Piano di recupero in caso di smarrimento dello smartphone Android con Google Authenticator?

3

Quindi sto utilizzando Google Authenticator come autenticazione a due fattori.

Non sono un esperto di sicurezza, ma stavo pensando tardi ieri sera mentre stavo per addormentarmi:

How can I login to my favourite 2FA-enabled websites if I lose my Android?

Qualcuno con la conoscenza di questo genere di cose può consigliare cosa potrei fare per salvaguardarlo dal perdere il mio Android? Ho eseguito roba mission-critical su Amazon EC2 e ho attivato 2FA.

Ciao a tutti, così ho finito per accedere a tutti i miei account e disattivare 2FA. Ho quindi riattivato 2FA in tutti i miei account, ma ho anche salvato il codice QR nella mia cartella crittografata. Penso che sia la soluzione migliore? In questo modo, non sto facendo affidamento su Google ...

    
posta Eamorr 21.10.2014 - 11:38
fonte

3 risposte

3

Innanzitutto assicurati che nessuno possa abusare dei tuoi codici. Ciò potrebbe essere ancora più dannoso di quanto non sia possibile accedere per un breve periodo. Quindi crittografa il tuo telefono e la tua scheda SD esterna se i dati sono memorizzati lì. Ciò richiede l'utilizzo di un PIN o una password per utilizzare il telefono. Quindi nessuno può utilizzare Authenticator senza conoscere il PIN. Non usare 0000 o 1234 ma qualcosa di complicato e facile da scrivere che è abbastanza lungo da rendere impossibile la rottura a mano.

Utilizza codici di backup e puoi utilizzare un numero di telefono di backup per l'accesso a Google, probabilmente anche per altri accessi.

Installa il tuo telefono, utilizza Titanium Backup per eseguire il backup del tuo telefono, incluse app come Google Authenticator, incluse le impostazioni e i dati dell'utente. Quando lo ripristini, come in una VM, puoi continuare a utilizzare la 2FA come normale. Eseguire il backup su un computer locale e eseguire il backup su un'unità crittografata se è necessaria la protezione. Mantenere più backup in posizioni diverse, se necessario.

Crea una VM Android , installa Google Authenticator su di esso. Crea nuovi sincronismi. Se si desidera proteggere questa VM, installare i dischi della virtualbox su un disco crittografato.

Aggiorna

Ultimamente uso l'app Authy , che rende possibile eseguire backup e quali possono essere utilizzati come app di Chrome.

    
risposta data 21.10.2014 - 12:46
fonte
1

Probabilmente è troppo tardi per alcuni siti, ma suggerirei di prendere uno screenshot di qualsiasi codice QR e di salvarlo da qualche parte in sicurezza. Ciò potrebbe significare stamparli e metterli in una scatola ignifuga. Ciò ti consentirà di riesaminarli in un secondo momento. Se hai questa opzione su qualsiasi sito, ti consiglio di farlo.

Un'opzione simile è scansionare il codice QR con Zxing prima di Google Authenticator, ottenere il suo contenuto testuale (che è un URL) e archiviare quel testo in un posto sicuro. Puoi quindi incollare il testo / url in un desktop QR client per rigenerare il codice QR in qualsiasi momento.

Un suggerimento che ho è di creare codici di backup . Puoi utilizzare questi come codici di accesso una tantum nel caso in cui tu possa ottenere un codice di autenticazione. Questo ti riporterà almeno in Google / gmail, dove puoi ricevere codici da altri servizi via email. Seguendo linee simili, Google ti invierà via email o SMS i codici se non puoi usare il telefono.

Un'altra opzione è il servizio chiamato Authy . Funziona allo stesso modo di Google Authenticator. Ho provato l'app prima e sembra funzionare bene. Hanno anche un client desktop. Non l'ho provato, ma questo ti permetterebbe di generare gli stessi codici di Google Authenticator. Anche Authy ha app, quindi puoi metterlo su un tablet o un vecchio telefono come generatore di backup.

    
risposta data 21.10.2014 - 12:15
fonte
0

Scorri molto l'utilizzo dell'app Google Authenticator in quanto non fornisce un modo per eseguire il backup e ripristinare i tuoi account. L'idea è che un servizio dovrebbe fornire un codice di backup.

Bene, Amazon no. L'unico modo praticabile per ripristinare l'accesso al tuo account (tranne l'invio dei documenti e la firma della dichiarazione giurata) è di ricevere una telefonata. Quindi se trasferisci paesi (cosa al momento insolita) e ottieni una nuova sim card e qualcosa è successo al tuo telefono, sei fregato. Mi sono trasferito dall'Ucraina alla Germania e poi in Australia. Il mio telefono è morto. Di conseguenza, il mio account è stato bloccato e non è possibile ripristinare l'accesso. In Australia, la Justice of Piece non mette un timbro su forme come quella che Amazon chiede di compilare. Così ho inviato loro i miei documenti e firmato dall'affidavit JP e loro l'hanno rifiutato perché non aveva un timbro. Ora, non ho idea di dove siano i miei documenti. Ho chiesto loro di rimuoverli ma non ho ricevuto risposta. Fantastico! Bravo Amazon, bravo Google!

Non sono solo qui: link

Modifica: Consiglierei di utilizzare altre app che offrono possibilità di backup. Inoltre, quando si tratta di Amazon, mantieni attiva la scheda SIM in quanto l'unica possibilità di recuperare l'accesso al tuo account è ricevere una telefonata. L'accesso al tuo protetto da email 2FA non conta.

    
risposta data 09.11.2018 - 01:40
fonte

Leggi altre domande sui tag