Best practice per l'archiviazione dei codici di ripristino 2FA

0

Recentemente ho iniziato a utilizzare 2FA su una serie di servizi e non sono sicuro di come memorizzare al meglio i codici di ripristino. Posso pensare a 3 opzioni:

  • In una nota sicura su LastPass
  • In una cartella Dropbox
  • Su una chiavetta USB

Tutti sembrano avere i loro trabocchetti rispettivamente:

Nel caso di lastpass: le mie password sono tutte stringhe casuali lunghe circa 20-30 caratteri (in base alle politiche sulla password dei servizi). Quindi dubito che qualcuno sarà in grado di indovinare o forzare la password su uno dei miei account. Quindi il modo più probabile con cui ho un account compromesso è se qualcuno compromette l'ultimo passaggio - nel qual caso 2FA sarebbe inutile se anche i codici di sicurezza fossero memorizzati lì.

Nel caso di Dropbox: la ragione più probabile per cui ho bisogno dei codici di sicurezza è se perdo il mio telefono - ma poi non sarò in grado di accedere a Dropbox comunque perché ho attivato anche 2FA così quei codici di recupero saranno tutti essenzialmente essere perso.

Nel caso di una chiavetta USB: questo sembra l'equilibrio di scrivere password su note post-it - facile da perdere / dimenticare o potrebbe non funzionare 10 anni dopo la sua necessità.

Fuori dai 3 la chiavetta USB sembra l'opzione migliore ma mi stavo chiedendo se qualcuno ha trovato un modo migliore per archiviare i codici di ripristino? Anche se la memoria fisica è la strada da percorrere, esiste un mezzo preferibile per questo? Forse una sorta di deposito che è durevole per un lungo periodo di tempo e che probabilmente rimarrà rilevante nel futuro?

    
posta John Devitt 01.10.2017 - 15:54
fonte

4 risposte

2

Opzione 4: stampali in formato cartaceo (non digitale) e conservali in un posto in cui puoi tenerli al sicuro.

    
risposta data 03.10.2017 - 04:58
fonte
2

Prima di tutto, chiariamo che i codici di recupero 2FA vengono utilizzati per bypassare 2FA stesso.

Lo scopo principale di 2FA è quello di assicurarti di fornire un segreto da due diversi "canali", ad esempio, qualcosa che conosci o qualcosa che hai. La password è qualcosa che conosci e anche i codici di ripristino, se conservati in memoria (il tuo cervello o l'hard disk del tuo computer) sono qualcosa che conosci. Senza entrare troppo in discussione sulla sicurezza di questi codici di ripristino, mi sembra ovvio che il fattore "qualcosa che hai" funzioni meglio quando è completamente fuori dal mondo virtuale. Cioè, mantenendo i codici in un pezzo di carta, o piccoli pezzi di carta per ogni codice, potrebbe essere la migliore opzione IMHO. Criptarlo chiaramente e archiviarlo nel cloud o in un computer / dispositivo / usb separato potrebbe funzionare, ma alla fine è necessario decifrare e accedere a questi codici in formato testo. In caso di emergenza potrebbe non essere l'ideale o se i tuoi sistemi / reti sono stati compromessi, i codici non crittografati potrebbero essere accessibili a un utente malintenzionato. Pertanto, credo che se si stampa il codice e si conservi nel portafoglio, ad esempio, si mantengono le proprietà protette di 2FA. Potrebbe essere necessario riconsiderarlo se si viaggia in aereo poiché i funzionari potrebbero essere in grado di costringerti a fornire la tua password e confiscare il tuo portafoglio. Quindi solo una nota di cui essere a conoscenza:)

    
risposta data 03.10.2017 - 12:13
fonte
0

Conservo il mio in un documento crittografato memorizzato su iCloud. L'account iCloud ha l'autenticazione a due fattori abilitata, ma ho quattro dispositivi registrati, e penso che le probabilità di perdere contemporaneamente il mio portatile, desktop, telefono e tablet sono piuttosto basse. Naturalmente, ho la password di crittografia e la password di iCloud impegnata in memoria.

    
risposta data 01.10.2017 - 16:04
fonte
0

Conservo le mie password in un gestore di password di archiviazione locale, con un backup su un dispositivo diverso, perché come dinosauro piuttosto vecchio, non mi fido del cloud per una strong privacy. Lo stesso nella mia vita reale, porto le chiavi di casa in tasca e non le lascio in un vaso di fiori per trovarle appena ho bisogno di loro.

Con questo processo, mantengo i codici di recupero nel vault del gestore password insieme alle credenziali.

Analisi del rischio:

  • compromissione password vault: l'autore dell'attacco deve sia rubare il mio telefono (o computer) e indovinare la password principale - sicurezza globale a livello 2FA
  • password vault è perso o distrutto: ho un backup (in effetti 2), quindi dovrei essere in grado di ripristinarlo, ma dovrei cambiare tutte le mie password, inclusa quella principale e tutti i codici di ripristino, se è successo ...
  • la nota (numerica) è persa o non è più leggibile: uso il gestore delle password su base regolare su almeno 2 dispositivi diversi, quindi dovrei notare se uno era inattivo

IMHO, può avere senso mantenere i codici di ripristino anche nella stessa posizione delle credenziali, perché dovevo usarli dopo un problema quando si cambiava una password: il server ha registrato una password che ho digitato in modo errato, quindi nessuno (non anche io) lo sapevo.

Per il tuo caso d'uso, il vault della password è nel cloud. Non memorizzerei i codici di ripristino nel vault perché l'accesso è già protetto 2FA tramite il tuo telefono. Dovrei configurare un accesso di backup da un secondo dispositivo o ripristinare la buona vecchia carta in una cassastrong fisica.

    
risposta data 03.10.2017 - 12:30
fonte