Vlákno názorů k článku
GitHub opustil potvrzování akcí pomocí hesel, nabádá ke dvoufaktoru od Ink - Byl bych rád, kdyby mi někdo vysvětlil, jak...

Byl bych rád, kdyby mi někdo vysvětlil, jak správně pracovat s 2FA, aby to bylo bezpečné. Abych nepřišel o přístup, musím si někam uložit ty backup codes, ale kam někam? Zase do počítače, jako hesla. Hesla si můžu zapamatovat a mít je zároveň silná. U backup codes přeju hodně štěstí, pokud člověk není Sheldon.

Metoda, která neobtěžuje uživatele a dá se poměrně snadno obnovit, i když mobil spadne ze skály, je potvrzovací SMS, ale to je podle expertů taky k ničemu a hrozně nebezpečné.

No a úplně "nejlepší" je mít jenom mobil a authenticator na něm a případně potvrzovací SMS a mail taky na něm. Když mi ho ukradnou, zbývá jenom ochrana (tím strašným) heslem.

ja si je davam do tc kontejneru, kde mam unikatni dlouhe v hlave pamatovane heslo.
jako spravce hesel pouzivam vaultwarden s dlouhym master a ktery chce 2fa kdybych se prihlasoval na novem zarizeni.

backup codes sa daju vytlacit.

jedtvuju aj ine 2FA ako TOTP, alebo FIDO2 (yubikey),...

Backup codes nejsou zamýšlené jako druhý faktor pro běžné použití, ale jako pojistka pro nouzovou situaci, kdy běžně používaný druhý faktor selže (obecněji: všechny ostatní nastavené druhé faktory) - ztratíte token nebo přestane fungovat, rozbije se systém, kde máte TOTP generátor, apod. Podle toho by se s nimi mělo zacházet, tj. buď vytisknout a někde dobře schovat nebo uložit na flashdisk nebo paměťovou kartu a ty dobře schovat.

Pro běžné použití se hodí buď FIDO2 token (Yubikey, Nitrokey a spousta dalších) nebo TOTP (buď aplikace ve smartphonu nebo softwarový generátor - např. keepassxc, ale umí to i spousta dalších. SMS je spíš taková záchranná varianta pro toho, kdo nemá k dispozici nic lepšího, rozhodně bych to neoznačil za pohodlné pro uživatele.

Osobně používám FIDO2 token (Nitrokey FIDO2, už brzy snad Nitrokey 3A NFC) a pro případ, že by s ním byl nějaký problém, mám nastavené i TOTP.

Jenze ono je problem mit jako pojistku neco co nepouzivam. Zcela typicky priklad je zalohovani. Kazdy uz videl priklad, kdy si nekdo dal zalezet na tom, aby zalohoval, ale protoze se zalohy bezne nepouzivaji, tak doslo k tomu, ze se to rozbilo uz pred 1/2 rokem a nikdo to netusil, dokud nebyla zaloha treba.
S tim backup kodem je to stejne. Budu za 5 let vedet kde jej mam ulozeny? Ve spravci hesel co jsem uz 2 roky nepouzil? Na nejakem cloude, kde se kvuli ztracenemu 2FA nedostanu? Doma na papire, kde mam za sebou stehovani, nebo me doma uklizelo tornado? A bude ten 5 let stary backup kod fungovat?

Opravdu jsou záložní kódy jediná věc, kterou chcete mít doma bezpečně uloženou? Nechcete mít podobně bezpečně uložený rodný list, diplom, možná nějaké další úřední dokumenty nebo smlouvy?

Abych nepřišel o přístup, musím si někam uložit ty backup codes, ale kam někam?
Vytisknout a uložit na bezpečné místo. Mít je v počítači je zbytečné – záložní kódy budete potřebovat jenom ve výjimečném případě, když se něco dost pokazí.

Hesla si můžu zapamatovat a mít je zároveň silná.
Nemůžete, pokud nejste Sheldon.

No a úplně "nejlepší" je mít jenom mobil a authenticator na něm a případně potvrzovací SMS a mail taky na něm. Když mi ho ukradnou, zbývá jenom ochrana (tím strašným) heslem.
Myslím, že bez ohledu na cokoli jiného není dobré mít mobil nezamčený. Dnes už snad všechny mobily zvládají ověření „na ksicht“ nebo otiskem prstu. Na pohodlí to prakticky neubírá a nemusíte se bát, že když vám někdo mobil ukradne, do 10 minut se dostane ke všem vašim datům. Nespoléhal bych na to, že se tam nedostane nikdy, ale čas na to, abych změnil alespoň kritické přístupy mi to dá.

K té autentizaci otiskem prstu bych byl trochu kritičtější. Ještě jsem nepotkal skener otisků, který by fungoval spolehlivě. Všechny pravidelně selhávaly v závislosti na počasí, fyzické aktivitě a spoustě dalších věcí. V situaci kdy budete nutně potřebovat zavolat sanitku vám mobil otisk z těch krvavých, špinavých a zpocených rukou pravděpodobně nevezme.

Čtečky prstů, které fungovaly na přejetí prstem, občas zlobily. Poslední dva moje mobily měly čtečku v displeji, takže se jen přiložil prst, a funguje to spolehlivě. A otisk prstu samozřejmě není jediné zabezpečení – když se nepodaří otisk prstu ověřit, nabídne se mi záložní řešení (PIN, grafický obrazec – dle nastavení). Navíc volat nouzová čísla (minimálně 112) můžete i bez přihlášení.

Mám mobil na otisk a stejně se mě každý týden ptá na heslo. Prý kvůli bezpečnosti...