2fa app passcode

Security-all

Sziasztok!

Egy béna kérdésem lenne. Ha egy alkalmazásban (Zimbra levelezés) bekapcsolom a 2fa-t, akkor a kliensekhez (thunderbird, stb.) kell generálnom egy passcode-ot. Ez egy 16 karakteres kód, amit az adott appban (és esetleg másikban is) használhatok jelszó helyett. Ez a passcode mennyivel komolyabb védelem annál, minthogy előírnám a usereknek,hogy eleve minimum 16 karakteres jelszót használjanak? Van így bármi értelme a 2fa-val szenvedni?

( PDA_FAN | 2024. 03. 06., sze – 10:40 )

A 2FA elsősorban arra jó, hogy ne lehessen a név/jelszó birtokában illetéktelenül hozzáférni valamihez. Nyilván ez sem ezer százalékos védelem, mert a 2FAhoz használt eszköz (pl.: okostelefon) is illetéktelen személyhez kerülhet, de azért jóval magasabb a biztonság szintje, mint az akárhány karakter hosszú jelszó.

Céges erőforrásoknál többnyire arra is jó, hogy ne használják keresztül-kasul egymás usereit az alkalmazottak. Tipikus eset, mikor a főnök a titkárnő Mancikát csicskáztatja a vezetői accountjával, miközben ő a büfében kávézva osztja az észt.

( gelei v | 2024. 03. 06., sze – 11:01 )

A Zimbra-t nem ismerem, de ertelmes helyen ez ugy van megoldva, hogy

  1. mindennek sajat app passwordje van (= vissza tudod vonni konkret kliens hozzafereset)
  2. app passworddel nem lehet barmit megcsinalni, szoval pl. nem tud kizarni vele a fiokodbol

Pontosan.

Jó példa a google account vs gmail app password. Előbbivel mindenhez is hozzáférsz a google univerzumban (ill. azon kivül is, ahol oauth-al google accounttal authentikálsz) utóbbi meg tényleg csak arra jó, hogy a levelezésedhez hozzáférsz.

Tehát önmagában nem biztonságosabb, mint ugyanez password restriction policy-val, viszont ha korlátozva van az ezzel elérhető szolgáltatás/adat, akkor már jóval biztonságosabb.

( GabX | 2024. 03. 06., sze – 13:19 )

Köszönöm a válaszokat. Megerősített abban, hogy ez nem csodaszer, de nem hülyeség.
Közben teszteltem olyat is, hogy az app password-öt több helyen is fel tudom használni (ha pl. felírom papírra), de ez a nem ajánlott felhasználási mód. Meg azt is kipróbáltam, hogy a webes felülethez nem jó az app password:)

Azt már látom, hogy bizonyos usereknél sok szívás lesz vele.