Är inte 2FA/MFA onödigt egentligen?

Det är rätt simpelt och tag sig förbi det systemet, om man vet man gör+ det är inget super avancerat

Men det skadar inte att använda det.

Klart det inte är simpelt att ta sig förbi det. Är du efterbliven? Ska du sno personens mobil samt komma över dennes säkerhetskod bara för att kunna komma in i ett konto?

Du behöver absolut inte någons telefon, märks att du inte är så insatt.

Men ingenting som tas på Flashback.

Ja trolla kan du ju iaf.

Implementerade själv MFA på en kunds sajt igår och tänkte dela med mig av lite saker jag funderade på under tiden.

Förvisso så har du rätt i teorin, om lösenorden är säkra och lagrade med lösenords säker hash, d.v.s en hash som tar väldigt lång tid att beräkna. Då har du i princip ett system som är säkert med enbart lösenord.

Men för att det ska fungera i praktiken så måste vi reda ut några myter om lösenord, först och främst längd. Om ditt "säkra lösenord" bara är 8 tecken, men med specialtecken, t.ex "p@ssw0rd" så är det inget säkert lösenord, även om vi antar att ingen kan gissa det. Detta eftersom det bara tar några sekunder att köra brute force på det.

Med det sagt så har vi rate limits på webbservern, t.ex kan servern förbjuda att man testar fler än 3 lösenord varje timme eller liknande, återigen så låter det bra i teorin, men om servern läcker ut hela databasen med hashade lösenord så har dessa rate-limits ingen betydelse då hackern kan komma över hela listen och brute forca lokalt.

Tittar vi dock på långa lösenord, eller mer korrekt lösenordsfraser som bygger på hela meningar, då har vi förvisso ett system som är säkert på 7/8 punkter. Tyvärr så fallerar det dock på den mänskliga faktorn, när kreti och pleti skriver upp meningen på en post-it lapp eller lägger in det i lastpass eller linkande osäker lösenordshanterare som sen hackas.

Slutligen så har vi återställningsfunktionen, d.v.s om en användare glömmer sitt lösenord så måste de kunna beställa ett nytt nånstans, t.ex till sin e-post adress, och detta ska då fungera utan lösenord vilket gör det hela mycket sårbart.

Ja se där, nu blev det ett långt inlägg men det ger en ide om varför MFA är nödvändigt. Så vad har vi då för metoder, till att börja med så har vi e-post och sms men dessa både är egentligen inte speciellt bra då sim swaps och hackade epost konton gör det möjligt för hackers att komma över kontot lik förbannat.

Där har tidsbaserade OTP koder en bra fördel. Ett enkelt nyckelpar i praktiken kan man säga där användaren sparar den privata nyckeln, samt att sajten också har en kopia, på så vis kan båda skapa den 6-siffriga koden när tiden är i synk och jämföra att dessa stämmer. Således kommer ingen obehörig åt kontot.

Dock så är långa säkra lösenord fortfarande nödvändigt, och webbservern och databasen som lagrar alla secrets måste även den skyddas om detta system ska vara säkert. Det ger ett extra lager av säkerhet, men om databasen läcker och kunden valt ett uselt lösenord så havererar nog allt ändå.

Jag vill återigen slå ett slag för passkeys som bättre än user/password.
Håller med dig fullt i övrigt.