[nazwa.pl] Informacje od nazwa.pl

[psz]

I to rozumiem. Dzięki. Jednak copy jest trochę niejasne w tej kwestii, można by poprawić.

Edytowane 9 Czerwca 2022 przez psz

[itomek]

 

Cloud Backup z obsługą Windows, macOS i Linux

Cloud Backup to profesjonalne narzędzie służące do wykonywania kopii zapasowych danych zapisanych na dyskach komputerów działających w systemach Windows, a od teraz także macOS i Linux. Niezależnie od tego, z którego z nich korzystasz, masz teraz możliwość skutecznej ochrony swoich plików z naszą niezawodną i przyjazną usługą!

Inną istotną zmianą, którą oprócz wersji na macOS i Linux wprowadziliśmy wraz z najnowszym wydaniem Cloud Backup, jest brak limitu powierzchni dyskowej na tworzone kopie zapasowe. Chcesz chronić 100 GB danych? A może aż 10 TB? Z Cloud Backup nie będziesz miał z tym żadnych problemów!

Dowiedz się więcej o naszej usłudze: https://www.nazwa.pl/blog/nowa-wersja-aplikacji-cloudbackup-z-obsluga-mac-os-i-linux

P.S. W artykule na naszym blogu czeka na Ciebie Voucher 200 zł do wykorzystania na kopie zapasowe za pomocą Cloud Backup!

 

 

[Tweedlex]

Nie wiem czy dobrze liczę ale jeśli 0,01 zł jest za 10 GB/h to czyli za 1000 GB będzie 1 zł/h a za miesiąc będzie ~720 zł?

Ja myślałem, że mevspace to ma drogie ceny, oraz że >2$/m/tb to jest już drogo ...

[itomek]

Cena Cloud Backup w Modelu za Użycie to 0,01 zł za godzinę za każde rozpoczęte 10 GB zajętej przestrzeni dyskowej przez Twoje kopie zapasowe. Kosztem jest tutaj realnie zajęta powierzchnia, a nie sama rezerwacja określonej ilości miejsca. Cloud Backup nie jest też usługą do wykonywania kopii zapasowych serwerów / VPSów. Za jej pomocą możesz chronić dane, które przechowujesz na komputerze osobistym. 

[psz]

~ $162/TB/miesiąc (i to jeszcze netto). Najdroższy backup świata.

 

3 godziny temu, Tweedlex napisał:

>2$/m/tb to jest już drogo

 

Gdzie znalazłeś tak tanio? Chętnie skorzystam.

Edytowane 7 Lipca 2022 przez psz

[theqkash]

3 godziny temu, itomek napisał:

Cena Cloud Backup w Modelu za Użycie to 0,01 zł za godzinę za każde rozpoczęte 10 GB zajętej przestrzeni dyskowej przez Twoje kopie zapasowe. Kosztem jest tutaj realnie zajęta powierzchnia, a nie sama rezerwacja określonej ilości miejsca. Cloud Backup nie jest też usługą do wykonywania kopii zapasowych serwerów / VPSów. Za jej pomocą możesz chronić dane, które przechowujesz na komputerze osobistym. 

 

No offence, ale ta odpowiedź na pytanie o to czy ktoś dobrze policzył koszta brzmi trochę jak to:

 

https://www.youtube.com/watch?v=vY1qAEgu5VU

[itomek]

Usługa rozliczana w Modelu za Użycie, jak Cloud Backup, ma to do siebie, że płaci się za faktycznie wykorzystaną przestrzeń backupową. Jeżeli dane zajmą 10 GB to koszt wyniesie 7,20 netto miesięcznie, przy 100 GB będą to 72 zł netto, a przy 1000 GB będzie to 720 zł netto. Nie płaci się za samą rezerwację powierzchni dyskowej, tylko za jej realne użycie.

 

Warto też mieć na uwadze, że dla zwiększenia bezpieczeństwa wykonane z pomocą Cloud Backup kopie przechowywane są jednocześnie w dwóch niezależnych Data Center.

Edytowane 7 Lipca 2022 przez itomek

[Tom X]

Regulamin usługi:
"Działając w oparciu o zapisy Licencji, nazwa.pl oświadcza, że oprogramowanie w oparciu, o które świadczona jest Usługa Cloud Backup, nie jest objęte żadną gwarancją, a uprawnienia Klienta z tytułu rękojmi (nie naruszając przy tym przysługujących Klientom, będących jednocześnie Konsumentami bezwzględnych praw z tytułu rękojmi) zostają wyłączone w najszerszym dopuszczalnym przez prawo zakresie."

Oferujecie Państwo usługę, która może działać prawidłowo a to mojej ocenie wyklucza ją z zastosowań profesjonalnych.

[itomek]

W dyskusji widać mylenie usługi kopii zapasowej danych z dyskiem sieciowym czy VPSem. Kopia zapasowa ma na celu ochronę danych, które są istotne z punktu widzenia użytkownika. I słowo ochrona jest tutaj kluczem.

 

Cloud Backup zapewnia szyfrowanie danych przed wysłaniem ich do chmury nazwa.pl algorytmem AES-256. Hasło do kopii znane jest tylko użytkownikowi aplikacji, nie jest powiązane z żadnym systemem operacyjnym ani usługą zewnętrznej firmy. Kopie wykonywane są przyrostowo, a pliki są wersjonowane. 

 

Opłaty naliczane są za faktycznie przechowywaną w chmurze ilość zaszyfrowanych i skompresowanych danych. Kolejne wersje tej samej kopii dogrywają do niej tylko te dane, które uległy zmianie.

 

Do istotnych cech Cloud Backup należy zaliczyć, oprócz wymienionych przeze mnie już kwestii szyfrowania i wersjonowania plików oraz przechowywania kopii w dwóch niezależnych Data Center także intuicyjny i prosty w obsłudze interfejs. Kopie zapasowe mogą być wykonywane automatycznie wg harmonogramu, a także na żądanie. Odtworzenie wybranych plików w dowolnej wersji jaka jest w kopii z 90 dni wstecz możliwe jest kilkoma kliknięciami z poziomu aplikacji. 

 

 

Edytowane 7 Lipca 2022 przez itomek

[theqkash]

Posty o innych usługach zostały wyłączone do tematu:

 

 

[itomek]

 

Zabezpieczenie 2FA dla poczty (Cloud Mail, IMAP4, POP3)

 

Od teraz użytkownicy poczty e-mail w nazwa.pl mogą korzystać z dodatkowej funkcjonalności, którą jest zabezpieczenie 2FA. To mechanizm weryfikacji uprawnień podczas korzystania z poczty elektronicznej, który działa niezależnie od tego, czy dostęp do poczty realizowany jest przez protokół IMAP4, POP3, czy też wiadomości są odczytywane za pomocą webowego interfejsu Cloud Mail.

 

 

Jak działa zabezpieczenie 2FA?

 

Podczas logowania do skrzynki z aktywnym zabezpieczeniem 2FA, oprócz podania adresu e-mail i hasła, konieczne jest autoryzowanie dostępu za pomocą wiadomości SMS. Wiadomość SMS jest wysyłana automatycznie na telefon komórkowy skonfigurowany dla danej skrzynki. Zawiera specjalny kod, który trzeba wpisać w oknie logowania do Cloud Mail, lub link, który należy kliknąć, aby móc uzyskać dostęp do skrzynki przez program pocztowy (IMAP4/POP3).

 

Jak włączyć zabezpieczenie 2FA w nazwa.pl?

 

Aktywację zabezpieczenia 2FA można wykonać w kilka chwil za pomocą CloudHosting Panel. Po zalogowaniu na stronie https://admin.nazwa.pl z menu POCZTA należy wybrać Wykaz kont e-mail. Wyświetlona zostanie lista skrzynek, jakie są założone na hostingu. Chcąc przejść do ustawień 2FA dla wybranego konta, należy kliknąć przycisk Aktywuj,  który jest widoczny w kolumnie Zabezpieczenie 2FA.

 

 

W szczegółach konta wystarczy wskazać rodzaj autoryzacji jako SMS i wprowadzić numer telefonu komórkowego, na który będą przesyłane wiadomości tekstowe.

 

 

Jak widać konfiguracja zabezpieczenia 2FA jest banalnie prosta i nie zajmuje więcej niż kilka chwil.

Więcej informacji o zabezpieczeniu 2FA dla poczty w nazwa.pl dostępnych jest na naszym blogu: 
https://www.nazwa.pl/blog/zabezpieczenie-2fa-na-poczcie-e-mail-w-nazwapl

[Tweedlex]

8 godzin temu, itomek napisał:

 

Zabezpieczenie 2FA dla poczty (Cloud Mail, IMAP4, POP3)

 

Od teraz użytkownicy poczty e-mail w nazwa.pl mogą korzystać z dodatkowej funkcjonalności, którą jest zabezpieczenie 2FA. To mechanizm weryfikacji uprawnień podczas korzystania z poczty elektronicznej, który działa niezależnie od tego, czy dostęp do poczty realizowany jest przez protokół IMAP4, POP3, czy też wiadomości są odczytywane za pomocą webowego interfejsu Cloud Mail.

 

 

Jak działa zabezpieczenie 2FA?

 

Podczas logowania do skrzynki z aktywnym zabezpieczeniem 2FA, oprócz podania adresu e-mail i hasła, konieczne jest autoryzowanie dostępu za pomocą wiadomości SMS. Wiadomość SMS jest wysyłana automatycznie na telefon komórkowy skonfigurowany dla danej skrzynki. Zawiera specjalny kod, który trzeba wpisać w oknie logowania do Cloud Mail, lub link, który należy kliknąć, aby móc uzyskać dostęp do skrzynki przez program pocztowy (IMAP4/POP3).

 

Jak włączyć zabezpieczenie 2FA w nazwa.pl?

 

Aktywację zabezpieczenia 2FA można wykonać w kilka chwil za pomocą CloudHosting Panel. Po zalogowaniu na stronie https://admin.nazwa.pl z menu POCZTA należy wybrać Wykaz kont e-mail. Wyświetlona zostanie lista skrzynek, jakie są założone na hostingu. Chcąc przejść do ustawień 2FA dla wybranego konta, należy kliknąć przycisk Aktywuj,  który jest widoczny w kolumnie Zabezpieczenie 2FA.

 

 

W szczegółach konta wystarczy wskazać rodzaj autoryzacji jako SMS i wprowadzić numer telefonu komórkowego, na który będą przesyłane wiadomości tekstowe.

 

 

Jak widać konfiguracja zabezpieczenia 2FA jest banalnie prosta i nie zajmuje więcej niż kilka chwil.

Więcej informacji o zabezpieczeniu 2FA dla poczty w nazwa.pl dostępnych jest na naszym blogu: 
https://www.nazwa.pl/blog/zabezpieczenie-2fa-na-poczcie-e-mail-w-nazwapl

Mam kilka pytań:

1. Czy istnieje jakiś limit autoryzacji poprzez SMS na konto pocztowe/konto hostingowe? Czy mogę np. posiadać takich autoryzacji 1000 na godzinę?

2. Jakie inne opcje znajdują się w "Rodzaje autoryzacji"?

3. Jak jest liczone 0,01 zł/h? Czy to dotyczy domeny, skrzynki czy całego konta pocztowego?

4. Czy w planach jest dodanie podobnego 2FA jaki jest np. w Gmail, że poprzez interfejs WWW mamy pełne 2FA, a poprzez IMAP/POP generujemy dedykowane hasła?

5. Jak dobrze rozumiem ze screenshotów to aktualnie nie ma możliwości zaufania danemu urządzeniu "na zawsze"?

"""Przykład: Posiadam program pocztowy Outlook w formie aplikacji klasycznej na komputery z Windowsem. Mój dostawca Internetu przydziela mi dynamiczny adres IP."""

Rozumiem że w takim przypadku nie mam możliwości zaufania danemu urządzeniu? Muszę codziennie przeklikiwać autoryzację za pomocą SMS?

 

Pomysł z tą autoryzacją jest super. Wszyscy inni mają zrobioną autoryzację 2FA głównie tylko dla WWW (przykład Gmail), a już o IMAP/POP zapominają. Moje jedyne obawy, że ktoś kto pozyska hasło przy próbie logowania nabije wielkie koszty tymi SMSami po 0,31 zł brutto. Fajnie by było jakby była jakaś alternatywa typu dedykowana aplikacja lub jakiś inny sposób. Może jakieś API ponieważ widzę w tym potencjał,  niektórzy będą chcieli sobie to zintegrować to w swoje aplikacje/systemy.

[itomek]

Dzięki za pozytywny odzew na temat zabezpieczenia 2FA dla poczty, które wprowadziliśmy. Wprowadzając tę funkcjonalność podeszliśmy do tematu kompleksowo, znając zasady postępowania nie tylko w rodzimych firmach, ale też u wspomnianych przez Ciebie gigantów. O ile 2FA dla poczty przez WWW nie jest tematem tabu, to rozwiązanie które w sposób uniwersalny chroni pocztę przez IMAP4/POP3 nie tylko na komputerze, ale też np. na  urządzeniach mobilnych, stanowi duży krok naprzód w podejściu do ochrony korespondencji e-mail.

 

12 godzin temu, Tweedlex napisał:

1. Czy istnieje jakiś limit autoryzacji poprzez SMS na konto pocztowe/konto hostingowe? Czy mogę np. posiadać takich autoryzacji 1000 na godzinę?

 

Nasze systemy stale monitorują częstotliwość i schematy logowań. W przypadku wykrycia podejrzanego zachowania, mają za zadanie reagować. Chodzi tutaj o podejmowanie odpowiednich działań, które z jednej strony nie przeszkadzają zwykłym użytkownikom w pracy, a z drugiej strony chronią ich przed próbami nadużyć, które mogłyby się pojawić. 

 

12 godzin temu, Tweedlex napisał:

2. Jakie inne opcje znajdują się w "Rodzaje autoryzacji"?

 

Obecnie można korzystać z autoryzacji SMS. Rozważamy różne scenariusze, ale na ten moment za wcześniej jest o nich mówić. SMS stanowi podstawową formę zabezpieczenia, do której przyzwyczaiły nas już dawno temu np. banki. Poza tym, żeby odebrać SMS nie trzeba mieć ze sobą smartfona, nie trzeba instalować dodatkowych programów, aplikacji, kupować urządzeń do autoryzacji itd. Wystarczy podstawowy telefon komórkowy, który ma każdy.

 

12 godzin temu, Tweedlex napisał:

3. Jak jest liczone 0,01 zł/h? Czy to dotyczy domeny, skrzynki czy całego konta pocztowego?

 

Zabezpieczenie 2FA aktywuje się per skrzynka e-mail. Zatem podstawowa opłata za korzystanie z 2FA to średnio 7,20 zł netto / miesiąc. Do tego dochodzi koszt SMSa autoryzacyjnego. W przypadku odbierania poczty przez program na komputerze, można jednym SMSem autoryzować dostęp na 1, 4, 8 i 24 godziny, w zależności od decyzji użytkownika. Natomiast w przypadku logowania do Cloud Mail, każde nowe logowanie poprzedzone jest wysyłką SMSa z kodem jednorazowym. Cloud Mail pozwala również na zarządzanie aktywnymi autoryzacjami 2FA dla IMAP4/POP3.

 

13 godzin temu, Tweedlex napisał:

4. Czy w planach jest dodanie podobnego 2FA jaki jest np. w Gmail, że poprzez interfejs WWW mamy pełne 2FA, a poprzez IMAP/POP generujemy dedykowane hasła?

 

Podeszliśmy do tematu kompleksowo. Naszym celem było zabezpieczenie dostępu do poczty i przez WWW i przez program pocztowy (IMAP4/POP3). Nie chcieliśmy wiązać użytkownika z określoną aplikacją, bo każdy z nas ma swój ulubiony program do odbierania poczty, jedni korzystają z płatnych, inni z bezpłatnych. Trzeba było stworzyć narzędzie uniwersalne, które pozwala w sposób komfortowy zarządzać dostępami. Z tego względu, zamiast nakazywać tworzenie nowego hasła, wprowadziliśmy zabezpieczenie, które autoryzuje wybrany adres IP na okres, który wskazuje użytkownik. Co istotne w tej całej układance - to użytkownik, w dowolnym momencie może wycofać wcześniej udzieloną autoryzację. Możemy posiadać jednocześnie dowolną liczbę IP, które mogą korzystać z poczty (przypominam, że autoryzując IP definiujemy samodzielnie okres trwania tej autoryzacji), a dzięki Cloud Mail możemy te autoryzacje jednym kliknięciem wyłączać wtedy, kiedy uznamy to za stosowne. Takie zabezpieczenie wprowadza komfort, który pozwala bez logowania się do panelu zarządzania serwerem CloudHosting Panel w celu zmiany hasła, dawać określonym urządzeniom możliwość korzystania z poczty e-mail. Jeżeli zdecydowalibyśmy się na udostępnienie IMAP4/POP3 z innym hasłem, wówczas trzeba byłoby to hasło ustanowić dla każdej skrzynki, co np. w przypadku firm, które mają setki kont e-mail, może stanowić problem. Nie wspomnę już o konieczności cyklicznej zmiany tych haseł, bo przecież może ono zostać przejęte w takcie korzystania z poczty. Na koniec wspomnę tylko, że rozwiązanie z autoryzacją IP i możliwość wycofywania autoryzacji odbywa się nie per hosting ale per konto e-mail. 

 

13 godzin temu, Tweedlex napisał:

5. Jak dobrze rozumiem ze screenshotów to aktualnie nie ma możliwości zaufania danemu urządzeniu "na zawsze"?

 

Ze względów bezpieczeństwa - nie. Zdecydowaliśmy, że maksymalny okres autoryzacji przy połączeniach IMAP4/POP3 to 24h. W przypadku Cloud Maila, każde kolejne logowanie do interfejsu WWW wymaga wprowadzenia hasła jednorazowego. 

 

Z zabezpieczeniem 2FA jest trochę jak z dodatkowym zamkiem w drzwiach. Z jednej strony, aby otworzyć drzwi trzeba poświęcić chwilę dłużej, niż w przypadku drzwi z jednym zamkiem, ale z drugiej strony jest to jednorazowe działanie w pewnym okresie czasu, które jednocześnie zapewnia nam dodatkową ochronę. Kładziemy więc na szali z jednej strony 1-2 sekundy "przeklikania" autoryzacji, z drugiej - znacznie większe bezpieczeństwo naszej poczty e-mail.

[Tom X]

"Zabezpieczenie 2FA aktywuje się per skrzynka e-mail. Zatem podstawowa opłata za korzystanie z 2FA to średnio 7,20 zł netto / miesiąc.  Do tego dochodzi koszt SMSa autoryzacyjnego."

Gratuluję zarządowi innowacyjnych pomysłów biznesowych.

[szuwarekmini]

Czyli dobrze rozumiem, by korzystać z 2FA musimy zapłacić 0,01 PLN / h czyli ok. 7,50 PLN / mc stałej opłaty  i dodatkowo za każdą jedną wiadomość autoryzacyjną dla każdej skrzynki 0,31 pln brutto?

[itomek]

11 minut temu, Tom X napisał:

Gratuluję zarządowi innowacyjnych pomysłów biznesowych.

 

Zabezpieczenie 2FA jest usługą dodatkową, z której na pewno warto korzystać, chcąc lepiej chronić swoją korespondencję e-mail. Miesięczna cena na poziomie 7,20 zł netto + koszt SMSa pozwala na wprowadzenie dodatkowej ochrony korespondencji, realizowanej w sposób wygodny, bo za pomocą SMSów a nie dodatkowych aplikacji czy tokenów, które wiązałyby użytkownika albo z określonym urządzeniem albo programem pocztowym. 

 

8 minut temu, szuwarekmini napisał:

Czyli dobrze rozumiem, by korzystać z 2FA musimy zapłacić 0,01 PLN / h czyli ok. 7,50 PLN / mc stałej opłaty  i dodatkowo za każdą jedną wiadomość autoryzacyjną dla każdej skrzynki 0,31 pln brutto?

 

Tak, koszt to 7,20 zł netto miesięcznie + koszty SMSów. Jak wspomniałem wcześniej, przy autoryzacji 2FA do Cloud Mail (poczta przez WWW) każde logowanie wymaga wpisania kodu jednorazowego. Przy logowaniu do poczty za pomocą programu na komputerze / smartfonie / tablecie (IMAP4/POP3), pojedyncza autoryzacja (jeden SMS) może obejmować okres do 24h.

Usługa oferowana jest w Modelu za Użycie, jej aktywacja i dezaktywacja wykonywana jest przez użytkownika z poziomu CloudHosting Panel - samodzielnie i w dowolnym momencie. Chcesz korzystać z zabezpieczenia 2FA dla poczty cały czas? Proszę bardzo. Potrzebujesz zabezpieczenia 2FA bo wyjeżdżasz na wakacje i boisz się o swoją korespondencję? Nie ma problemu. Usługę włączasz i wyłączasz samodzielnie wtedy, kiedy chcesz.

 

 

Edytowane 5 Sierpnia 2022 przez itomek

[l3szcz]

Jeżeli dobrze rozumiem - chcecie uniknąć aplikacji typu Authenticator lub haseł TOTP opartych o tokeny / aplikacje?

[itomek]

3 godziny temu, l3szcz napisał:

chcecie uniknąć aplikacji typu Authenticator lub haseł TOTP opartych o tokeny / aplikacje?

 

Rozwiązanie, które oferujemy, jest maksymalnie uniwersalne właśnie dzięki autoryzacji SMS. Nie trzeba instalować dodatkowych aplikacji, nie trzeba kupować dodatkowych urządzeń. Wystarczy podstawowy telefon z funkcją odbioru SMS. A taki ma każdy z nas.

[nnd.newbie]

Poza tym ciężko byłoby zmonetyzować hasła TOTP  

 

Ja np. preferuję hasła TOTP bo mogę  je skonfigurować na telefonie, na laptopie czy innym urządzeniu - nie wymagają internetu, czekania na hasło SMS (ile z was miało problemy z otrzymaniem hasła na emaila czy SMSa bo coś się zacięło po drugiej stronie?), nie potrzebuję roamingu żeby otrzymać hasło poza granicami Polski.

 

Uniwersalnie byłoby uruchomić hasła na SMS, hasła na email i OTP, wtedy nie tylko byłoby wygodnie dla użytkownika który może sobie wybrać, ale także bezpieczniej gdyby jeden z kanałów się zepsuł, drugi może zadziałać.

 

Ale tu nie chodzi o wygodę użytkownika i uniwersalność tylko możliwość kasowania 0.31zł za smsa.

[itomek]

W dniu 6.08.2022 o 16:24, nnd.newbie napisał:

Uniwersalnie byłoby uruchomić hasła na SMS, hasła na email i OTP, wtedy nie tylko byłoby wygodnie dla użytkownika który może sobie wybrać, ale także bezpieczniej gdyby jeden z kanałów się zepsuł, drugi może zadziałać.

 

Rozważaliśmy wiele wariantów. Ale zacząć trzeba od tego, że chodzi o bezpieczeństwo poczty. Hasła OTP nie są moim zdaniem bezpieczne, bo są stałe. Mimo, że wykorzystać je można raz, to brak podstawowego czynnika, jakim jest licznik czasu powoduje, że tak samo jak zwykłe hasła mogą być skradzione. Można oczywiście trzymać je poza komputerem, nawet w sejfie. Ale czy można tutaj powiedzieć o wygodzie użytkowania takiego rozwiązania? Wysyłka haseł przez e-mail odpada, bo trzeba mieć wówczas dostęp do dodatkowego konta, które, aby spełniało łańcuch zabezpieczeń, tez powinno być zabezpieczone przez uwierzytelnienie dwuskładnikowe. Wszelkiego rodzaju urządzenia, jak klucze czy tokeny są dobrym rozwiązaniem, ale znów - trzeba je mieć przy sobie, co ogranicza możliwość wygodnego korzystania z nich na urządzeniu mobilnym, jak np. jesteśmy w podróży. Dlatego wybór ostatecznie padł na SMS-y.

 

Podsumowując - wszystko oczywiście może się zdarzyć. Ktoś napisze, że przecież może się rozładować telefon, na którym odbierane są SMS-y. Tak, ale podstawą jest tutaj uniwersalne zabezpieczenie poczty, bez wymogów związanych z korzystaniem z Android-a, iOS-a, instalowania programów naszych czy zewnętrznych, z hasłami wygasającymi po krótkim czasie. I najbardziej niezawodnym rozwiązaniem jest tutaj znany wszystkim SMS. Jeżeli macie inne pomysły, które są tak samo uniwersalne jak SMS-y i jednocześnie dają dostęp do haseł TOTP, prześlijcie je na [email protected]. Dzięki!

[patrys]

SMSy to taka zaślepka 2FA, tu jest to dość ładnie opisane: https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html

[itomek]

20 minut temu, patrys napisał:

SMSy to taka zaślepka 2FA

 

Myślę, że to rozważanie czysto akademickie. Nie chcę oceniać ryzyka, ale to, co przedstawione jest w artykule to pewna teza, którą równie łatwo obalić mówiąc o śledzących programach typu Pegazus na telefonie, sklonowanych urządzeniach czy możliwości złamania algorytmu ECDSA. Obok 2FA należy zawsze stosować odpowiednio skomplikowane hasło dostępu. Samo zabezpieczenie 2FA stanowi - mówiąc obrazowo - dodatkowy zamek w drzwiach, które prowadzą do naszej skrzynki e-mail czyli chronią naszą prywatność i internetową tożsamość. 

[patrys]

SMSy nie były projektowane do tego celu, więc jest to jest tak jak napisałem: zaślepka.

Nie widziałem by ktoś zajmujący się bezpieczeństwem pochwalał 2FA zrobione przez kody SMS.

 

Firmy odchodzą od tego, Apple od dawna używa tokenów aplikacyjnych, nasze banki też już wycofują się z SMS.

Nie da się tego obronić, bo po prostu SS7 jest do złamania, a same smsy generują dodatkowe koszty i np. awaria operatora telefonicznego odcina użytkowników od usług.

[itomek]

1 minutę temu, patrys napisał:

SMSy nie były projektowane do tego celu, więc jest to jest tak jak napisałem: zaślepka.

Nie widziałem by ktoś zajmujący się bezpieczeństwem pochwalał 2FA zrobione przez kody SMS.

 

Firmy odchodzą od tego, Apple od dawna używa tokenów aplikacyjnych, nasze banki też już wycofują się z SMS.

Nie da się tego obronić, bo po prostu SS7 jest do złamania, a same smsy generują dodatkowe koszty i np. awaria operatora telefonicznego odcina użytkowników od usług.

 

Możesz wskazać jako wadę uwierzytelnianie za pomocą SMS np. rozładowanie się telefonu. Czy to będzie jednak argument, który niweluje korzyść, jaką daje zabezpieczenie 2FA?

[patrys]

Nie, po prostu piszę Ci to co wszyscy wiedzą od lat, firmy uciekają, a Wy to ogłaszacie jaki ficzer i z uporem maniaka bronicie.

 

2FA jest dobre, ale realizowane przez SMS jest złym pomysłem.

Nie dość, że jest dziurawe ( wpisz w google: ss7 exploit ) to dodatkowo generuje koszty.

Są firmy które jeszcze tego używają np. w branży hostingowej taki DigitalOcean ale oni przynajmniej nie kasują klientów