Vlákno názorů k článku
GitHub zavede od příštího týdne povinné 2FA pro aktivní uživatele
od Mlocik97 - Už len čakám kedy budem potrebovať 4FA a...
-
Souhlas. Vždycky se bezpečnost brala jako rovnováha mezi hodnotou chráněných aktiv, riziky a náklady na zabezpečení.
Tohle plošné 2FA šílenství (pokud za tím není něco dalšího, jako třeba vytahat z velkého procenta lidí (kteří skončí na SMSce) viceméně jednoznačný identifikátor jakým je msisdn, že ano) je asi stejné, jako kdyby mi výrobce dveří vnucoval 5 bezp. třídu s čtečkou otisků na hajzlík a do kůlnu s zahradním nářadím, a námitky na nehody kdy třeba po práci s montážkou bez rukavic se člověk nedostane na WC včas ještě schytal v diskusi jaká je lama, že si nedal náhradní klíče do trezorku na kód.(jo, nezpochybňuji potřebu lepší ochrany třeba u široce využívané knihovny. Ale plošně?)
10. 3. 2023, 17:10 editováno autorem komentáře
-
Vemte si to z pohledu poskytovatele sluzeb - treba takovy gmail. Pokud nemate mfa tak uzivatel nekde prijde o heslo (protoze 99% uzivatelu nejsou IT a pouzivaji to same heslo) a pak jako provozovatel resite nastvaneho zakaznika ktery se nemuze dostat ke svemu uctu (nekdo mu ho zmenil) a resite spam odesilany z ukradenych schranek coz ma dopad na vas byznis. Kdyz zavedete mfa tak sice resite par potizistu kterym to nefunguje ale pocet incidentu klesa. Pokud se vam to jako uzivateli nelibi, muzete pouzivat jineho poskytovatele kterekoliv sluzby, ale pak se taky nedivte proc mate problem s dorucovanim emailu atd.
-
Zatímco když zavedu 2FA buzeraci, tak mám pro změnu mraky uživatelů, kteří přišli o druhej faktor a recovery samozřejmě nemají, a teď co s nimi. Buď je support pošle do háje a pak je oheň na střeše, nebo je do háje nepošle a pak je na střeše ještě větší oheň, když se v lepším případě bílemu klouboukovi takhle podaří obejít 2FA a samozřejmě to zveřejní.
(a nebo si nechají seedy pro TOTP na desktopu, aby na ně nezapoměli)Z bláta do louže.
