdziłem jednak implementację google authenticatora dla PHP i aplikacja weryfikująca kod nie odwołuje się nigdzie do serwera Google. Kod jest obliczany tylko i wyłącznie na podstawie czasu i klucza. Wydaje mi się, że nie robi tego również klient generujący kody dla Androida. W związku z tym żadne dane o tym kiedy i gdzie ta metoda była użyta nie są przesyłane do Google. Co więcej, standard jest otwarty i każdy może sam sobie to zaimplementować: https://tools.ietf.org/html/rfc6238

 

Co o tym sądzicie? Czy two factor zwiększa bezpieczeństwo i warto implementować to rozwiązanie w swoich systemach? Jakie mogą być wady i zalety?

Edytowano Listopad 7, 2015 przez Konrad Z. (zobacz historię edycji)

[bybunny 540]

Osobiście jestem przeciwny ponieważ w dużej mierze fakt odpowiedzialności spada na klienta/użytkownika w odniesieniu do przechowywania takich danych jak hasło. Dla wielu jest to dodatkowe utrudnienie. Inaczej to wygląda jeżeli takie zabezpieczenie ma chronić strefę która może mieć bardziej szeroki wpływ na ludzkie życie. W kontekście bezpieczeństwa nasuwa się kolejne pytanie kiedy zakres bezpieczeństwa się zaczyna a kiedy kończy. I na jaki rodzaj wieloetapowego zabezpieczenia skazujemy siebie samych. Telefony posiadają system operacyjny więc praktycznie można uzyskać dostęp do samej aplikacji, ale również do poczty i całej reszty. Aplikacje natomiast stanowią integralną część systemu operacyjnego który w różny sposób wysyła informacje na temat stanu samego telefonu jak i elementów dodatkowych. Pytanie na ile jest to śledzone i w jakim stopniu sprawia że coś co ma mieć formę zabezpieczenia jest otwarte dla pewnej grupy docelowej.

Ciekawie zostało zadane pytanie tu: http://lifehacker.com/5938565/heres-everywhere-you-should-enable-two-factor-authentication-right-now

 

Uważam że temat jest ciekawy. Kawa gotowa

 

 

[blfr 225]

Oczywiście, szczególnie jeśli pełni funkcję registrara albo hostuje maila. Przejęcie kontroli nad domeną albo kontem pocztowym pozwala zresetować hasła wszędzie i bardzo skutecznie podszyć się pod użytkownika.

 

Googlowy klient nie wymaga w ogóle połączenia z Internetem, możesz go zainstalować na starym telefonie, który na stałe trzymasz w trybie airplane. Jest też opensource i implementuje standard. Ale są inne aplikacje, które ułatwiają zarządzanie tokenami. Tego wyboru powinien dokonać użytkownik.

Edytowano Listopad 7, 2015 przez blfr (zobacz historię edycji)

[bybunny 540]

Czyli uważasz że jest to element niezbędny? Ok, gdzie jest więc rola samego użytkownika końcowego i kwestia dobrego hasła? Skoro jesteśmy przy bezpieczeństwie może powinniśmy poruszyć również kwestię związana właśnie z samym hasłem. Od tego warto chyba zacząć.

[blfr 225]

Oczywiście, że warto mieć mocne hasło, aktualizować system, przeglądarkę odpalać w maszynie wirtualnej, czy co tam kto uważa za stosowne, ale TFA nie pozwoli na całkowite przejęcie kontroli nad kontem nawet atakującemu, któremu uda się włamać na końcowe urządzenie użytkownika. Musi dodatkowo dobrać się do komórki czy tokenu, co wielokrotnie zwiększa poziom trudności ataku.

 

Hasła SMS-owe w banku pozwalają na jeszcze więcej: użytkownik dostaje informację o szczegółach transakcji niezależnym kanałem.

[kafi 2425]

Jako ficzer dla paranoidalnych świadomych użytkowników hostingowych może być.

Jako obowiązek niekoniecznie. W środowisku hostingowym jest zbyt dużo sytuacji wielodostępu do panelu administracyjnego.

Ot np. - udostępnić konto programiście, developerowi... lub po prostu kilka osób w różnych działach firmy.

A jednym z głównych założeń jest to, że użytkownik posiada JEDEN generator tokenów, który nosi zawsze przy sobie.

 

Do tego dochodzi cała zabawa związana z helpdeskiem - zapomniałem hasła i tokenu.

[blfr 225]

Jeśli dajesz komuś dostęp do swojego konta, to powinieneś dla niego stworzyć subkonto i wydelegować część uprawnień, a nie podawać swoje hasło. To prawda, że wiele mniejszych hostingów nie daje takiej możliwości, ale one zwyczajnie nie nadają się dla dużych firm z tego typu potrzebami.

[Rolej 58]

Osobiście jestem użytkownikiem i zwolennikiem TFA. Korzystam z tego czy to na serwerach swoich czy w gdzieniegdzie w panelach, gdzie mam swoje dane osobowe i dane, które nie powinny ujrzeć światła dziennego. Jednak są pewne "ale" tego rozwiązania.

 

1. W momencie zagubienia telefonu (bądźmy szczerzy - większość [a nawet 99%] osób nosi telefony z tokenami przy sobie) jesteśmy pozbawieni dostępu. Zwłaszcza, jeżeli ktoś przyjął tezę, że nie potrzebuje kodów zapasowych i nie zrobił ich kopii.

2. Jest to niewygodne rozwiązanie w przypadku, gdy współdzielimy jakieś konto a token jest jeden (uwierzcie, są takie przypadki). TFA wtedy pomimo tego, że zabezpiecza to utrudnia życie bo co chwile - "daj szybko tokena".

 

Ja jako administrator sobie chwalę TFA, jednak wolę pozostać przy kluczach RSA. Jako użytkownik - dobre rozwiązanie, ale czasem uporczywe.

[blfr 225]

1. W momencie zagubienia telefonu (bądźmy szczerzy - większość [a nawet 99%] osób nosi telefony z tokenami przy sobie) jesteśmy pozbawieni dostępu. Zwłaszcza, jeżeli ktoś przyjął tezę, że nie potrzebuje kodów zapasowych i nie zrobił ich kopii.

To źle przyjął. Od Google do OVH: praktycznie wszyscy pozwalają wygenerować kody zapasowe, które można przechowywać oddzielnie od telefonu.

 

2. Jest to niewygodne rozwiązanie w przypadku, gdy współdzielimy jakieś konto a token jest jeden (uwierzcie, są takie przypadki). TFA wtedy pomimo tego, że zabezpiecza to utrudnia życie bo co chwile - "daj szybko tokena".

Trochę trzeba pokombinować, ale token można mieć na kilku urządzeniach. Nadal jednak lepiej byłoby nadać dwóm kontom odpowiednie uprawnienia dostępu zamiast współdzielić jedno.

[Rolej 58]

A jeszcze w gestii TFA - Google Auth współdziała z kluczami SSH?

[regdos 1848]

BTW, nie wiem czy zauważyliście ale Direct Admin od wersji 1.481 wspiera taką dwuetapową autentykację podczas logowania do panelu z możliwością wygenerowania kodów zapasowych.

[Pan Kot 1535]

TFA skutecznie niweluje efekt wycieku, odgadnięcia czy przechwycenia hasła, a także gdzieniegdzie ataków socjotechnicznych. Nie jestem zwolennikiem tworzenia 9 różnych metod potwierdzenia tożsamości, przyłożenia dwóch rąk do czytnika i klaśnięcia odpowiednim kodem, ale uważam że pojedyncze hasło nie jest w jakikolwiek sposób bezpieczne, a dodanie dodatkowego potwierdzenia tokenem czy kodem sms jest bardzo wskazane, tym bardziej że opcja z tokenem nie kosztuje nic poza czasem programisty.

 

Jak dla mnie jest to obowiązek każdej firmy świadczącej usługi hostingowe do ZAOFEROWANIA takiej możliwości w swoim panelu klienta, i o ile nadal mnie nie dziwi że ogromn usług z których korzystam nie ma TFA (a powinno w moim mniemaniu mieć), o tyle jestem pozytywnie zaskoczony usługami, do których dużej wagi nie przywiązuje, a ww. TFA posiadają.

 

Z racji jednak, że mówimy stricte o hostingu - tak, uważam że każda firma podchodząca poważnie do tematu bezpieczeństwa powinna udostępniać mechanizm TFA.

[blfr 225]

A jeszcze w gestii TFA - Google Auth współdziała z kluczami SSH?

Wygląda na to, że tak, ale tylko jeśli nie pozwolisz na używanie haseł (co nie jest złym pomysłem). Przy czym klucz sam zapewnia 2FA (czy może 1,5FA), bo możesz go zaszyfrować.

[Rolej 58]

Wygląda na to, że tak, ale tylko jeśli nie pozwolisz na używanie haseł (co nie jest złym pomysłem). Przy czym klucz sam zapewnia 2FA (czy może 1,5FA), bo możesz go zaszyfrować.

Szyfrowanie klucza oczywiście używam (każdy klucz, który generuje mam zaszyfrowany) jednak wiadomo... ciekawość ludzka granic nie zna a kiedyś a nóż widelec się przyda jeszcze coś