Trädvy Permalänk
Medlem
Plats
Trollhättan
Registrerad
Aug 2009

Är du säker på internet? Hur?

Märkte igår att det var någon som försökt komma in på mitt Google-konto genom att lägga till en mobil på kontot, försöket hade inte lyckats eftersom jag har en tvåstegsinloggning. Men det fick mig ändå att reagera. Bytte alla lösenord på alla hemsidor.

I dagsläget använder jag mig av Lastpass för att hålla ordning på lösenorden och Google Auth till lastpass, gmail och teamviewer.

Har dock tittat på Yubikey, men får inte riktigt grepp om hur det fungerar trots att jag kollat på flertal videor. Är det någon här inne som använder Yubikey eller hur håller ni er säkra på internet?

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Självklart olika beroende på system och känslighet.

För de känsligaste delarna av mitt jobb så använder vi vpn och inloggning mha engångslösenord via sms samt pin. Dvs för att autenticera sig som mig så krävs tillgång till min mobil samt kännedom om min pin.

För andra delar så är det ssh, godkänd ip-source och engångslösenord från dosa som gäller.

Trädvy Permalänk
Medlem
Registrerad
Jan 2014
Skrivet av stn1337:

Har dock tittat på Yubikey, men får inte riktigt grepp om hur det fungerar trots att jag kollat på flertal videor. Är det någon här inne som använder Yubikey

Jag har kollat på och utvärderat Yubikey för 2FA, men inte gått in på djupet eller provat att använda den någon längre stund. Jag har heller inte kollat på vilka autentiseringstjänster hos kommersiella produkter som stöds, utan bara svängt ihop en enkel webinloggning med yubikey-stöd.
Yubikey utger sig för att vara ett USB-anslutet tangentbord, vilket gör att det funkar på alla datorer som tillåter att du ansluter ett godtyckligt tangentbord. Ingen särskild klientprogramvara (utöver drivrutin för USB-tbord) krävs, vilket gör yubikey till en trevlig lösning under vissa förutsättningar.
När användaren trycker på knappen på yubikey-mojängen rapar den ur sig en engångsnyckel, troligtvis ett sekvensnummer AES-krypterat med en privat nyckel som bara finns lagrad på yubikey-mojängen. OSet i datorn som yubikey-mojängen är ansluten till tror att engångsnyckeln kommer från ett tangentbord och skriver glatt ut engångsnyckeln i t ex ett textfält i en inloggningsruta.
Tjänsten som serverat inloggningsrutan har den publika nyckeln som hör till just den här användarens yubikey och dekrypterar engångslösenordet. Om dekrypteringen ger ett vettigt klartextmeddelande godtas autentiseringen.

Så, vilket användningsfall passar bra för yubikey?

  • Krav på 2FA -- lösningar för en-och-en-halv-faktorsautentisering som engångslösen via SMS eller motsvarande bedöms inte vara tillräckligt säkert på grund av otillräcklig kontroll över antingen telefonen eller telenätet.

  • Låg inköpskostnad. En näve yubikeys är förhållandevis billiga.

  • Möjlighet att använda autentisering via utrustning som användaren inte har kontroll över och därmed inte kan installera programvara på:

    • Internetkafé

    • Standardarbetsstation ute hos kund vid konsultuppdrag, om man vill nyttja tjänster "hemma".

  • Minimal vilja/möjlighet för användare att lära sig handha en ny säkerhetsmekanism.

  • Minimal vilja/möjlighet att manuellt skriva av engångslösenord från en display à la stand-alone-bankdosa.

På sikt tror jag att bärbara enheter kommer att förses med TPM-liknande funktioner som kommer att ge ett lika gott skydd mot åtkomst som yubikey, men än så länge är det en trevlig avvägning mellan användbarhet, kostnad och säkerhetsfunktion.

Trädvy Permalänk
Medlem
Registrerad
Apr 2012

Jag känner mig hyfsat säker med unika lösenord för varje hemsida och Google tvåstegsverifiering.

Alla mina leksaker får inte plats här, så här jag listar istället mina favoritinlägg:
1 2 3 4 5 6 7 8 9 10 11

Utelåst hobbymoderator