Getting 2FA Right in 2019

Am incercat sa implementez 2 factor authentification pe toate conturile mele google, github, skype, cea mai interesanta mi s-a parut cea de la github cu google authentificator care se instaleaza pe mobil si iti da un cod la fiecare 30s.

Articolul e de pe hackernews.

1 Like

Cea mai adevarata si sigura metoda este cu cheie fizica (de obcei Yubikey) si cu FIDO2.

Ne-am luat una sa ne jucam cu ea.

E folosit de angajatii Google si Facebook.

Deficientele altor metode sunt:

Cod pe SMS - pasibil de social engineering la furnizorul de telefonie (au fost situatii), mai sunt su alti vectori
2FA gen Google Authenticator - foloseste un shared secret care se poate sustrage de pe server sau de pe client

Dar binenteles, orice metoda 2FA e mai buna daca fara 2FA.

2 Likes