Implementace MFA v různých službách

15.4.2023 22:51 | Přečteno: 1078× | Linux

Před trochu delší dobou jsem tady psal o MFA (multi factor authentization), tak dnes konečně napíšu, jak jsou na tom s implementací vybrané interetové služby (vybrané = mám tam účet)

Amazon Web Services (AWS)

Na začátek něco optimistického. AWS používám docela čerstvě a z implementace jsem docela nadšený. Umožňuje jak použtí Security Key (trefnější je asi říct FIDO key, takový, co se jen zastrčí do USB pak se dotkne plošky, nebo ani to ne, podle nastavení), tak TOTP. Rozlšuje mezi TOTP pomocí aplikace (zobrazí QR kód) a hardwarové zařízení (to musí být speciální od Thalesu, musí se naťukat sériové číslo). Při registraci TOTP to chce dokonce 2 po sobě jdoucí kódy, což jsem jinde neviděl. Sice nevím, jak moc to přispěje k bezpečnosti, když tady je hlavní rizko v tom, že ten kód někdo přečte přes rameno, ale vypadá to namakaně.

Celkem se dá zaregistrovat až 8 zařízení (od všech typů dohromady), takže jde bez problémů mít například 3 TOTP klíče a pokud je potřeba jeden nahradit (z důvodu ztráty nebo poškození), tak je na to pořád slot. A ještě zbyde druhá čtveřice na jiný faktor.

Google

Google asi všichni známe, tak není potřeba moc popisovat. Google je, pokud vím, docela vepředu s nasazením MFA. Docela myslí na všechny možné use-casy, takže například pokud MFA nejde použít, typicky pro strojový přístup (emailový klient), dá se vygenerovat heslo speciálně pro tuto aplikaci a omezit jí práva.

Dá se zaregistrovat víc forem autentizace, ale nenašel jsem zmínku o maximálním počtu. Někdy používá jako bezpečný kanál i telefon, který už je zaregistrovaný (asi všechny dnešní telefony mají bezpečnostní čip, což se dá představit jako že obsahují střeva z FIDO klíče, nevím to přesně, moc jsem to nezkoumal, kdyžtak mě v diskusi opravte).

Ovšem někdy si počíná dost svévolně. Například se mi stalo, že mi posílál kód na telefon, i když jsem chtěl použít FIDO, protože ten telefon jsem zrovna neměl v dosahu.

Takže dojem z Googlu mám takový rozpačitý. Rozhodně to není propadák. Prostě balancují na hraně, aby to bylo bezpečné a ještě to zvládli používat Američané.

Seznam.cz

Tam tedy účet nemám, tak jenom z jejich dokumentace. Píšou: "Pro zapnutí dvoufázového ověření je zapotřebí mít nainstalovaný Seznam.cz prohlížeč", takže to beru tak, že pořádné MFA nemají.

Banky

S bankami je obecně problém. Příslušní manažeři si myslí, že bezpečnosti rozumí víc, než mraky akademiků, kteří se bezpečnosti věnují celý život. Takže většina bank maximálně posílá kód přes SMS. Některé banky mají nějaké pokusy s vlastní aplikací, ale nejsou nijak sdílní s tím, jak to funguje.

Ale asi bych je neodsuzoval, přeci jenom většina klientů bezpečnosti nerozumí vůbec, takže banky jsou na tom podobně jako Google.

Paypal

Payal mě dost zklamal. Nabízí TOTP, FIDO klíč a posílání SMS. Ale celkem jenom 2 různé kousky. Takže se v podstatě nedá mít záložní klíče.

Linked In

Ještě větší mizerie než Paypal. Nabízejí SMS a TOTP. Můžu si vybrat jedno z toho a jenom jeden kousek. Dokonce to jsou takoví matláci, že ani nezobrazí QR kód (registroval jsem to před nějakou dobou, možná to už vylepšili).

Kromě toho se dají vygenerovat recovery codes.

Microsoft (Office 365)

Tam mám účet jen z donucení, ale musím uznat, že na tom nejsou z dnešní přehlídky nejhůř. Umožňují jenom TOTP a telefon (a to nevím, jestli posílají SMS, nebo volají). TOTP může být víc kousků, takže aspoň něco.

Různé

Probral jsem uložená hesla v browseru a pokusně se nalogoval do známějších služeb a obchodů a pokud jsem zaznamenal pokus o MFA, tak to píšu sem. Spíš jde o odstrašující případy.

• Lidl.cz - posílá kódy mailem
• centrum.cz - dá se přihlásit přes Facebook, Google
• alza.cz - nabízí jen SMS. Kromě toho se dá přihlásit přes Facebook, Google, MojeID, Apple a Seznam
• czc.cz - dá se přihlásit přes Facebook, Google, MojeID, Apple
• geocaching.com - dá se přihlásit přes Facebook, Google, Apple
• mironet.cz - TOTP, ale asi jenom jeden kousek, dá se přihlásit přes MojeID, Google
• aliexpress.com - posílá kód mailem a timeout je 60 s.
• tsbohemia.cz - SMS, mail
• eon.cz - snad jenom SMS

Neimplementováno

Na konec jsem si nechal to, kde se MFA neimplementuje vůbec

• abclinuxu.cz - tady to všichni známe
• benefit-plus.eu - tohle je hodně propadák na to, že to je velká platforma pro zaměstnanecké bonusy a disponuje se tam s penězi.

Závěr

Tak to by bylo vše. Obecně se dá říct, že malé eshopy se s MFA nezalamují vůbec, ale často aspoň nabízejí nalogovat se přes nějakou sociální síť, která má MFA implementované.

Větší firmy MFA nějak implementují, ale dost se liší rozsahem a kvalitou, srovnej např. AWS s Linked In.

Častým nešvarem je implementace nějakého dodatku (třeba bezpečnostní otázky), které celé řešení shodí. Tomu jsem se dnes nevěnoval a doufám, že ani v budoucnosti nebudu.        

Obrázky

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru