Google: Tvangs­innføring av «tofaktor» førte til halvering i konto­innbrudd

[Harald Brombach (digi.no)]

Google: Tvangs­innføring av «tofaktor» førte til halvering i konto­innbrudd

[oppat]

...og doblet antallet mennesker uten tilgang til sin konto.

[jyggo]

oppat skrev (6 timer siden):

...og doblet antallet mennesker uten tilgang til sin konto.

Kanskje det er på tide at de som nekter å lære seg å bruke tofaktor lærer seg det på den harde måten?

[oppat]

1 hour ago, jyggo said:

Kanskje det er på tide at de som nekter å lære seg å bruke tofaktor lærer seg det på den harde måten?

Det er vel ikke mangelen på å forstå tofaktor som er problemet.  Det er nok mangelen på tilgang når tofaktor-dingsen er borte.   Hvis man optimaliserer på å hindre konto-innbrudd så kan man selvfølgelig få det til ved å hindre alle tilgang til sine kontoer.

Endret 10. februar 2022 av oppat

[The Avatar]

To faktor er nyttig i mange samanhengar, men det er ei utfordring at ein blir veldig avhengig av å heile tida ha tilgang til den rette dingsen, oftast mobiltelefonen. Sjølv om ein har to-faktor via biometri så må ein ofte likevel gå via mobiltelefonen sin for å registrere biometrien.

Ei anna utfordring er at sjølv om to-faktor er langt sikrare totalt sett så er det ein stor sikkerheitsrisiko at dersom uvedkommande får tilgang til din opplåste mobiltelefon så har dei tilgangar til to-faktor autentisering på omtrent alle kontoane dine, samt tilgang til å resette det meste av passord ettersom ein gjennom mobiltelefonen har kontroll på både epost og SMS.

[digimator]

6 minutes ago, oppat said:

Det er nok mangelen på tilgang når tofaktor-dingsen er borte. 

Ettersom eit av alternativene er SMS, så vil eg anta at det er eit forsvinnande mindretall (om noen) som har problemer med at "tofaktor-dingsen er borte".

[digimator]

2 minutes ago, The Avatar said:

To faktor er nyttig i mange samanhengar, men det er ei utfordring at ein blir veldig avhengig av å heile tida ha tilgang til den rette dingsen, oftast mobiltelefonen.

Ettersom dei fleste vel brukar mobiltelefonen til mange av desse tenestene, så blir det rart om det er eit problem at ein må ha mobiltelefonen for å bekrefta tofaktor.

[oppat]

28 minutes ago, digimator said:

Ettersom dei fleste vel brukar mobiltelefonen til mange av desse tenestene, så blir det rart om det er eit problem at ein må ha mobiltelefonen for å bekrefta tofaktor.

Ja det fungerer utmerket.  Fram til den dagen telefonen er borte.

[digimator]

2 hours ago, oppat said:

Ja det fungerer utmerket.  Fram til den dagen telefonen er borte.

Men er då hovedproblemet at telefonen er borte, eller at du ikkje kan få tofaktorskodar til appar på telefonen (som er borte)?

[jyggo]

oppat skrev (4 timer siden):

Det er vel ikke mangelen på å forstå tofaktor som er problemet.  Det er nok mangelen på tilgang når tofaktor-dingsen er borte.   Hvis man optimaliserer på å hindre konto-innbrudd så kan man selvfølgelig få det til ved å hindre alle tilgang til sine kontoer.

Dette finnes det flere løsninger på, alt fra synkede tofaktorapper (som Authy), til gjenopprettingskoder (du vet, de du blir bedt om å printe ut eller skrive ned hver gang du aktiverer tofaktor med app), og for de som bruker tofaktor i jobbsystemer er det jo bare å henvende seg til internsupport/admin om man skulle være så uheldig å kuke til tofaktoroppsettet.