Am incercat sa implementez 2 factor authentification pe toate conturile mele google, github, skype, cea mai interesanta mi s-a parut cea de la github cu google authentificator care se instaleaza pe mobil si iti da un cod la fiecare 30s.
Articolul e de pe hackernews.
Cea mai adevarata si sigura metoda este cu cheie fizica (de obcei Yubikey) si cu FIDO2.
Ne-am luat una sa ne jucam cu ea.
E folosit de angajatii Google si Facebook.
Deficientele altor metode sunt:
Cod pe SMS - pasibil de social engineering la furnizorul de telefonie (au fost situatii), mai sunt su alti vectori
2FA gen Google Authenticator - foloseste un shared secret care se poate sustrage de pe server sau de pe client
Dar binenteles, orice metoda 2FA e mai buna daca fara 2FA.