MFA/2FA en backups - Privacy en beveiliging

maandag 14 september 2020 16:02

Acties:

0 Henk 'm!

Topicstarter

Ik heb een vraag over het gebruik van Authenticators en het verlies van mijn telefoon. De angst van mij is dat ik de toegang tot mijn accounts verlies wanneer ik mijn telefoon kwijt raak en geen toegang meer heb tot mijn telefoonnummer.

Het scenario zou als volgt zijn: ik verlies mijn telefoon en vervolgens wil ik inloggen in mijn accounts die gekoppeld zijn met de MFA van respectievelijk Google, Microsoft en Lastpass. Ik weet de wachtwoorden tot die accounts ook niet, omdat alles gekoppeld is aan Lastpass.

Voor Google heb ik backup codes, die daarmee kan ik de MFA nog wel omzeilen middels die code en het vervolgens uitschakelen. Ik heb echter geen idee hoe dit moet bij Lastpass of bij Microsoft.

Zijn er gemakkelijke manieren waarop ik dit kan veilig stellen? Ik vrees dat ik aardig de klos ben wanneer ik nu mijn telefoon zou kwijtraken.

[ Voor 5% gewijzigd door Belecthor op 14-09-2020 16:06 ]

maandag 14 september 2020 16:11

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Google kan via die codes. MS kan op iOS de MFA backuppen naar de iCloud, misschien ook bij Android? Moet je wel Google vertrouwen natuurlijk. Lastpass: geen idee.

Mijn strategie is de naïeve hoop hebben dat niet foon, tablet, PC en laptop alle vier tegelijk sneuvelen. Als je een wat verder weg wonend familielid vertrouwt zou je die misschien ook kunnen laten autoriseren, althans bij iOS kan dat geloof ik.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 14 september 2020 16:12

Acties:

0 Henk 'm!

hp-got

Moi

Herkenbaar scenario, zonder telefoon ben je tegenwoordig niemand meer, kan je nergens bij.

Ik heb daarom gekozen voor Yubikey, daarmee kan je op vrijwel elk apparaat MFA doen: klik

Ik heb er twee aangeschaft, eentje als back-up ergens in een kluis en eentje voor dagelijks gebruik.

Als data het nieuwe goud is dan is je telefoon een goudmijn. | Mijn RIPE Atlas probe

maandag 14 september 2020 21:51

Acties:

0 Henk 'm!

Shinji

Belecthor schreef op maandag 14 september 2020 @ 16:02:
Ik heb een vraag over het gebruik van Authenticators en het verlies van mijn telefoon. De angst van mij is dat ik de toegang tot mijn accounts verlies wanneer ik mijn telefoon kwijt raak en geen toegang meer heb tot mijn telefoonnummer.

Het scenario zou als volgt zijn: ik verlies mijn telefoon en vervolgens wil ik inloggen in mijn accounts die gekoppeld zijn met de MFA van respectievelijk Google, Microsoft en Lastpass. Ik weet de wachtwoorden tot die accounts ook niet, omdat alles gekoppeld is aan Lastpass.

Voor Google heb ik backup codes, die daarmee kan ik de MFA nog wel omzeilen middels die code en het vervolgens uitschakelen. Ik heb echter geen idee hoe dit moet bij Lastpass of bij Microsoft.

Zijn er gemakkelijke manieren waarop ik dit kan veilig stellen? Ik vrees dat ik aardig de klos ben wanneer ik nu mijn telefoon zou kwijtraken.

Wellicht begrijp ik het issue niet helemaal, maar kan lastpass bijvoorbeeld niet ook je MFA codes genereren? Ik gebruik Bitwarden en die gebruik ik ook als authenticator. Dat kan via een app of de browser dus heb daar waar dan ook de beschikking over.

Bitwarden is zelf dan weer beveiligd met een Yubikey dus dat is dan een single point of failure denk ik. Maar daar kan je er dus ook twee van hebben. Maar het maakt allemaal niet uit wat er met mijn telefoon gebeurd, ik kom er nu altijd wel in.

donderdag 17 september 2020 11:42

Acties:

0 Henk 'm!

Belecthor

Topicstarter

Shinji schreef op maandag 14 september 2020 @ 21:51:
[...]

Wellicht begrijp ik het issue niet helemaal, maar kan lastpass bijvoorbeeld niet ook je MFA codes genereren? Ik gebruik Bitwarden en die gebruik ik ook als authenticator. Dat kan via een app of de browser dus heb daar waar dan ook de beschikking over.

Bitwarden is zelf dan weer beveiligd met een Yubikey dus dat is dan een single point of failure denk ik. Maar daar kan je er dus ook twee van hebben. Maar het maakt allemaal niet uit wat er met mijn telefoon gebeurd, ik kom er nu altijd wel in.

Naar mijn weten kan Lastpass dit niet helaas. Een Yubikey zou helpen, maar dat is inderdaad ook een single point of failure en dat heeft ook niet mij voorkeur.

donderdag 17 september 2020 11:44

Acties:

0 Henk 'm!

Luxicon

MS heeft ook backup codes, dus ook die kun je opslaan. Voor Lastpass weet ik dit niet.

...

donderdag 17 september 2020 11:45

Acties:

0 Henk 'm!

Verwijderd

Backup codes
Een hardwaretoken
Een tweede smartphone/tablet gebruiken

donderdag 17 september 2020 11:48

Acties:

0 Henk 'm!

Luxicon

Mocht je er met Lastpass niet uitkomen, kun je overwegen om over te stappen naar een manager die dit wel ondersteund. Of exporteer de inhoud van Lastpass en bewaar deze op een veilige manier. Mocht je onverhoopt de toegang verliezen, kun je de inhoud importeren naar een nieuw account.

...

donderdag 17 september 2020 11:52

Acties:

0 Henk 'm!

Bazvv

Microsoft Authenticator heeft gewoon ingebouwde backup functionaliteit gekoppeld aan je MS account op Android en gekoppeld aan je iCloud account op iOS.
https://docs.microsoft.co...-auth-app-backup-recovery

LastPass kan je ook koppelen aan MS authenticator.
Voor je MS account zelf kan je alternatieve e-mail adres en/of een telefoonnummer opgeven voor account recovery.

[ Voor 35% gewijzigd door Bazvv op 17-09-2020 11:56 ]

donderdag 17 september 2020 11:53

Acties:

0 Henk 'm!

mcDavid

Er zijn ook TOTP apps waarbij je een export kan maken van je tokens, zoals bijvoorbeeld AndOTP. Bedenk dan wel goed wat je met deze backup doet, als je die zomaar ergens in "de cloud" gooit is het idee van "something (only) you have" natuurlijk een beetje gepasseerd...

donderdag 17 september 2020 11:56

Acties:

0 Henk 'm!

Rannasha

Does not compute.

Bij TOTP 2FA (het soort dat met een app zoals Google Authenticator werkt) krijg je een QR-code (en een alfanumerieke code) te zien die je met de app moet scannen.

Wat ik in zo'n geval doe is deze QR-code uitprinten, de print scannen (om zeker te zijn dat de print leesbaar is) en het papier vervolgens bij de andere belangrijke documenten bewaren. Mocht ik mijn telefoon verliezen, dan kan ik met een andere telefoon de QR-codes opnieuw inscannen en direct weer verder.

|| Vierkant voor Wiskunde ||

donderdag 17 september 2020 12:23

Acties:

0 Henk 'm!

Belecthor

Topicstarter

Rannasha schreef op donderdag 17 september 2020 @ 11:56:
Bij TOTP 2FA (het soort dat met een app zoals Google Authenticator werkt) krijg je een QR-code (en een alfanumerieke code) te zien die je met de app moet scannen.

Wat ik in zo'n geval doe is deze QR-code uitprinten, de print scannen (om zeker te zijn dat de print leesbaar is) en het papier vervolgens bij de andere belangrijke documenten bewaren. Mocht ik mijn telefoon verliezen, dan kan ik met een andere telefoon de QR-codes opnieuw inscannen en direct weer verder.

Dit is perfect en exact wat ik zoek eigenlijk. Dit zou voor alle MFA apps moeten werken, omdat ze allen werken met QR-codes, toch? Zijn deze QR-codes enkel inzichtelijk bij het initiële instellen of zijn deze ook nog later opvraagbaar? Ik kan zo 1-2-3 geen optie vinden in de apps van Google, MS & Lastpass.

donderdag 17 september 2020 12:59

Acties:

+1 Henk 'm!

Rannasha

Does not compute.

Belecthor schreef op donderdag 17 september 2020 @ 12:23:
[...]

Dit is perfect en exact wat ik zoek eigenlijk. Dit zou voor alle MFA apps moeten werken, omdat ze allen werken met QR-codes, toch? Zijn deze QR-codes enkel inzichtelijk bij het initiële instellen of zijn deze ook nog later opvraagbaar? Ik kan zo 1-2-3 geen optie vinden in de apps van Google, MS & Lastpass.

Normaalgesproken zijn ze alleen zichtbaar wanneer je de 2FA activeert, vanwege de veiligheid.

Wat je kunt doen is 2FA van een account verwijderen en vervolgens opnieuw instellen. Dan krijg je een nieuwe code en heb je de kans om die uit te printen.

|| Vierkant voor Wiskunde ||

vrijdag 18 september 2020 17:46

Acties:

0 Henk 'm!

Rolfie

Microsoft heeft als het goed is een fallback naar je telefoon nummer, en in de zakelijke variant, kan je ook meerdere toestellen koppelen.

Alterbatief authy. Hiermee backup je de MFA richting de cloud. Werkt heel goed.

vrijdag 18 september 2020 17:58

Acties:

0 Henk 'm!

mcDavid

Als je de tokens uit je MFA app kunt exporteren, zou je eventueel de bijbehorende QR-code opnieuw kunnen genereren met een tool als https://stefansundin.github.io/2fa-qr/

vrijdag 18 september 2020 19:12

Acties:

0 Henk 'm!

Belecthor

Topicstarter

Rolfie schreef op vrijdag 18 september 2020 @ 17:46:
Microsoft heeft als het goed is een fallback naar je telefoon nummer, en in de zakelijke variant, kan je ook meerdere toestellen koppelen.

Alterbatief authy. Hiermee backup je de MFA richting de cloud. Werkt heel goed.

Authy klinkt inderdaad ook goed, volgens mij werkt dat perfect voor mijn doeleinden. Al vind ik het idee om het zelf handmatig gebackupt te hebben op papier gek genoeg wel prettig ook.

vrijdag 18 september 2020 19:20

Acties:

0 Henk 'm!

Rolfie

Belecthor schreef op vrijdag 18 september 2020 @ 19:12:
Authy klinkt inderdaad ook goed, volgens mij werkt dat perfect voor mijn doeleinden. Al vind ik het idee om het zelf handmatig gebackupt te hebben op papier gek genoeg wel prettig ook.

Mee eens. Wat mij voornamelijk bevalt, is dat het direct synct op al mijn devices automatisch. Ik ben er heel blij mee.

Al zijn er wel wat export scripts te vinden op Internet. Hoe goed deze werken, durf ik niet te zeggen.

vrijdag 18 september 2020 21:15

Acties:

0 Henk 'm!

Belecthor

Topicstarter

Rolfie schreef op vrijdag 18 september 2020 @ 19:20:
[...]

Mee eens. Wat mij voornamelijk bevalt, is dat het direct synct op al mijn devices automatisch. Ik ben er heel blij mee.

Al zijn er wel wat export scripts te vinden op Internet. Hoe goed deze werken, durf ik niet te zeggen.

Top! Dus als ik het goed begrijp is een setup als volgt goed:

Alle accounts hebben een:
1. Wachtwoord, gestored in password manager
2. 2FA codes in Authy

Wanneer iemand mijn wachtwoorden heeft, behalve die van Authy, dan kan men vervolgens nergens waar 2FA zit inloggen. Heb ik dat juist? Dus de single point of failure is dan het vergeten van mijn Authy wachtwoord, want dan kan ik niet meer in mijn password manager

.

vrijdag 18 september 2020 21:23

Acties:

+1 Henk 'm!

Verwijderd

Belecthor schreef op vrijdag 18 september 2020 @ 21:15:
[...]

Top! Dus als ik het goed begrijp is een setup als volgt goed:

Alle accounts hebben een:
1. Wachtwoord, gestored in password manager
2. 2FA codes in Authy

Wanneer iemand mijn wachtwoorden heeft, behalve die van Authy, dan kan men vervolgens nergens waar 2FA zit inloggen. Heb ik dat juist? Dus de single point of failure is dan het vergeten van mijn Authy wachtwoord, want dan kan ik niet meer in mijn password manager .

In principe klopt dat ja.

Je authy wachtwoord is alleen voor backups hè, en authy heeft een handige functie waarmee af en toe een pop-up wordt aangeboden om je wachtwoord opnieuw in te vullen.