Account/2FA 'best practises'?

Mijn persoonlijke antwoorden:

Wat als mijn telefoon gestolen wordt, wat kan die crimineel dan doen met die authenticator gegevens?

Inloggen. Mits ze uiteraard het wachtwoord van het betreffende account weten uiteraard, het is ten slotte de 2e factor. Simpele mitigatie hiertegen is natuurlijk gewoon een pincode/vingerafdruk op je telefoon instellen. Als iemand hem dan jat kan ie er helemaal niks mee.

Ik denk niet dat ik van ál mijn authenticator 'accounts' een backup code heb. Want/en waar bewaar je dan die backup codes het beste? Op papier?

Wat als je huis afbrand, en je telefoon en je backup codes verbranden? Je zal toch moeten inloggen op een andere locatie/IP adres.

Of voor de zekerheid een paar codes bij iemand leggen die je vertrouwd?

Persoonlijk heb ik ze op een HDD staan die bij mij in de kast ligt. Zoals ik al zei: het zijn code die een 2e factor zijn, zolang de daadwerkelijke wachtwoorden er niet naast liggen heeft niemand er iets aan. Overigens zijn er ook apps waarmee je op een veilig manier een backup kunt maken van al je 2FA accounts. Ik gebruik zelf Authy i.p.v. Google Authenticator en die maakt netjes een versleutelde backup.

Als mijn huis volledig af brand heb ik effectief een telefoon, nieuwe sim kaart en brein (= password) nodig om weer bij mijn 2FA codes te kunnen. Back-up codes bij iemand neerleggen die je vertrouwd is ook een prima optie. Als je dan toch bezig bent: leg er gelijk een back-up naast van dingen die je echt niet kwijt wilt/kunt raken.

Maar wat als die persoon daar toch misbruik van maakt? Hoe ver kan iemand daar mee in je account 'komen'?

Eigenlijk al gezegd, maar: zolang jou wachtwoord er niet bij zit komt niemand ergens in.

Dan heb je nog fysieke sleutels zoals een Yubikey. Ten eerste zou ik nog steeds niet weten welke ik zou moeten kopen - maar ik begrijp ook niet goed of dit nou ter vervanging kan gelden voor authenticator of dat het 'extra' is. En neem je dan een extra fysieke sleutel voor als deze weer kwijt raakt?

Fysieke sleutels zoals YubiKeys zijn in plaats van een authenticator app. Ze vervullen in de basis dezelfde rol, maar in plaats van het overtypen van een code plaats je de sleutel/USB in je computer en druk je op een knop. Ik bezit zelf ook een Yubikey maar persoonlijk gebruik ik deze heel weinig. Het nadeel is namelijk dat deze wel ondersteund moeten worden door de website/service die je gebruikt en vaak is dat niet het geval. Zeker sinds Google het "Tik op 'Ja' om in te loggen" model heeft gebruik ik hem zelden.

YubiKeys zijn een beetje het toppunt van 2FA dat je kunt bereiken maar heel vaak totaal overbodig. Zolang je 2FA hebt op je belangrijkste account en een goed recovery plan is het goed

Rudi555 schreef op maandag 23 augustus 2021 @ 20:15:
Ik vroeg me af wat jullie 'best practise' is om je accounts te beschermen? Bijv Gmail, of een account bij een webhost, accounts waarvan je niet graag wilt dat die in andermans handen vallen.

Op dit moment maak ik hoofdzakelijk gebruik van Gmail, waar ik mijn telefoonnummer heb bevestigd, 2FA/authenticator van Google heb geinstalleerd op mijn telefoon, en backup codes heb uitgeprint, én ik heb een backup email adres gelinked aan deze Gmail account, bij een andere online email service, waar ik ook weer 2FA/authenticator heb geinstalleerd etc.

Alleen ik vraag me dan af;

* Wat als mijn telefoon gestolen wordt, wat kan die crimineel dan doen met die authenticator gegevens?

neem aan dat er een WW/Pincode/Vinger afdruk op staat. De dief komt dus niet in je telefoon.
(soms heb je ook iets als beveiligde mappen. Die dus een extra WW, pincode nodig hebben om een app te openen) Dat zou je als extra nog kunnen gebruiken

* Ik denk niet dat ik van ál mijn authenticator 'accounts' een backup code heb.

Belangrijkste is dat je authencator app goed gebackupped is.
En dat je zelf ook je WW weet (of in een PW manager hebt staan). En waar kan idd overal een recovery e-mail adres hebt.

* Want/en waar bewaar je dan die backup codes het beste? Op papier? Wat als je huis afbrand, en je telefoon en je backup codes verbranden? Je zal toch moeten inloggen op een andere locatie/IP adres.

Dat kan op meerdere plekken. Ik heb ze fysiek in een klein kluisje. Als mijn huis afbrand. heb ik mijn telefoon nog wel. En kan ik wel nieuwe BU codes maken

* Of voor de zekerheid een paar codes bij iemand leggen die je vertrouwd?

Dat kan Maar dan moet je die persoon wel goed vertrouwen.
in de basis weet ik wel je email adres. En dan typ ik een paar het verkeerde WW in. En geef ik op, wil gebruik maken van BU codes.

* Maar wat als die persoon daar toch misbruik van maakt? Hoe ver kan iemand daar mee in je account 'komen'?

Dat kan. Veel diensten die wachten op MFA. En als je niet reageert krijg je vaak optie om een BU code te gebruiken. En dan kan je er dus misbruik van maken.

En waar eindigt het? Ik kan me eigenlijk geen enkele waterdichte manier bedenken om je accounts te beveiligen. Een backup voor een backup voor een backup voor een backup..

Of zie ik nou bepaalde, simpele dingen over het hoofd?

Misschien dat ik enkele doem scenario's heb opgenoemd maar goed.

Bedankt!

Yep.
Er kan altijd wat gebeuren.

Basis is dat je toegang tot accounts wilt beperken.
Er zo veel mogelijk voor wilt zorgen dat je kunt bewijzen dat jij het bent.
Dus overal iets van MFA op.

persoonlijk maak ik me niet zo zorgen over de BU codes.

ik heb WW gewoon in een pw manager staan. ook met MFA er op.
Dat WW is uniek en weet ik alleen.
En mijn MFA tokens heb ik in Microsoft Authenticator staan.
Dit omdat ik die nodig heb voor werk. En kan hem ook prive gebruiken. En Microsoft ondersteun ook het maken van BU's.
Dus bij een clean install heb ik zo mijn TOTP codes en kan ik aan de slag.

Ik denk dat het belangrijk is om je te realiseren dat een aanvaller met 2FA alleen niets kan; je hebt immers ook de gebruikersnaam en wachtwoord nodig. Zolang je sterke wachtwoorden gebruikt, lijkt het mij geen gek idee om backupcodes geprint bij iemand anders te hebben liggen (zolang je die persoon vertrouwd).

Voor de rest denk ik dat je vooral zelf de vragen kunt beantwoorden: Wat is de kans dat je huis met papieren afbrand en ook tegelijk je telefoon? Is die kans groot, ja dan zou ik de backupcodes geprint op een alternatieve locatie bewaren; zo niet hoef je je daar niet druk om te maken. Laat je dus niet gekmaken door andermans advies, maar kijk naar je eigen situatie.

Als ik voor mijzelf spreek: ik maak elke dag van mijn authenticator-app een backup op mijn eigen server. Mijn telefoon kan dan wegvallen, en kan ik met die backup-file mijn authenticator-app herstellen.

Verder is een YubiKey (of SoloKeys) een mooie vervanger voor TOTP. Het voordeel is nl dat je hiermee ook beschermd bent tegen phising, omdat het domein waar je je authenticeert een onderdeel uitmaakt van de challenge. Ik heb zelf 4 hardwarekeys; als een dienst het aanbiedt registreer ik mijn key die aan mijn sleutelbos zit, plus eentje die ik in m'n kluis bewaar. In mijn ervaring werken hardware keys eenvoudiger (en zijn ze iets veiliger), alleen is de ondersteuning helaas nog beperkt. Als je perse yubikey wil, kun je de quiz doen om te kijken welke key voor jou interessant is.

Ik gebruik tegenwoordig 1Password als 2FA applicatie. Dat is een beetje een single point of failure want mijn wachtwoorden staan er ook in. Het is handig maar riskant.

Daarentegen, waar mogelijk gebruik ik Yubikeys (ik heb er 2) en dan zet ik 2FA ook echt uit: het is de sleutel of niks.

Goed draadje! Ik heb een bookmark gezet.

Ik heb als belangrijke eis om ook op andere locaties (bijv. kantoor, vakantie) bij mijn gegevens te kunnen komen. Mijn telefoon vergeet ik nooit. Maar ik heb 3 verschillende sleutelbossen. Ik heb een voor de fiets (alleen huissleutel), auto (huis- en autosleutel) en motor (huis- en motorsleutel). Waar hang ik mijn YubiKey aan?

Ik ben voor 2FA. Ik ben voor veilig werken. Maar eerlijk gezegd begrijp ik nog niet wat de "fallback" kan zijn als ik mijn YubiKey vergeet, kwijtraak of - en dat gaat mij ook vast lukken - kapot maak. Kom ik dan toch weer op het lijstje met "fallback"-codes terecht?

robertnld schreef op dinsdag 24 augustus 2021 @ 08:37:
[...]

Ik ben voor 2FA. Ik ben voor veilig werken. Maar eerlijk gezegd begrijp ik nog niet wat de "fallback" kan zijn als ik mijn YubiKey vergeet, kwijtraak of - en dat gaat mij ook vast lukken - kapot maak. Kom ik dan toch weer op het lijstje met "fallback"-codes terecht?

je kunt meerdere hardware tokens registreren. Als jer er nu vier registreert per dienst, heb je voor elke sleutelbos een en nog een reserve-exemplaar voor in de kluis

Zelf gebruik ik Lastpass als password manager en ben overgestapt naar andOTP. Dit lijkt me veiliger dan de authenticator app gebruiken van Lastpass omdat alles dan alsnog op 1 plek zit. Qua backup kun je de database exporteren. Dit lijkt me veilig genoeg om alsnog de 2fa terug te krijgen als ik geen toegang meer heb tot mijn huidige telefoon. Als dit bestand dan ergens staat buiten je eigen huis dan lijkt het me genoeg qua protectie. Misschien heb je er iets aan