Włączamy dwuetapowe logowanie na PZD

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
9846
Reakcje/Polubienia
10470
Miasto
Somewhere over the rainbow.
W dzisiejszych czasach samo hasło podczas logowania to trochę za mało żeby czuć się w miarę bezpiecznie dlatego na PZD możliwe jest dwuetapowe logowanie na konto. Oprócz tradycyjnego hasła, które oczywiście powinno być jak najbardziej skomplikowane konto dodatkowo zabezpieczone jest jednorazowym kodem. Dobrze jest włączyć tę funkcję bo nawet w przypadku utraty/złamania hasła zalogowanie na konto nie będzie możliwe bez dodatkowego kodu.

Krótki poradnik jak włączyć dwuetapową weryfikację konta:

1. W podglądzie naszego profilu przechodzimy na stronę "Uwierzytelniania wielopoziomowego"
hOMy2x5.png


2. Podajemy hasło do naszego konta:
TslGrMa.png


3. Na następnej stronie będziemy mieć wybór sposobu otrzymywania jednorazowych kodów. Pierwszy sposób to aplikacja na smartfona lub tablet Google Authenticator a drugi to nasz adres mailowy, którego używamy do logowania na PZD.

dX4YlEz.png


4. Chcąc skorzystać z Google Authenticatora musimy go najpierw zainstalować. Na
Zaloguj lub Zarejestruj się aby zobaczyć!
lub
Zaloguj lub Zarejestruj się aby zobaczyć!
i
Zaloguj lub Zarejestruj się aby zobaczyć!
.

5. Jeśli wszystko mamy już zainstalowane i ustawione klikamy "Enable" przy pierwszej opcji "Verification Code via App".

6. Na kolejnej stronie dodajemy nasze konto PZD do Google Authenticatora. W tym celu uruchamiamy GA i skanujemy kod widoczny na stronie

nmIKkv1.png


7. Następnie w aplikacji GA dodane zostanie konto PZD i wyświetlony zostanie kod, który musimy wpisać w ramce "Verification code" widoczną pod kodem QR.

ZTcQKJp.png


kod jest jednorazowy i wyświetlany przez chwilę. Po pewnym czasie automatycznie generowany jest nowy kod.

8. Jeśli wszystko zrobiliśmy poprawnie na następnej stronie zobaczymy włączone dwuetapowe logowanie poprzez aplikację. Będziemy mieli także możliwość zarządzania tą funkcją, włączenia weryfikacji poprzez maila oraz pobranie zapasowych kodów.

wdyGZde.png


9. Jeśli nie chcemy korzystać z aplikacji i wolimy otrzymywać kody mailem klikamy na "Enable" przy funkcji "Email Confirmatiion"

bBDaEtp.png


10. Na kolejnej stronie wpisujemy kod weryfikacyjny otrzymany na nasz adres mailowy i klikamy "Potwierdź"

FT3nwR5.png


11. Jeśli chcemy zalogować się na PZD a nie mamy dostępu do naszego telefonu albo maila możemy skorzystać z kodów zapasowych. Klikamy na "Manage" przy funkcji "Backup Codes"

wdyGZde.png


I przechodzimy na kolejna stronę,a na której wyświetlone będą zapasowe kody

a5kuEKm.png


12. Zapisujemy w bezpiecznym miejscu kody i możemy z nich skorzystać w dowolnym momencie. Kody są oczywiście jednorazowe. W każdej chwili możemy wygenerować listę nowych kodów zaznaczając "Generate new backup codes".

13. Podczas logowania na PZD podajemy nasz login, hasło oraz wygenerowany kod. Jeśli z danego urządzenia logujemy się regularnie możemy zaznaczyć "Trust this devide for 30 days" i wówczas przez miesiąc nie będziemy musieli podawać kodów bezpieczeństwa podczas logowania.

GMfiCWZ.png


W ten sposób dodatkowo zabezpieczymy nasze konto na PZD :comp
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
3. Na następnej stronie będziemy mieć wybór sposobu otrzymywania jednorazowych kodów. Pierwszy sposób to aplikacja na smartfona lub tablet Google Authenticator a drugi to nasz adres mailowy, którego używamy do logowania na PZD.

OK, pytanie techniczne: czy implementacja OTP jest zgodna z RFC 6238?
Zasadniczo to Google Authenticator ma swoje plusy, ale parę minusów też, jako:
- brak zabezpieczenia PINem, czyli dostęp do urządzenia = dostęp do autentykacji;
- brak backupu, czyli w przypadku zmiany telefonu, upgrade firmwaru (poza OTA czy dirty flashem) trzeba wszystko ustawiać od nowa
poza tym, mając KeePass na PC, mozna by użyć Keepass2Android, który ma też implementację TOTP po ww standardzie.

Dla jasności: bardzo dobra idea, a przynudzam jedynie z lenistwa bo mi się nie chce nowego czegoś tam instalować na fonie ;)
 

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
9846
Reakcje/Polubienia
10470
Miasto
Somewhere over the rainbow.
Tak, jest zgodna z RFC 6238. Oprócz GA jest też możliwy wybór innej aplikacji.
Co do braku zabezpieczenia PINem to już raczej sprawa po stronie usera. Można ustawić PIN na telefonie a w dodatku jeśli nawet ktoś ma dostęp do naszego telefonu to nie ma hasła do konta.
Brak backupu jest jakimś tam problemem ale znowu nie co tydzień, zmienia się telefon. :jaranko
Zawsze można korzystać z maila zamiast GA.
Co do Keepassa się nie wypowiadam bo nie używam.
Generalnie wyszedłem z założenia że lepsze to niż samo hasło. Korzystać nie trzeba. Napisałem że to dodatkowo zabezpiecza konto a nie że idealnie zabezpiecza :szef
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
No przecież napisałem, że dwuetapowe zabezpieczenie to fajna idea :p

Co zaś do fona: na S7 wychodzi co miesiąc nowa wersja ROMu, i od czasu do czasu by warto zrobić czysty flash, bo jak nie to casem coś się lubi ciąć...
 

joa87

Bardzo aktywny
Dołączył
13 Październik 2010
Posty
464
Reakcje/Polubienia
128
Miasto
Szczecin
Włączyłam u siebie dwuetapowe logowanie na PZD. Wybrałam drugą opcję, z mailem... Wpierw musiałam zmienić mój adres mailowy, bo kod uwierzytelniający nie przychodził na wp. Teraz czuję się bezpieczniej. :)

Edit: chciałam się tylko upewnić... Te kody uwierzytelniające, które dostaję, są wysyłane z automatu? Bo nie włączyłam opcji: zaufaj temu urządzeniu przez 30 dni, bo biorę pod uwagę to, że któraś aktualizacja wydana przez Microsoft, może mi system położyć.
 
Ostatnia edycja:

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Hmm... albom cos przeoczyl, albo nie ma mozliwosci podpiecia dwoch kluczy weryfikujacych, e.g. mozna sobie wygenerowac nowy sekret dla nowego klucza, ale opcja typu: "klucz podstawowy i klucz backup" nie istnieje?
Nie to zebym sie czepial, w przypadku zgubienia mozna oczywiscie zawsze posluzyc sie do wejscia kodami jednorazowymi w przypadku zgubienia klucza i wygenerowac sekret dla nowego urzadzenia.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Sam se sobie odpowiem (a komus moze sie przyda) ABBYY na stronach takich jak PZD, PayPal, ebay, MS itp (innymi slowy: wykorzystujacymi aplikacje z kodami jednorazowymi) moc korzystac z DWOCH kluczy yubikey, o ile nie ma mozliwosci zarejestrowania dwoch niezaleznych kluczy (jest w przypadku np. gov.uk z tego co wiem) robimy tak:
Pre A: logujemy sie na stronce
Pre B: wlazimy tam gdzie slonce.. znaczy: tam gdzie dwuskladnikowe uwierzytelnianie
Pre C: WYLACZAMY dwuskladnikowe uwierzytelnianie (ni mo innej opcji, jak juz to mamy wlaczone). JEzeli nie mamy wlaczonego czyli robimy na swiezynke - pomijamy ten krok
A teraz:
1. wlazimy na strone tam, gdzie sie se sobie wyswietla kod QR (i ten alfanumeryczny do manuala tyz, ze ja leniwy to mnie akurat latwiej);
2. Wtykamy klucz 1, 5tworzymy nowe konto w trybie MANUAL (bo mnie latwiej),
3. W nazwe i providera wpisujemy cobadz,
4. W pole do podania challenge wpisujemy ten kod alfanumeryczny (copypaste) i save
5. NIE WPISUJEMY poki co NIC na stronie, wyciagamy klucz 1, (ta, wiem, napisalem do supportu ze to idiotyzm zeby sie nie dalo w apce przelaczyc slotu usb, maja pomyslec)
6. powtarzamy 2-4 dla klucza 2
7. Wpisujemy wygenerowany kod odpowiedzi w apce na stronce
8. Zacieszamy sie dwoma kluczami pasujacymi do jednego konta

Dziala na pzd, paypal, yandex, MS... reszty mi sie nie chce sprawdzac (bom leniwy) ale zasadniczo to powinno dzialac na wszystkim co wykorzystuje aplikacje do uwierzytelnienia dwuskladnikowego.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Kurcze gdzies juz o tym pisalem ze sie staram ale za wafla se nie przypominam gdzie i kiedy... wiec tak:
Wyszla wersja 1.6.1 yubikey authenticator na Windows.
Zmiana (ktora sobie osobiscie bardzo cenie bo o nia monitowalem w yubico jakis czas temu) to:
MOZNA miec wtykniete na raz dwa lub wiecej kluczy, oraz w programie wskazanie KTORY ma program uzywac w danej chwili, czyli skonczylo sie moje mieszanie na biednym porcie USB i wymiana klucza w dziurce... w porcie znaczy co 5 minut.
Zadko pisze ze cos jest OK, ale ta raza i owszem, japa mnie sie cieszy.
 
Do góry