FZ lanserar tvåfaktorsautentisering

Det finns ingen möjlighet att få sin kod via SMS?

Känns som en brist då man lätt kan tappa kontroll över appar då telefoner kan försvinna, gå sönder, ominstalleras utan att tänka sig för.

Javisst, ni skriver att man ska spara sin återställningskod men det är väldigt många som inte kommer följa de instruktionera. På nästan alla ställen där jag har 2FA så bruka sms eller telefon vara ett sätt att falla tillbaka på.

Nej, vi erbjuder endast TOTP och återställningskod. Finns i dagsläget inga planer att införa fler metoder. SMS är för övrigt en osäker metod och andra bör väljas istället.

Vissa applikationer kan automatiskt säkerhetskopieras till molnet, så har man inte stenkoll på återställningskoderna rekommenderar jag ett sådant alternativ.

SMS är högst osäkert för 2FA så nej, det är ingen brist.

SMS må vara lite mindre säkert, men det är ändå otroligt mycket säkrare än att inte slå på 2FA alls. SMS är väldigt bekvämt och tillgängligt dock, så en stor vinnare där. Jag har bränt mig på 2FA med bara appar så det kommer jag inte aktivera tyvärr även om jag förespråkar 2FA.

Ett annat alternativ hade varit att integrera inloggningen med någon eller några leverantör av inloggning som redan fixar detta åt er.

Absolut ger SMS ett högre skydd än att bara använda användarnamn och lösenord.

I första utgåvan valde vi att utveckla ett isolerat system som inte är beroende av en extern part. Vi ville inte stöta på att vi inte kan logga in för att leverantören är nere eller att vi missat en faktura.

Det vore hemskt om någon kapade mitt FZ-konto och började shitposta...

...eller nä.

Jag gillar att ni tror på er själva så mycket

Alla har vi ju varit med om att missa att inte uppdatera kreditkortet på någon tjänst. xD

Jag kanske är delvis partisk, men det känns också lite bakvänt att säga att det är en bristfällig implementation för att användarna inte vill följa de instruktioner som dom uppmanas.

Du är inte partisk, du är medeltidsman.

Är inte tvåfaktorautentisering otroligt bökigt om man förlorar sin mobil eller liknade?

Najs, aktiverat! Nästa steg är väl att fixa inloggning med nyckel så man bara kan blippa sitt fingeravtryck på mobilen eller direkt godkänna via notis till authenticatorappen 👍

Du får ju en återställningskod, så länge du har koll på den ska det vara lugnt.

Done

Det är ju därför du ska spara din återställningskod på ett idiotsäkert ställe, vissa 2fa appar har möjligheter att ta en backup på de inlagda tjänsterna eller molnbaserad backup men det i sig kan ju leda till dataläckage.

Hur kommer det sig att man inte kan radera sitt konto själv? Känns också som funktionalitet som borde läggas till.

Nu kommer halva FZ hamna inför denna fadäs när telefon byts och tappat bort kod, vi har ju alla glömt nåt precis som du säger.

Herregud läsa kommentarerna här inne, typical användare....

Ja jo, gjorde just det när jag köpte ny nalle och glömde bort att jag hade mitt Nintendo-konto med google tvåstegsverifiering, blev utelåst från allt, som tur är löste Bergsala det smidigt.
Känns lite overkill kan jag tycka om man nu inte förvarar Sveriges försvarshemligheter på sitt FZ-konto.

Mycket bra med 2FA, jag använder alltid det om det finns. Tumme upp FZ! 👍

Nu är ju inte direkt e-post en säker kommunikationsmetod så det stör heller (om nu inte båda parter mot all förmodan har och använder en krypterad e-posttjänst end-to-end), och ändå används det till ungefär allting som har med sajten att göra. Jag hade också gärna sett backup via SMS, om inte annat som alternativ till en återställningskod man ska ha reda på.

Istället för gnäll väljer jag glädje! 🤠👍🏻

Av ren nyfikenhet, varför anses SMS vara en mindre säker autentiseringsmetod?

Det är inte bara för din säkerhet. Någon som kommer åt ditt konto kan ju missbruka det förtroendet man eventuellt byggt upp för att lura andra medlemmar.
Har tyvärr sett det hända alldeles för många gånger 😢

Ett tips är att ha en extra mobil på nåt säkert ställe där man har bankid, authenticator mm på så om man skulle förlora sin primära mobil så blir det inte så bökigt.

Det är så pass få som vill anonymisera sina konton att det inte är värt att lägga utvecklingstiden på det. Idag behöver man skicka in ett kontaktmeddelande. Vänligen skapa en egen tråd i Feedback till FZ, om det är en funktion du önskar dig.

Det finns alltid en risk att man inte har koll på sina inloggningsuppgifter. Det är iaf inte en dröse med Bitcoin du tappar bort.

Det är ingen funktion vi kommer att implementera. Du kommer inte heller få alternativet att återställa din 2FA med hjälp av e-post på grund av dess osäkra natur. Det är fritt att använda vår 2FA-lösning och vill du endast förlita dig på ett långt och säkert lösenord (mitt är 128-tecken) är helt upp till dig.

Det tillåter inte end-to-end kryptering och kan snappas upp på vägen alternativt styras om till en annan mottagare.

Är glad att möjligheten finns. Använder samma namn nästan överallt så vill hålla det "låst"
Sparar bara backupkoden i bitwarden som även har en krypterad kopia på annan plats (om det går åt skogen). Sen använder jag Authy för mina 2FA koder.

Jobbar själv inom IT och SMS anses högst osäkert just för MITM (Man-in-the-middle) attacker. Det är relativt enkelt att spoofa nummer och snappa upp koder.
MS ändrade ju också till "number matching" för Azure/AD vilket vi använder då det fanns risker med "push mode" och man bara behövde godkänna med fingeravtryck eller sin upplåsningskod.

Tyvärr har vi SMS som alternativ men jag avråder starkt från det till alla av just säkerhetsskäl, även om det inte är jättevanligt i Sverige att gemene man drabbas av spoofing.

Skämt åsido, 2FA (och övriga IT-säkerhetsåtgärder i allmänhet) är superbra - även om varje enskild del i sig inte är den säkraste blir de tillsammans ett starkare skydd. Det må låta som gnäll, men det är absolut inte fel av FZ att införa det även om de inte slänger med alla tänkbara varianter och alternativ.

Precis som jag nämnde ovan gäller ju inte riktigt principen "en kedja är inte starkare än sin svagaste länk" utan snarare "ju mer desto bättre" när det kommer till IT-säkerhet. Långa slumpmässiga lösenord kan i sig vara ett starkt skydd, medan ett svagare lösenord tillsammans med en "svag" form av 2FA (ex. kod via SMS) kan hålla bättre beroende på vilken sårbarhet som nyttjas i eventuell attack.

Enbart ett långt slumpmässigt lösenord gör ju exempelvis ingen nytta om användarnamn+lösenord (plus ev. hash och salt) läckt, medan en angripare måste ha tillgång till både användarnamn+lösenord *och* telefonnummer samt någon form av metod att se SMS-kommunikation dit (med ex. MITM) alt. enhetsåtkomst, om SMS används som 2FA-metod.

Som sagt dock, det är inte som att jag kräver något eller säger att det är dåligt/fel av er att implementera det här på något sätt, och jag ber om ursäkt om det framstod så. (Hade vaknat på fel sida igår, så jag förstår om det kan ha verkat så.)

Det är rätt intressant, och jag tycker det i regel är lite farligt att lita på att användandet av stora aktörer per definition skulle ge en bra cybersäkerhet. Lastpass, Google (se ex. angreppet mot LTT nyligen) m.fl. har inte direkt varit fläckfria när det kommer till sårbarheter.

Jag har återställningskoder och lösenord på ett hårdvarukrypterat USB-minne som enbart jag kommer åt fysiskt, det tycker jag känns säkrare än att använda en molntjänst. Sen blir det väl lite löjligt om vi ska börja bli så paranoida att vi får det att låta som att våra konton på FZ är något att vaka över som hökar. 😅 Men cybersäkerhet i allmänhet är intressant!