Vlákno názorů k článku Proč se (ne)přihlašovat přes Seznam.cz od anonym - Obecně, zadávání hesla/otp kódu = riziko phishingu. U...

Obecně, zadávání hesla/otp kódu = riziko phishingu. U password managerů: 1) online/cloudové řešení = riziko kompromitace poskytovatele služby, vydání dat dalším subjektům (např. Státním orgánům) a velká hrozba phishingu 2) offline řešení = nutnost řešit přenositelnost (buď mám db v mobilu nebo někde na šifrovaném disku a musím nosit s sebou), synchronizace (pokud mám na více zařízeních), riziko zranitelnosti v kódu (nutnost sledovat aktualizace atd) .... Samosebou to riziko se díky password managerum řádově sníží, to ano, ale ta cena nekonfortu je velká. Naproti tomu bezheslový webauthn přístup s YubiKey tokeny je krásně elegantní řešení (jedinou nevýhodou je pořizovací cena a bohužel stále pravěk mnoha služeb např zmiňovaný seznam.cz).

V cem je presne problem s TOTP? Osobne je mam ulozene v KeePass, kde je databaze zabezpecena fyzickym YubiKey, tedy si myslim, ze je to "docela v poho" ;)

A to je snad problem? Vzdyt si jde nastavit odesilaci profil (klidne i treba primo ve webmailu - treba Roundcube ci OpenWebmail to umi v pohode).

Nahrazení TOTP druhým tokenem mám v plánu, ale Nitrokey 3A, který jsem si pořídil jako náhradu současných Nitrokey 2 Pro a Nitrokey FIDO2 (s tím, že ty my zůstanou jako záloha), je podle všeho vadný a ještě jsem se nedokopal, abych vyřídil výměnu.

Jednorázová hesla pro případ nouze si ale nechám, pokud jsou uložena na šifrovaném filesystému na jinak nepoužívaném médiu, tak to zase až takové ohrožení bezpečnosti není.

to jsem používal do doby než po mě několik eshopů chtělo poslat email z adresy, na kterou jsem se registroval.

Ja take mohu jen potvrdit, ze unikatni emaily dost zvysuji konfort a do jiste miry i bezpecnost. Ja jej mam pro kazdy eshop.
Reseni mailoveho kose nabizi zdarma lecktery domenovy spravce a pak neni nutne emailove ucty dopredu pripravovat, proste vam dojde naprosto cokoliv @vase_domena, takze je vymyslim ve chvili kdy je zadavam v eshopu/bance/foru apod... A je jen na cloveku co si s tim pak pomoci filtru udela.

zatím nejbezpečnější a zároveň nejvíce user-friendly je mít 2 (nebo úplně ideálně 3) hardwarové tokeny a vypnout všechny ostatní alternativní přihlašovací metody. Služba naopak musí podporovat FIDO2.

Pak odpadá potřeba hesel. V případě tzv. Discoverable Credentials / Resident Keys není potřeba ani zadávat username.

Snad se jednou dočkáme toho, že toto bude standardem u všech služeb.

zvažte 1 (nebo ideálně 2) záložní token(y) a odstranění TOTP a jednorázového hesla, neboť "Celková bezpečnost ověření je tak silná, jak silný je její nejslabší článek " :-)

Dvoufaktorová autorizace zní dobře, ale občas může nastat problém po ztrátě druhého faktoru.

Rozumně udělaná dvoufaktorová autentizace umožňuje nastavit víc nezávislých druhých faktorů, takže běžně používám FIDO2 token a kdyby se s ním něco stalo, mám v záloze TOTP a pro případ nouze ještě sadu jednorázových hesel.

Ta reklama s popisováním novorozenců emailovou adresou mi přijde mimořádně dystopická. Chvíli jsem si myslel, že to je antireklama.

Osobně jsem dlouho vedl hesla v papírovém správci hesel, ale po letech používání jsem přišel o poslední dva znaky u těch nejpoužívanějších… takže jsem zavedl správce hesel. Byť ho nepoužívám k nejdůležitějším službám, tam mu nevěřím na 100 %.
Dvoufaktorová autorizace zní dobře, ale občas může nastat problém po ztrátě druhého faktoru.
Kromě unikátního hesla preferuji i unikátní email. Velmi mi to usnadnilo filtrování pošty a odhalování phishingu. V principu mám asi čtyři hlavní adresy (rodina, přátelé, práce, ostatní) a ostatní přes plus oddělené na jednotlivé přihlášení.