Vlákno názorů ke zprávičce Google chce zapnout dvoustupňové přihlašování všem od Mlocik97 - A toto je humusácke správanie firiem... ten účet...

A jak muze poskytovatel sluzby poznat, ze zrovna tvoje heslo neni kvalitni? To neni jenom o entropii, napriklad by musel zjistit, zda ho i nepouzivas jinde...

pokud ti to heslo (či poskytovateli) unikne, je úplně jedno jak ho máš silné. K úniku nemusí dojít jen louskáním bcrypt uložených hesel, ale stačí JS kód na stránce, který záměrně/omylem posílá obsah formulářů někomu třetím a že takových případů jsem již viděl i na českém trhu.

dlouhodobě se ukazuje, že z pohledu IT bezpečnosti dávat volbu je ten nejhorší způsob. Hlavní problém je, že ukradený účet neohrozí pouze jeho vlastníka, ale prostřednictvím takového účtu je možné dělat ledacos a ohrožovat ostatní, ač to vlastníkovi je vlastně úplně jedno, že?

Nechápu, odkud se pořád bere to spojení, že 2FA znamená poskytnout někomu svoje telefonní číslo. Ověřování pomocí SMS už dávno není považováno za bezpečné, takže rozumně implementovaná 2FA vyžaduje všechno možné jen ne telefonní číslo.

Nie som expert, ale poskytnut cislo asi znamena vediet prihlasit sa aj ked stratim 2FA a recovery kody

K tomu jsou i jiné možnosti, než poskytnout mobilní číslo. Já nemám problém s poskytnutím čísla pro zaslání obnovovacího kódu, zvlášť když zneužití toho čísla k něčemu jinému by bylo porušením GDPR. Ale nechápu, proč se to pořád objevuje v souvislosti s 2FA. Pokud nechci poskytnout mobilní číslo, použiju prostě jiný způsob záložního přihlášení. Navíc nemít aktivované další způsoby přihlášení je velmi riskantní i bez 2FA. Pokud Google vyhodnotí, že by mohlo jít o útok, odmítne přihlášení heslem. Pokud nemáte jiný způsob, jak prokázat, že jste to opravdu vy, pak hodně štěstí. Zrovna nedávno to někdo řešil na Abíčku – měl u Google účtu jenom heslo, a byl strašně překvapen, že nemá jinou možnost, jak se přihlásit, když Google vyhodnotil pokus o přihlášení jako útok a heslo zablokoval.

Já nemám problém s poskytnutím čísla pro zaslání obnovovacího kódu, zvlášť když zneužití toho čísla k něčemu jinému by bylo porušením GDPR
Tak určitě. Hlavně vezmeme-li v úvahu, že se jedná o společnost z USA a jejímž hlavním cílem je požírat co největší množství dat pokud možno kdekoliv a jakkoliv.

Pokud Google vyhodnotí, že by mohlo jít o útok, odmítne přihlášení heslem. Pokud nemáte jiný způsob, jak prokázat, že jste to opravdu vy, pak hodně štěstí.
Tak zamáčknu slzu a konečně přestanu ten nesmysl používat.

"Tak zamáčknu slzu a konečně přestanu ten nesmysl používat."

To máte štěstí, pro někoho by to znamenalo konec světa...

Já vím, byla to trošku ironie. Je ale přinejmenším hodně na zamyšlení, jestli chci v otázce důležitých dat nebo služeb záviset na společnostech, které mě při troše smůly můžou bez uzardění prostě odstřihnout bez udání konkrétního důvodu nebo bez možnosti odvolání.

Poleno: Ano, to je pravda, v práci mám taky bohužel Googlí účet, nicméně používám ho jen a pouze striktně k pracovním účelům a díky SSO mě s požadavkem na tel. číslo neotravuje. Pokud to tak máš, asi by měl v tomhle pomoct zaměstnavatel (není nikde psáno, že pro pracovní účet musíš poskytovat své tel. číslo).

Popravdě, dát číslo e-shopu mi vadí daleko míň než ho dát Googlu. A to především proto, že není jeden centrální e-shop, předmětem činnosti e-shopů není shromažďovat o mně data, a v neposlední řadě se domnívám, že tam jde i o kontakt při (ne)doručování zásilky. No a přinejhorším se tam dá vymyslet nesmyslné číslo, takže se e-shop nažere a soukromí zůstane nenarušeno.

"Popravdě, dát číslo e-shopu mi vadí daleko míň než ho dát Googlu."

Pokud lze tyto dvě operace oddělit. Mám na mysli třeba eshop, který využívá Google formulář nebo tyto údaje nahrává na Google disk. Uchránit své číslo před Googlem je čím dál těžší, ne-li nemožné (viz např. vytěžení telefonního seznamu některého kamaráda Googlem).

Jasně. Všichni mají smartphone s datovým připojením.
Když budete takto striktní, může se i vám přihodit, že budete odstřižen od komunikace. Např. po chemoterapii je třeba týden velmi těžké až nemožné použít dotykové ovládání - kromě jiných potíží ztratíte cit v prstech, které se vám navíc chvějí.
Klávesnici a myš použít můžete, opsat kód ze SMS taky. Ale dotykáč je problém.
Další zdroj potíží - chcípne vám mobil a než ho nahradíte/spravíte, máte SIM v nějakém nouzovém tlačítkovém mobilu ze šuplíku. Když nemůžete v bance udělat fall-back na SMS, jste pár dní nahranej.

To datove pripojeni k nicemu potreba neni. Napr. Authenticator a jeho OSS obdoby mohou fungovat v pohode i bez nej.

(S tim zbytkem z hlediska usability lze castecne souhlasit. Na druhou stranu, nemam pocit, ze by byl tlacitkac s klepavkou zas takova vyhra.)

No, takové chvění prstů + snížená citlivost na dotykáči znemožní rozlišit mezi dotykem a tahem. Na tlačítkáči to problém není. Myš a klávesnice je taky OK.
Bankovní potvrzovací aplikace připojení potřebují.
Bohužel ověřeno v rodině.
Jasně, je lepší být mladý, zdravý a bohatý, než starý, nemocný a chudý. Ale některým položkám z té druhé trojice se časem nevyhnete.
Když to jde, je dobré se SMS zbavit, ale (jak uvádíte níže), je to nejmenší společný jmenovatel, jako nouzová možnost by to mělo zůstat.

Mně při potvrzování platby banka vždy ukazuje odkaz „Mobilní zařízení nemá datové připojení“. Takže potřeba připojení je jen vlastností špatně navržených potvrzovacích aplikací.

Za nouzovou možnost považuju něco, u čeho se můžu spolehnout, že to vždy bude fungovat. Což SMS rozhodně není.

U coho mas istotu, ze to bude fungovat?
Ja tu istotu nema u nicoho. U vecsiny sa mi uz stalo, ze to aj nefungovalo.
Kadou pridanou vecou zvysujes bezpecnost ale aj riziko, ze sa nieco pokazi ale aj fatalnost tej poruchy.
Chce to najst rovnovahu medzi jednym a druhym.

Mne napriklad vadilo, ze sa zrusili GRID karty pri internet bankovnictve. Viem, ze to nieje super zabezecenie ale jednoduchy a funkcny sposob 2FA. Kludne mohol ostat napriklad s limitom na nizke platby.

Třeba offline „kalkulátory“, které úplně na začátku používala e-banka, nejsou závislé na žádné komunikaci. Tam se jen mohla vybít baterka (čemuž se dá snadno předejít tak, že vám banka komunikátor po nějaké době vymění) nebo by musel ten kalkulátor přestat fungovat (nejspíš následkem fyzického poškození).

Stoprocentní samozřejmě není nic, ale SMS nejsou bezpečné a jsou nespolehlivé. SMS dostal se zpožděním nebo vůbec každý mnohokrát, o selhání potvrzovacího kalkulátoru jsem neslyšel.

Navíc není moc efektivní řešit jedním způsobem 5 uživatelů, kteří nemají chytrý mobil ale mají „hloupý“ mobil, a jiným způsobem dalších 5 uživatelů, kteří nemají žádný mobil. Jednodušší je všem uživatelům bez chytrého mobilu poskytnout stejné řešení (a nebo jim prostě službu IB vůbec neposkytovat).

SMS dostal se zpožděním nebo vůbec každý mnohokrát

To se sice stává, ale je zajímavé, že si nevzpomínám, že by se mit to někdy stalo s potvrzovací SMS od internetbankingu. (A jsem si docela jistý, že bych si takovou věc pamatoval - u SMS jízdenky se mi to stalo a pamatuju si to velmi dobře.) Nevím, jestli mám jen štěstí nebo jestli tam funguje nějaká prioritizace.

Michal Kubeček: Tak to asi máte štěstí. Mně už se to stalo mnohokrát jak u internetbankingu tak u platebních karet. S různými mobily, u Vodafone i T-Mobile, na různých místech. I přímo v bance, a bankéř na to evidentně byl zvyklý.

A já si to pamatuji moc dobře, protože to bylo před 14 dny. SMS nechodily a když jsem volal do banky tak mi řekli, že o tom ví a je problém na straně operátora (což asi nebyla úplně pravda jelikož ženě taky nepřišly a to má jiného než já).

Na druhou stranu je to nejmensi spolecny jmenovatel, takze cekam, ze to bude fungovat jeste dlouho a dlouho...

To je jasné. Všichni přece mají smartphony. Oh wait... vážně všichni?

Všichni přece mají smartphony.
To jste napsal vy.