Hur säker är Googles lösning med reservkoder för 2FA
Hej alla glada,
Har funderat lite på säkerheten gällande reservkoder som man har möjlighet till för Google's konton när man aktiverat två-faktor autentisering.
Förutsättningar:
Google ger två val för reservalternativ vilka är sms/telefonsamtal eller reservkoder.
Då jag använder min mobil som 2fa enheten (authenticator) verkar det dumt att nyttja samma mobil även för reservalternativet.
Jag har heller ingen annan mobil eller telefonnummer och är väl inte helt förtjust i att använda någon närståendes nummer.
Kvarstår gör då reservkoderna.
Min fundering kring säkerheten är följande:
När jag aktiverar möjligheten till reservkoder så genereras 10st 8-siffriga engångskoder, dessa koder är sedan permanent "aktiva" till skillnad mot de koder i authenticatorn som är aktiva 30 sekunder åt gången.
1. 8 siffror är inte mycket vid bruteforcing, finns det några begränsningar hur många försök man får göra per tidsenhet eller IP
2. Går det att låsa ett konto med för många felaktiga försök att gissa reservkoder.
3. Går det att göra slut på alla koder med bruteforcing bara för att jävlas
Först och främst så behöver du ju både en epost och rätt lösenord för att ens kunna använda reservkoderna så redan där stoppar du ju de flesta. Nu vet jag inte om de har någon begränsning på koderna heller, men högst troligt så har de det, om inte för säkerheten så för ddos skydd. Sen får du ju meddelande såfort någon loggat in på en ny enhet också.
Jag har inte behövt använda Googles återställningskoder däremot Uplays, men de var inte bara siffror. Lite osäkert känns det ju, men jag vet inte vad de har för begränsning på antal försök eller så med koderna, däremot vet jag ju att de bara gäller en gång men det är ju ingen tröst om de ändå byter huvudlösenordet liksom.
Om du loggar in på ett en ny enhet så får du mejl med titeln Var det du som loggade in? och om någon försöker gissa sig in så är något google lätt upptäcker och kan spärra.
Hmm.. ja är det så att det krävs rätt lösenord också för att kunna nyttja koderna så bör det ju vara hyfsat säkert.
Definitivt säkrare än att köra utan 2FA och reservkoder iaf.
