Hey - et spørgsmål til folk der ved nogen om IT sikkerhed :)
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
@snue
Det er altid en afvejning af bruger tilfredshed og sikkerhed.Fedt at de har truffet et valg.
Jeg ville vælge yubikey. (Hvis de betaler)
Ms Authenticator sender lokations data mm til ms. (Gør nok ikke meget forskel når det er på Windows)
Glæder mig til, at andre kommer med de teknisk nørdede svar.
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
@snue jeg er ihvertfald ikke bekendt med at totp skulle have nogle problemer. Jeg tænker måske nærmere at en indsnævring af muligheder giver mening mht hvad de har ressourcer til at supportere. Enhver ekstra mulighed kan give support problemer, og potentielt sikkerhedsproblemer hvis man ikke kan holde sig opdateret med alle nye patches og arbejdsgange.
-
@snue
Det er altid en afvejning af bruger tilfredshed og sikkerhed.Fedt at de har truffet et valg.
Jeg ville vælge yubikey. (Hvis de betaler)
Ms Authenticator sender lokations data mm til ms. (Gør nok ikke meget forskel når det er på Windows)
Glæder mig til, at andre kommer med de teknisk nørdede svar.
Jeg tror desværre kun at de betaler for en YubiKey, hvis man er ansat - det ville ellers være fedt at prøve sådan en
Jeg vidste i øvrigt ikke, at MS Auth sendte lokationsdata og andet til MS. Det overrasker ikke, men det gør det ekstra ærgerligt at skulle bruge det
-
@snue jeg er ihvertfald ikke bekendt med at totp skulle have nogle problemer. Jeg tænker måske nærmere at en indsnævring af muligheder giver mening mht hvad de har ressourcer til at supportere. Enhver ekstra mulighed kan give support problemer, og potentielt sikkerhedsproblemer hvis man ikke kan holde sig opdateret med alle nye patches og arbejdsgange.
Det er en god pointe. Jeg synes de bør finde ressourcerne til det, men det er jo et andet spørgsmål end hvorvidt det er sikkert
Jeg skriver nok til dem igen på mandag, og spørger ind til det
Tak for svaret
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
@snue En out-of-band challenge beskytter mod nogle andre angreb end en TOTP med en shared secret.
Om det ene er bedre end det andet, afhænger af ens risikovurdering.
Sikkerheden afhænger også af implementationen. Der er stor forskel på at generere en TOTP med et python-script der læser en shared secret fra filsystemet på en laptop og en tamper proof hardware dims.
-
@snue En out-of-band challenge beskytter mod nogle andre angreb end en TOTP med en shared secret.
Om det ene er bedre end det andet, afhænger af ens risikovurdering.
Sikkerheden afhænger også af implementationen. Der er stor forskel på at generere en TOTP med et python-script der læser en shared secret fra filsystemet på en laptop og en tamper proof hardware dims.
Det er en god pointe - jeg bruger lige nu Aegis på min telefon, som kræver kode og kryptere hemmeligheder. Det er selvfølgelig ikke et krav for TOTP.
Det sikreste er nok uden tvivl en YubiKey. Det kan være, at jeg anskaffer mig sådan en på sigt
-
@snue En out-of-band challenge beskytter mod nogle andre angreb end en TOTP med en shared secret.
Om det ene er bedre end det andet, afhænger af ens risikovurdering.
Sikkerheden afhænger også af implementationen. Der er stor forskel på at generere en TOTP med et python-script der læser en shared secret fra filsystemet på en laptop og en tamper proof hardware dims.
@snue Et valg mellem YubiKey eller MS Authenticator lyder for mig som et kompromis mellem out-of-band challenge eller tamper proof TOTP.
Det lyder som udgangspunkt ikke dumt.
Personligt hælder jeg til tamper proof TOTP. Men det er mere baseret på en god fornemmelse i maven end en formel analyse.
(Derfor har jeg MitID med kodeviser og på chip og ikke som App)
-
@snue Et valg mellem YubiKey eller MS Authenticator lyder for mig som et kompromis mellem out-of-band challenge eller tamper proof TOTP.
Det lyder som udgangspunkt ikke dumt.
Personligt hælder jeg til tamper proof TOTP. Men det er mere baseret på en god fornemmelse i maven end en formel analyse.
(Derfor har jeg MitID med kodeviser og på chip og ikke som App)
Kan du forklare, hvad en "out-of-band challenge" er ? Jeg kan ikke rigtig finde noget på internettet
Tror du de ville gå meget mere på kompromis med sikkerhed, hvis de også tillod TOTP (rfc6238) ?
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
> Er MS Authenticator og YubiKey mere sikkert end TOTP ?
Denne sammenligning giver kun begrænset mening. MS Authenticator og YubiKey understøtter både en masse af forskellige autentificeringsfeatures. En af dem er TOTP.
Spørgsmålet er derfor: Hvilke authentificeringsmetoder eller standarder er tilladt for at bruge VPN?
-
> Er MS Authenticator og YubiKey mere sikkert end TOTP ?
Denne sammenligning giver kun begrænset mening. MS Authenticator og YubiKey understøtter både en masse af forskellige autentificeringsfeatures. En af dem er TOTP.
Spørgsmålet er derfor: Hvilke authentificeringsmetoder eller standarder er tilladt for at bruge VPN?
Det er et super spørgsmål. De vil gerne have os til at scanne en QR-kode med Microsoft Authenticator. Jeg tænker det minder meget om TOTP, men blot en lukket version der kun virket med Microsoft Authenticator. Jeg ved dog ikke, om Microsoft Authenticator også bruger QR-koder til andet en TOTP.
Jeg var ikke bevidst om, at MS Auth og YubiKey understøttede flere forskellige autentificeringsformer - tak for at dele
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
@snue nogen kan snyde dig til at indtaste din totp kode på en falsk hjemmeside og så anvende den til at lave et login. Det kan man ikke med yubikeys og ms Authenticator.
-
@snue nogen kan snyde dig til at indtaste din totp kode på en falsk hjemmeside og så anvende den til at lave et login. Det kan man ikke med yubikeys og ms Authenticator.
Hvordan fungerer det ?
Som jeg forstår det fungerer TOTP ved at man først laver en hemmelig nøgle mellem server og TOTP klient. Dette foregår f.eks. ved at serveren laver en QR-kode som klienten skanner.
Når både server og klient har denne nøgle, så kan de begge generere TOTP koder.
TOTP koderne er det eneste man giver en hjemmeside når man prøver at logge ind og det burde ikke være muligt at finde frem til den hemmelige nøgle ud fra en TOTP kode.
Tager jeg fejl ?
-
Hvis nogen er interesseret, så har SecOps hos SDU svaret. Det blev et nej til TOTP. Her er deres svar:
"
Vores MFA løsning Microsoft Authenticator bruger signaler (RISK) fra authenticator under MFA validering, og kan ikke sammenlignes med en klassisk TOTP som ofte er fuldt dekoblet. Ligeledes beskytter TOTP ikke mod de angreb som ofte er rettet mod SDU med AitM og MitM angrebsformerne. I mange tilfælde kan TOTP ligestilles med SMS når man ser væk fra SS7 sårbarhederne i SMS.1/2
Som med mange af de store udbyder (google, apple og lign.) så er vi på vej mod FIDO2 QR -/ passkeys QR og kan derfor ikke tilbyde TOTP.
Bemærk: Mange MFA løsninger er mod generel forventning ikke sikre mod hovedparten af de phishing angreb som rammer virksomheder,
hvilket ofte betyder at aktørerne let kan høste adgangsgivende tokens og-/eller brugernavn+password+MFA faktoren."
2/2
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
Hvis nogen er interesseret, så har SecOps hos SDU svaret. Det blev et nej til TOTP. Her er deres svar:
"
Vores MFA løsning Microsoft Authenticator bruger signaler (RISK) fra authenticator under MFA validering, og kan ikke sammenlignes med en klassisk TOTP som ofte er fuldt dekoblet. Ligeledes beskytter TOTP ikke mod de angreb som ofte er rettet mod SDU med AitM og MitM angrebsformerne. I mange tilfælde kan TOTP ligestilles med SMS når man ser væk fra SS7 sårbarhederne i SMS.1/2
-
Hey - et spørgsmål til folk der ved nogen om IT sikkerhed
Mit universitet kræver at man bruger Microsoft Authenticator eller YubiKey for at tilgå deres VPN.
Jeg har fået afslag på at bruge TOTP af "sikkerhedsmæssige" årsager.
Er MS Authenticator og YubiKey mere sikkert end TOTP ?
//edit: jeg har tilføjet svar fra universitetet i kommentarerne.
@snue Jeg ser den her ret sent, men har været i en lignende situation. Min arbejdsplads krævede at jeg brugte MS Authenticator (fordi IT-afdelingen er nogle Microsoft-horer som kun kan finde ud af at anbefale MS-produkter og -apps).
Men hemmeligheden er at skide på, hvad de siger, og selv prøve sig frem. Jeg fandt ud af, at Stratum Authenticator, som er på F-droid, fungerede helt fint. https://apt.izzysoft.de/packages/com.stratumauth.app
Håber du stadig kan bruge rådet!
-
@snue Jeg ser den her ret sent, men har været i en lignende situation. Min arbejdsplads krævede at jeg brugte MS Authenticator (fordi IT-afdelingen er nogle Microsoft-horer som kun kan finde ud af at anbefale MS-produkter og -apps).
Men hemmeligheden er at skide på, hvad de siger, og selv prøve sig frem. Jeg fandt ud af, at Stratum Authenticator, som er på F-droid, fungerede helt fint. https://apt.izzysoft.de/packages/com.stratumauth.app
Håber du stadig kan bruge rådet!
Tak for forslaget - Det virkede desværre ikke
Jeg forsøgte at sætte det op, men Stratum siger, at den kode jeg fik kun virker med Microsoft Authenticator. Der er vist ikke nogen måde at komme udenom det på
Jeg må vist gå i dialog med IT-sikkerhedsholdet på SDU, hvis jeg gerne vil udenom Microsoft
