Mener de har funnet løsningen på en passordfri hverdag

[Bing123]

5 minutes ago, henrikwl said:

OTP-apper jeg har brukt de senere årene har alle sammen hatt funksjonalitet hvor de bruker økosystemets (om det er Apple eller Android) eksisterende backup-rammeverk til å gjøre det mulig å gjenopprette alle kodene når man bytter enhet. Det er gjort med et tastetrykk, og oppleves ikke knotete i det hele tatt.

Mulig Apple har noe, men Authenticator på Android har ikke backup, du må lage backupen selv. Dersom du har din gamle telefon tilgjengelig (som ikke var det vi snakket om) kan du skanne QR-koder med ny telefon på den gamle. Alternativet er å lage din egen backup av QR-kodene eller frasene hver gang du oppretter ny OTP. 

passord-managere er et nødvendig onde så lenge mange nettsteder bare tilbyr passord som sikkerhetsmekanisme. Ikke særlig trygt så lenge det synces i skyen, uavhengig av om de kaller det et "hvelv" eller ikke. De har blitt hacket, de vil bli hacket, de har sårbarheter som all software og eksponerer plutselig passordene uten viten fra eieren osv.
Men for lite viktige kontoer kan det selvsagt brukes for beleielighet, er ikke så krise om noen hacker en forumbruker som feks diskusjon.no.
Men å blande OTP inn i passord-manager da kan det knapt kalles 2-faktor lengre, da en hacker får taki både passord og OTP på samme sted. 

[henrikwl]

atlemag skrev (1 minutt siden):

Ikke særlig trygt så lenge det synces i skyen, uavhengig av om de kaller det et "hvelv" eller ikke.

Her forsvinner det nyanser igjen. Du kan ikke bare si «skyen er ikke trygt» og dermed på magisk vis invalidere enhver sikkerhetsløsning som belager seg på skyen. Like lite som du kan si «hardware-basert er sikkert» og dermed fullstendig ignorere alle ulempene ved det.

Dersom 1Passwords servere blir hacket, så sitter hackerne med en diger blob med krypterte data som de ikke får dekryptert, da privatnøkklene befinner seg hos den enkelte bruker. Det er selvsagt en teoretisk mulighet for at noen av krypteringsalgoritmene brukt har svakheter eller blir knekket, men de bruker godt utprøvde industristandarder så i den grad man kan stole på noen kryptering som helst så er ikke skybaserte passordhåndterere noe som trengs å avskrives med en gang på den måten du gjør.

Å ha OTP-generatoren sammen med passordene representerer en svekkelse av sikkerheten, men en drastisk økning i brukervennlighet i det OTP-kodene kan limes rett inn i webskjemaet på samme måte som passordet gjør. Det kan fint være en akseptabel tradeoff for den individuelle bruker for å slippe å måtte frem med OTP-appen hver gang de skal logge inn et sted.

Får hackeren tak i passordene i passordhåndtereren så har de sannsynligvis også fått tak i mobilen eller laptoppen din og da er du allerede kompromittert.

[kjetilkl]

17 hours ago, Slakter Hansen said:

Jeg ville ønsket meg ei klokke med den funksjonen.

 

Den har man tilgjengelig hele tiden.

??? Er det noen som bruker klokke lenger?

[Bing123]

20 hours ago, henrikwl said:

Dersom 1Passwords servere blir hacket, så sitter hackerne med en diger blob med krypterte data som de ikke får dekryptert

Da kommer du over til et annet tema som er ekstremt knotete.
Dersom det er du som skal ha full kontroll med krypteringen på dine nøkler så må du holde krypteringsnøkkelen selv som du sier, hvordan passer du på at du ikke mister krypteringsnøklene som ligger på en lokal enhet?

Endret 24. mars 2022 av atlemag
skriveleif

[henrikwl]

atlemag skrev (1 time siden):

Da kommer du over til et annet tema som er ekstremt knotete.
Dersom det er du som skal ha full kontroll med krypteringen på dine nøkler så må du holde krypteringsnøkkelen selv som du sier, hvordan passer du på at du ikke mister krypteringsnøklene som ligger på en lokal enhet?

For det første så er alle data synkronisert på tvers av enheter, så i stedet for å manuelt skrive inn nøkkelen hver gang man setter opp en ny enhet så kan man scanne en QR-kode fra en allerede autentisert og opplåst enhet.

I tillegg blir man til det kjedsommelige oppfordret til å skrive ut et recovery-sheet, som er et ark med nøkkelen både i QR-form og i ren tekst, som man kan bruke hvis man skulle miste absolutt alle sine enheter og måtte få tilgang til hvelvet sitt helt på nytt. Å ha kopier av dette ligende i safen, i en bankboks og hos foreldre eller annen slekt er en bra katastroferecoverysikring.

Men ja, mister man nøklene så mister man alle passordene sine.