FZ lanserar tvåfaktorsautentisering
Det finns ingen möjlighet att få sin kod via SMS?
Känns som en brist då man lätt kan tappa kontroll över appar då telefoner kan försvinna, gå sönder, ominstalleras utan att tänka sig för.
Javisst, ni skriver att man ska spara sin återställningskod men det är väldigt många som inte kommer följa de instruktionera. På nästan alla ställen där jag har 2FA så bruka sms eller telefon vara ett sätt att falla tillbaka på.
Lösingen på det är authy, som du kan köra både på datorer, telefoner etc.
https://authy.com/
<Uppladdad bildlänk>
Skämt åsido, 2FA (och övriga IT-säkerhetsåtgärder i allmänhet) är superbra - även om varje enskild del i sig inte är den säkraste blir de tillsammans ett starkare skydd. Det må låta som gnäll, men det är absolut inte fel av FZ att införa det även om de inte slänger med alla tänkbara varianter och alternativ.
Precis som jag nämnde ovan gäller ju inte riktigt principen "en kedja är inte starkare än sin svagaste länk" utan snarare "ju mer desto bättre" när det kommer till IT-säkerhet. Långa slumpmässiga lösenord kan i sig vara ett starkt skydd, medan ett svagare lösenord tillsammans med en "svag" form av 2FA (ex. kod via SMS) kan hålla bättre beroende på vilken sårbarhet som nyttjas i eventuell attack.
Enbart ett långt slumpmässigt lösenord gör ju exempelvis ingen nytta om användarnamn+lösenord (plus ev. hash och salt) läckt, medan en angripare måste ha tillgång till både användarnamn+lösenord *och* telefonnummer samt någon form av metod att se SMS-kommunikation dit (med ex. MITM) alt. enhetsåtkomst, om SMS används som 2FA-metod.
Som sagt dock, det är inte som att jag kräver något eller säger att det är dåligt/fel av er att implementera det här på något sätt, och jag ber om ursäkt om det framstod så. (Hade vaknat på fel sida igår, så jag förstår om det kan ha verkat så.)
Det är rätt intressant, och jag tycker det i regel är lite farligt att lita på att användandet av stora aktörer per definition skulle ge en bra cybersäkerhet. Lastpass, Google (se ex. angreppet mot LTT nyligen) m.fl. har inte direkt varit fläckfria när det kommer till sårbarheter.
Jag har återställningskoder och lösenord på ett hårdvarukrypterat USB-minne som enbart jag kommer åt fysiskt, det tycker jag känns säkrare än att använda en molntjänst. Sen blir det väl lite löjligt om vi ska börja bli så paranoida att vi får det att låta som att våra konton på FZ är något att vaka över som hökar. 😅 Men cybersäkerhet i allmänhet är intressant!
Ja LTT incidenten var speciell. De fick ju tag på cachead kopia av webbläsaren med cookies etc.
Jag förundras mig inte helt på en site/ställe men Bitwarden med både extremt långt och trrdigt lösenord och MFA som inte är sparat där. Dock har jag en krypterad kopia lokalt in case of.
Sen om man vill så kan man self-hosta Bitwarden.
Nästa steg är väl krypterad USB.
Never underestimate the power of stupid people in large groups!
Ja LTT incidenten var speciell. De fick ju tag på cachead kopia av webbläsaren med cookies etc.
Jag förundras mig inte helt på en site/ställe men Bitwarden med både extremt långt och trrdigt lösenord och MFA som inte är sparat där. Dock har jag en krypterad kopia lokalt in case of.
Sen om man vill så kan man self-hosta Bitwarden.
Nästa steg är väl krypterad USB.
Ja, men den illustrerar även lite problemet med hur en del tjänsteleverantörer, även stora sådana, hanterar säkerhet (så som att öppet lagra inloggningscookies/sessions utan expiry på en enhet eller för den delen att forcera pushautentisering på kopplade enheter) - jag må låta som en foliehatt i det här men vissa aspekter vill jag gärna kunna styra över själv även om det i vissa fall kan innebära en "sämre" säkerhet.
Lite av den anledningen jag skyr "molnet" som pesten när det kommer till majoriteten av min datalagring också, det finns för många saker i kedjan dit som kan fallera för att min dataåtkomst, -integritet och -säkerhet ska påverkas, jämfört med riskerna när jag har mer kontroll över min lagring som dessutom är distribuerad över olika platser geografiskt (samt givetvis över flera fysiska diskar på varje plats). Även om de stora aktörerna (så som Google, Microsoft, Cloudflare eller Amazon) slår sig för bröstet och givetvis har mer teoretisk datasäkerhet än jag har hemma så är riskavvägningen inte riktigt så svartvit. Visst, jag har kanske inte taggtrådsstängsel, en bevakningsstyrka dygnet runt och data som speglas över halva planeten och sådant som de stora aktörerna har som objektivt ökar säkerheten, men riskerna ser ju kanske tämligen annorlunda ut också.
Samtidigt blir det ju som sagt lite löjligt om man ska dra upp säkerhetskraven till 11 på precis allting man gör, och varje användare får såklart göra bedömningen vad som är lämpligast för just dem. Majoriteten klarar sig sannolikt med en genomsnittlig standardlösning när det kommer till cybersäkerhet i allmänhet. På precis samma sätt som man som genomsnittsanvändare kanske inte behöver köra *allt* i en VM/sandbox för att man är rädd för angrepp.
Alltså, nu har jag väntat, men ingen har ännu inte sparkat in den öppna dörren...så jag får väl göra det?
<Uppladdad bildlänk>
@Johan Lorentzon - nu med den nya titeln "nästan avstängd". 😅
För övrigt anser jag att Tellus bör förstöras.
Lösingen på det är authy, som du kan köra både på datorer, telefoner etc.
https://authy.com/
Jag vet att det finns sådana alternativ men det innebär öven att man låter en 3:e part ha tillgång till din data.
Se bara hur det gick med Lastpass.
Ja, men den illustrerar även lite problemet med hur en del tjänsteleverantörer, även stora sådana, hanterar säkerhet (så som att öppet lagra inloggningscookies/sessions utan expiry på en enhet eller för den delen att forcera pushautentisering på kopplade enheter) - jag må låta som en foliehatt i det här men vissa aspekter vill jag gärna kunna styra över själv även om det i vissa fall kan innebära en "sämre" säkerhet.
Lite av den anledningen jag skyr "molnet" som pesten när det kommer till majoriteten av min datalagring också, det finns för många saker i kedjan dit som kan fallera för att min dataåtkomst, -integritet och -säkerhet ska påverkas, jämfört med riskerna när jag har mer kontroll över min lagring som dessutom är distribuerad över olika platser geografiskt (samt givetvis över flera fysiska diskar på varje plats). Även om de stora aktörerna (så som Google, Microsoft, Cloudflare eller Amazon) slår sig för bröstet och givetvis har mer teoretisk datasäkerhet än jag har hemma så är riskavvägningen inte riktigt så svartvit. Visst, jag har kanske inte taggtrådsstängsel, en bevakningsstyrka dygnet runt och data som speglas över halva planeten och sådant som de stora aktörerna har som objektivt ökar säkerheten, men riskerna ser ju kanske tämligen annorlunda ut också.
Samtidigt blir det ju som sagt lite löjligt om man ska dra upp säkerhetskraven till 11 på precis allting man gör, och varje användare får såklart göra bedömningen vad som är lämpligast för just dem. Majoriteten klarar sig sannolikt med en genomsnittlig standardlösning när det kommer till cybersäkerhet i allmänhet. På precis samma sätt som man som genomsnittsanvändare kanske inte behöver köra *allt* i en VM/sandbox för att man är rädd för angrepp.
Tycker inte det är foliehatt men visst kommer vissa tolka det så.
Det handlar ju mer om hur långt man vill gå i fighten om att ha saker online eller offline. Ska man hårddra det så är ju inte ens mail säkert och du borde inte ha det (sagt med glimten i ögat).
Med 2 små barn och väldigt lite tid så väljer jag att ha vissa saker i molnet men långt från allt. Skyddar så väl jag kan, mer kan jag inte göra. Dock, känsliga saker som kostymer etc sparas jag inte om det inte är virtuella kort. Risken att just jag blir utsatt är liten men den finns alltid så det blir en avvägning helt klart. Men det börjar bli lite off-topic
Dock bra med val så får alla göra som de själva önskar. Kan bara hoppas att fler får kännedom om eventuella problem och inte litar blint på allt.
Never underestimate the power of stupid people in large groups!
Tycker inte det är foliehatt men visst kommer vissa tolka det så.
Det handlar ju mer om hur långt man vill gå i fighten om att ha saker online eller offline. Ska man hårddra det så är ju inte ens mail säkert och du borde inte ha det (sagt med glimten i ögat).
Med 2 små barn och väldigt lite tid så väljer jag att ha vissa saker i molnet men långt från allt. Skyddar så väl jag kan, mer kan jag inte göra. Dock, känsliga saker som kostymer etc sparas jag inte om det inte är virtuella kort. Risken att just jag blir utsatt är liten men den finns alltid så det blir en avvägning helt klart. Men det börjar bli lite off-topic
Dock bra med val så får alla göra som de själva önskar. Kan bara hoppas att fler får kännedom om eventuella problem och inte litar blint på allt.
Om jag nu inte kör Protonmail eller motsvarande lösning då.
Kör dock hyfsat mycket mailhantering lokalt, och en del krypterat - men ja, det kräver lite oproportionerligt med arbete för att jag ska prioritera det på all kommunikation. ^^
Och jag överdrev något gällande molnlösningar, vissa grejer som jag inte prioriterar lika mycket (och/eller som inte är lika känsligt) kan jag slänga upp på ex. sociala medier, och numera är det så förbannat besvärligt utan tredjepartsmjukvara att backupa telefon (konfiguration, appar och data) lokalt, så där får det ligga i molnet mest för att jag inte orkar böka med annat. Backupar dock grejer som tagna bilder/video lokalt (plus på min egen remote server om det är något jag anser viktigt). Med Symbian-baserade enheter (både från Sony/SonyEricsson och Nokia) fanns ofta mjukvara från tillverkaren som gjorde det smidigt att lagra lokala enhetsbackuper, det saknar jag lite idag. De man skapar med tredjepartsverktyg blir inte alltid jättesmidiga att hantera.
Jag ber också om ursäkt för att vi spårade iväg offtopic, men det är intressant! 😅
För övrigt anser jag att Tellus bör förstöras.
Tycker det hade varit rimligt att låta användaren bestämma om de accepterar den sämre säkerheten med SMS. Det är ju helt frivilligt om appar också stöds.
Jag får för mig att anledningen att det inte erbjuds det är för att det skulle kunna kosta FZ pengar mer än något annat, men säg att jag har fel.
Tycker det hade varit rimligt att låta användaren bestämma om de accepterar den sämre säkerheten med SMS. Det är ju helt frivilligt om appar också stöds.
Jag får för mig att anledningen att det inte erbjuds det är för att det skulle kunna kosta FZ pengar mer än något annat, men säg att jag har fel.
Det handlar till viss del om resurser. Vi har en kodare som sköter både FZ och Sweclockers, och då måste vi prioritera. Kunde vi skulle vi givetvis erbjuda alla bra lösningar ni vill ha.
Jag vet att det finns sådana alternativ men det innebär öven att man låter en 3:e part ha tillgång till din data.
Se bara hur det gick med Lastpass.
Exakt vad skulle authy göra med det datat som hotar din integritet?
Btw, läs deras policy.
"Authy does not sell your personal information, share it with third parties for their own marketing purposes"
https://www.twilio.com/en-us/legal/privacy/authy
Vilket sätter dom i bättre ljus än både google authenticator och microsofts authenticator.
Exakt vad skulle authy göra med det datat som hotar din integritet?
Btw, läs deras policy.
"Authy does not sell your personal information, share it with third parties for their own marketing purposes"
https://www.twilio.com/en-us/legal/privacy/authy
Vilket sätter dom i bättre ljus än både google authenticator och microsofts authenticator.
Alla kan bli hackade och läcka information.
Alla kan bli hackade och läcka information.
Allt kan bli hackat och läcka information. Hela poängen med 2FA är att du inte ska bli hackad och få din information läckt, så sluta tjafsa och bara gör det 😄
Allt kan bli hackat och läcka information. Hela poängen med 2FA är att du inte ska bli hackad och få din information läckt, så sluta tjafsa och bara gör det 😄
Du missade min poäng helt ser jag.
Att överlåta lösenord, 2FA-grejor etc till en tredje part innebär en risk.
Lastpass läckte till exempel alla användares all data. Visserligen krypterad men.
Du missade min poäng helt ser jag.
Att överlåta lösenord, 2FA-grejor etc till en tredje part innebär en risk.
Lastpass läckte till exempel alla användares all data. Visserligen krypterad men.
Nej jag förstår din poäng, men det är en överdriven bekymring. För gemene man är dessa tredjepartslösningar tillräckligt bra. Är du en speciellt utsatt person finns det alternativa lösningar, men det är inte något som "Svensson" har kunskap om eller behöver lägga ner tid och resurser på.
Nej jag förstår din poäng, men det är en överdriven bekymring. För gemene man är dessa tredjepartslösningar tillräckligt bra. Är du en speciellt utsatt person finns det alternativa lösningar, men det är inte något som "Svensson" har kunskap om eller behöver lägga ner tid och resurser på.
Jag håller inte med alls. Detta är relevant även för vanliga användare men det är en risk många kan acceptera.
Men alla måste vara beredda att byta alla sina lösenord om en läcka inträffar.
Alla kan bli hackade och läcka information.
Ja, även statliga register kan bli hackade. Men risken att bli hackad är betydligt mindre om man använder 2FA. Det går inte förneka.
Risken förminskas av att använda 2FA, finns massa forskning som stödjer det.
F.ö är dom enda som tycks ha stora problem med detta lastpass, men det finns mängder med konkurrenter som hanterar det här betydligt bättre.