Autenticazione a due fattori: doppia sicurezza, doppia protezione

@CorinaS

Cosa fanno quelli che non hanno il cellulare?

@WalterB

Devono rinunciare alla sicurezza aggiuntiva o procurarsi un telefono cellulare. Prima o poi senza cellulare non potrete più accedere a determinati servizi della vita quotidiana.

@hed

Ma potresti anche inviare un codice via email perché non tutti hanno abbastanza soldi nel portafoglio per comprare un cellulare. 😉

@WalterB

Non hai bisogno di uno smartphone costoso solo per ricevere un SMS.

Ma ovviamente se potessi scegliere tra SMS ed e-mail, sarebbe sicuramente più conveniente per i clienti.

Il codice via email va benissimo, l’unico problema è se non riesci ad accedere alla webmail a causa della password 🤷‍♂️

@POGO 1104

Ogni variante del codice ha i suoi vantaggi e svantaggi e ancora oggi sono molti i negozi che inviano il codice via e-mail.

Potete offrirlo semplicemente come variante aggiuntiva con lo Swisscom Login.

La variante che sto attualmente cercando sono le chiavi Yubico e sto cercando dove potrebbe funzionare ovunque con il provider. Si parla molto di questo metodo su YouTube. A proposito, anche al di fuori di Swisscom, intendo

@Lowex

Le chiavi di login straniere non sono l’idea del vostro foglio Swisscom, poiché in questo caso il rischio che venga violato è maggiore.

La 2FA con SMS è probabilmente la variante meno sicura. Purtroppo Swisscom offre solo questo e MobileID.

Questo ha anche lo svantaggio se, ad esempio, si perde il cellulare e non funziona più nulla. Non sono riuscito nemmeno a bloccare la mia SIM da solo.

Sarebbe finalmente giunto il momento che Swisscom consentisse anche il TOTP tramite app per 2FA o, per quanto mi riguarda, U2F tramite Yubikey, ad esempio.

@WalterB Penso che tu abbia bisogno di scoprire qualcosa in più sugli Yubikey. Penso che al momento non ci sia praticamente nulla di più sicuro per gli utenti privati ​​di ciò che è anche facile da usare.

grazie @CorinaS per questo articolo sulla doppia chiusura 😀

“Errare humanum est, perseverare diabolicum”

“Errare è umano, perseverare [nel proprio errore] è diabolico”

@Cruncher

Anche con un’app è possibile perdere il cellulare o la chiave se si perde un sistema con chiave.

@hed Sì, certo. Ma se imposti il ​​TOTP in iCloud o 1Password o Bitwarden, ad esempio, ciò non accade. Solo se salvi l’app, ad esempio, su un secondo dispositivo.

Con MultiDevice gli SMS funzionano solo su 1 dispositivo. Proprio come MobileID!

E se hai solo 1 chiave, è comunque colpa tua. Ci sono persone che hanno un’idea di queste questioni di sicurezza e vogliono evitare, se possibile, gli SMS. MobileID sarebbe sicuramente utile, ma purtroppo è limitato a 1 solo dispositivo.

In realtà non penso che la 2FA solo con SMS sia una buona idea, ma se hai più dispositivi Apple puoi alleviare un po’ il problema con la funzione Apple iMessage “Invia e ricevi tramite più dispositivi”.

Oh mio Dio, ma la 2FA via SMS sullo stesso cellulare è probabilmente un brutto scherzo!

Come sarebbe se Swisscom offrisse un 2FA *reale* e non intercettabile tramite il TOTP?

Secondo me, quello sarebbe un vero guadagno in termini di sicurezza perché a questo scopo potrebbe essere utilizzato un secondo dispositivo. Siamo spiacenti, la 2FA tramite il dispositivo identico è probabilmente un brutto scherzo!

Scusate ma probabilmente il 2FA via SMS sullo stesso cellulare è un brutto scherzo!

Che ne dici se Swisscom avesse un 2FA *reale* e non intercettabile tramite il TOT[P](https: // www.zaun7.de/doppelstabmattenzaun “recinzione con materassino a doppia asta”) offrirebbe?

Secondo me, Questo sarebbe un vero guadagno in termini di sicurezza perché a questo scopo potrebbe essere utilizzato un secondo dispositivo. Siamo spiacenti, la 2FA tramite il dispositivo identico è probabilmente un brutto scherzo!

Scopri anche mobili da giardino a Zurigo. E Acquista recinzione in rete a doppia asta!

Totalmente d’accordo con te! Il tuo approccio sembra ragionevole.

@hed

L’idea con TOTP è che non devi farlo tramite lo stesso dispositivo (leggi “App” / SMS / MobileID), ma puoi utilizzare qualsiasi altro dispositivo abilitato a Internet per 2FA!

(Purtroppo i responsabili di Swisscom non sembrano voler rendersi conto che la 2FA sia tramite SMS che MobileID tramite l’apparecchio IDENTICO esclude di per sé il SECONDO FATTORE.

Ma come si suol dire: la speranza è l’ultima a morire! - Forse col tempo anche i responsabili di Swisscom faranno uno spuntino sull’albero della conoscenza <spero>)

Addendum: Per i responsabili l’“effetto aha” potrebbe manifestarsi al più tardi quando saranno loro stessi vittime del furto/smarrimento di un dispositivo mobile. Dal punto di vista della sicurezza, era ed è semplicemente un’idea stupida voler concatenare tutto a un unico dispositivo! Comodo? - va bene SICURO???? - nei tuoi sogni (bagnati)!!!!

Nessun problema con Apple.

Se da allora non possiedi solo un dispositivo.

Con 2FA ogni dispositivo lì squilla per connettersi… 😉

@Herby

Grazie per lo spot pubblicitario di Apple 😁

(dovrebbero esserci anche persone che

*neppure i soldi
*ancora l’opportunità

• resta la voglia di adeguarsi “alla Cupertino”.

Avere)

Il problema rimane che il 2FA senza un vero secondo fattore è solo una pia bugia.

Addendum

E non appena la 2FA coinvolge un americano/cinese/beat-me-dead/terza parte, “morisce” comunque!

Se guardi indietro un po’… gli SMS erano considerati indistruttibili e assolutamente sicuri. C’erano banche che lo fornivano come unico 2FA per i propri clienti.

In alternativa esisteva un token che mostrava un codice diverso ogni 10 secondi.

Se l’utente accedeva a un sito web falso, il reclamo era limitato al saldo del rispettivo conto.

Poi è successo l’incredibile, l’inimmaginabile.

L’utente ha effettuato l’accesso a un sito Web falso e gli è stato chiesto di fornire tutti i tipi di dati del cellulare incluso nel contratto online come parte di un “controllo di sicurezza”.

Con questi dati rubati i truffatori sono riusciti a creare una carta d’identità falsa per potersi identificare, ad esempio, in uno Swisscom Shop.

Successivamente è possibile ottenere un duplicato del cellulare tramite la compagnia telefonica (parola chiave: multi-SIM).

Impostare quindi tutti gli SMS da inviare all’altro cellulare.

Così:

1. Accedi al sito web della banca reale con i dati ottenuti tramite il sito web falso.

2. Poiché ora tutti gli SMS vengono inviati all’altro cellulare, il conto titoli e tutti i conti possono ora essere liquidati in tutta tranquillità.

Con questa procedura di login “sicura” si sono verificati isolati crediti giganteschi fino a circa un quarto di milione di franchi.

Ciò non era possibile con le altre procedure di accesso finora comuni, dalla lista dei graffi a quella con il token, perché si poteva accedere solo al rispettivo saldo del conto.

Le banche ora hanno spinto CrontoSign: per alcune banche è l’unica procedura di accesso per i clienti.

Ora i truffatori dovranno rubare la lettera di attivazione per integrare un altro apparecchio nell’online banking della vittima.

Questo obiettivo è stato raggiunto adesso? In questo caso i danni sarebbero altrettanto giganteschi che nel caso degli SMS.

Glotzologo