GitHub consente l’accesso senza password in versione beta

2FA di per sé non è altro che avere 2 metodi di sicurezza, non importa quanto siano sicuri. Di solito 2FA è implementato con una password come primo “fattore” e a Password monouso basata sul tempoquesti codici a 6 cifre che cambiano ogni 30 secondi o, in alcuni casi, vengono inviati al tuo SMS o email.

TOTP via email, SMS o app authenticator è meglio di niente, ma non offre alcuna protezione contro il phishing, dove la “bad page” potrebbe anche chiederti questo codice a 6 cifre, o inviartene uno per connetterti alla “vera connessione” “. page” con il nome utente/password appena inseriti.

I messaggi di testo e le e-mail possono spesso essere violati contemporaneamente alla piattaforma a cui un utente malintenzionato sta tentando di connettersi, rendendo questo un metodo debole (ma meglio di niente). Con un TOTP tramite l’app di autenticazione, la “chiave segreta” è comunque nel tuo telefono e hanno davvero bisogno che tu digiti quel codice, ma puoi sempre digitarlo in una pagina falsa.

Le chiavi di sicurezza automatizzano l’intero processo. Proprio come TOTP, c’è una chiave segreta (da qualche parte), ma invece di dover ridigitare manualmente il codice generato, è completamente automatico e devi solo confermare di aver effettuato l’accesso. Il fornitore della passkey genererà token solo per lo stesso nome di dominio e nome utente, quindi il phishing non è possibile. Dovrai quasi sempre confermare che stai effettuando l’accesso, a volte può essere fatto facendo clic da qualche parte, e nel caso di uno Yubikey devi toccare fisicamente il tasto (quindi qualcuno che ha preso il controllo del tuo PC non può non farlo)

READ  Trasferimenti tra mercati, rottura con l'entourage

Per quanto mi riguarda, le chiavi di accesso sono molto più sicure delle password, TOTP tramite app di autenticazione, SMS o e-mail, che dovrebbe bastare lavorare esclusivamente con le chiavi di accesso e sbarazzarsi del resto. Secondo me dovrebbe continuare a lavorare con Yubikeys o simili, perché in nessun caso lascerò i miei segreti in una nuvola :) Nota che il tuo ybikey o qualsiasi provider richiede quasi sempre un PIN o una “password principale” per sbloccarlo; una chiave rubata non dà ancora accesso. Tuttavia, quella password principale o PIN non lascia mai il tuo sistema, quindi non può essere trapelata attraverso il riutilizzo e anche se hanno la password principale o il PIN, devono comunque ottenere fisicamente la tua chiave fisica, se applicabile.

Tieni presente che la maggior parte dei siti Web ti consente di utilizzare più di un provider. È così che ho registrato 2 ybikeys. Se perdo 1, posso ancora usare l’altro.

[Reactie gewijzigd door Gamebuster op 13 juli 2023 16:37]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *