Kirjoittaja Aihe: Onko 2FA ja Passkeys/FIDO(2FA versio 2) käyttö turvallista ja helppoa. Todella?  (Luettu 1121 kertaa)

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
Toisessa ketjussa kyselttiin 2FA kirjautumisesta GItHub:iin ja tuli luettua se ja sekaannuttua asiaan. Ei ehkä olisi pitänyt...
Päätin jopa luoda uuden tilin GitHub:iin ihan vaan varmuuden vuoksi (enkä käyttää olemassa olevaa tiliä), kun olen jo eläkeiässä, eikä dementiaa aina huomaa itse ja läheisenkään kohdalla se ei ole helppoa. Kokemusta on omien vanhempieni, jo edesmenneiden kohdalla.

Tätä 2FA:ta kehutaan turvalliseksi ja myös helpoksi. Nyt haluaisin kuulla toisen mielipiteen, ihan niin kuin lääkäritkin toivottavasti tekevät vielä, kun huomaavat etteivät ehkä ymmärräkkään mistä on kysymys.

Tapaus 2. tilini GItHubiin ja 2FA suojaus, ettei muut kaappaa tiliäni:
1. Tilin luomisessa pitää antaa aliasnimi, tehdä ihmistä toivottavasti vaativa tehtävä ja antaa sähköpostiosoite. Näistä mikään ei vielä kerro kuka olen? Kyllä kertoo, sillä sähköpostin domainin omistaja kertoo aivan tarkkaan kuka olen. Vai kertooko?
2. Seuraavaksi sähköpostiin tulevan varmistuslinkin avulla minulla on tili GitHubissa.
3. Seuraavaksi sitten otetaan käyttöön Passkeys tilillä se kun on seuraava helppo ja turvallinen kirjautumistapa. Kaikkea uutta ja parempaa pitää ainakin kokeilla. :)
4. KeePassXC:ssä on ollut uusimmissa versioissa tuki Passkeys käytölle, joten sillä siis. Eikä tarvitse käyttaa laittetta (puhelin, uusin Windows 11 tietokone, Yubikey jne.), kuten kaikissa Googlen jne ohjeissa kerrotaan ja väitetään.
5. Kohtalaisen ajan käytön ja irsepäisyyden avulla saan Passkeys toimimaan.
6. Tilille pääsee edellenkin pelkällä salasanalla ihmettelen...
7. GitHubin ohjeita tavattuani olen ihmeissäni. Pitää ottaa käyttöön 2FA, ettei salasanalla yksin pääse tilille.
8. Hetken jälleen ihmeteltyäni tajuan, että KeePassXC:llä tämä TOPT ja 2FA onnistuu
9. Ninhän onnistuu ja nyt tilille ei pääse pelkällä salasanalla ja saan listan koodeja (vara-avaimia?),  joilla tilille pääsee, jos hukkaan avaimen (KeePassXC:n tietokanta ja sen avain)
10. 2FA mnetelmä, jota GitHub nyt käyttää onkin Passkeys. Hiukan taas ihmettelen vaan en kauaa, koska sehän on turhaa ajan tuhlausta.
11. Mitä teen näillä vara-avaimilla? Mihin laitan turvallisesti varmaan talteen??

Muiden mielipiteitä, kokemuksia helppoudesta, turvallisuudesta ja tarvittavista vara-avaimista...
eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili

Tätä 2FA:ta kehutaan turvalliseksi ja myös helpoksi. Nyt haluaisin kuulla toisen mielipiteen, ihan niin kuin lääkäritkin toivottavasti tekevät vielä, kun huomaavat etteivät ehkä ymmärräkkään mistä on kysymys.

9. Ninhän onnistuu ja nyt tilille ei pääse pelkällä salasanalla ja saan listan koodeja (vara-avaimia?),  joilla tilille pääsee, jos hukkaan avaimen (KeePassXC:n tietokanta ja sen avain)

11. Mitä teen näillä vara-avaimilla? Mihin laitan turvallisesti varmaan talteen??

Yön yli nukuttua oli tuli mieleen, että vara-avaimiksi nimittämäni lista onkin pääavaimia.

Tilille päästyäni voin poistaa haluamai 2FA:n kuten kaikki Passkeys ja syöttää uudet, jolloin vanhoilla ei ole mitään virkaa.

Google neuvoo laitteen hävittyä tai hajottua poistamaan hävinneen/varastetun laitteen. Entäs jos laitteen haltuunsa saanut on poistanut jo muut laitteet tililtä?

Salasanalla ja sähköpostilla kirjauduttaessa Google lähettää näitä viestejä: laitteellesi on kirjauduttu uudelta laitteelta ja näissä jatkuvissa 'turhissa' 'ei oikeita hälytyksiä' viesteissä on kyllästymisen vaara.

Mitä väliä on, kuinka murtovarma lukko on jos vara-avain (siis ihan oikea pääavain) on kukkaruukun alla ovenpielessä...

Puhelimen hukuttuasi se pitää siis pahimmassa tapauksessa huomata aika nopeasti eikä vasta huomenna.

Avainten hävittämisen testaamiseen tuli pieni hidaste Vivaldi alkoi kysellä 'sisäänkirjautumisen avainnipun salasanaa" jota en 'muistaakseni' ole antanut eli onnistuinko maalaamaan itseni nurkkaa?

Onneksi on kysymyksessä virtuaalinen testikone, jolle koko testausympäristö on tehty, eikö GitHUb 'vara-koodeja' ole vielä käytetty yhtään.

Ehkä kaikki työelämässä saadut kokemukset ei ole mennyt hukkaan ja unohtunut.

Kone on siis dual boot Ubuntu 20.04 TLS/ Ubuntu 24.04 TLS, kun levytilaa on pari Teraa tai ainakin ihan riittävästi. Ajatus siis sirtyä vähitellen 24.04 TLS:ään

20.04:n päivitys siirsi sen ykkösvaihtoehdoksi, mutta kyllä 24.04:lle pääsee, mutta se ei enää olekaan oletus vaihtoehto. 
eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
Avainnipun kyselyn ohitettuani Vivaldissa ei ollut käytettävissä KeePassXC laajennusta vaan piti asentaa uudelleen, jolloin Passkeys KeePassXC:stä ja pääsin GitHub-tillille ilman avainlistan avaimia ja kyllä Passkeys voi lisätä/poistaa vapaasti.
Huoli, että KeePassXc:n käyttö olisi turvattomampaa kuin laite puhelin/Yubikey on minusta ihan höpö/höpöä, kun on olemassa tämä avainlista, joka ei useimmilla käyttäjillä ole yhtään paremmassa tallessa kuin Passkeys KeePassXC:n takana.
Teoriassa KeePassXC:ään voi päästä etähyökkäyksellä helpommmin kuin palovarmassa kassakaapissa olevaan avainlistaan, mutta absoluuttisen turvallisuuden sijasta voinen tyytyä toivottavasti riittävään.
Tämä Vivaldin/Chrome avainippu-kysely tuli Firefox-käyttäjälle puskista eli oli vain hidaste, Mutta todistaa, että selaimen vaihto ei ole ihan nopeaa ja helppoa, ainakaan kaikille.
eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 165
    • Profiili
KeePassXC selainlaajennuksen toimiminen Ubuntun snap Firefoxin kanssa on ollut pitkään ihmettelyjen aihe.

Toimimivia helppoja ohjeita ei ainakaan Googlen avulla löydy.

Vaan kyllä saa toimimaan:

Lainaus

5) Ubuntu Snap

If you are using Ubuntu based distro older than 22.04 Firefox or Chromium installed via Snap will not work. Use the official PPA or AppImage instead.

If there's still an error connecting to the extension, check the container permissions by running: flatpak permissions webextensions. Maybe flatpak needs to be installed before (apt-get install -y flatpak). Another command is needed if the permission shows no: flatpak permission-set webextensions org.keepassxc.keepassxc_browser snap.firefox yes. To verify correct permissions, use

vagrant@jammy64-desktop:~$ flatpak permissions
Table         Object                          App          Permissions Data
webextensions org.keepassxc.keepassxc_browser snap.firefox yes         0x00

For more detailed info, check this blog post.

Lainaus on KeePassXC:n vianetsinnästä: https://github.com/keepassxreboot/keepassxc-browser/wiki/Troubleshooting-guide

Vaan kun tietoteknisin termein kyseessä on ominaisuus ei vika  ;D

Snap:in yksi ominaisuus on eristetty 'hiekkalaatikko', joka on turvallinen. Tämä selainlaajennus on ulkopuolinen sovellus, joka pyrkii tälle hiekkalaatikolle ja pääsy on estetty. Ei ole siis vika vaan ei toivottu ominaisuus, ainakin KeePassXC:n selainlaajennuksen käytön kannalta.

Lainauksen ohjeella apt KeePassXC toimii snap Firefoxin kanssa. Flatpaki täytyy asentaa, jotta tämä onnistuu, koska snap lainasi ominaisuuden ohittamisen Flatpakista, joka on taas toinen hiekkalaatikko...

Helppoa ja yksinkertaista....
eläkeläisäijä

A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.