Czy kody 2FA/klucze YubiKey wpływają na bezpieczeństwo menadżerów haseł w chmurze?
Użycie 2FA NIE WPŁYWA na to jak szyfrowana jest baza haseł. Bezpieczeństwo menadżera zależy więc głównie od długości i entropii Twojego hasła głównego. Pomimo tego WARTO włączyć 2FA.
Opublikowano 01.01.2023 19:49
To dodatkowe zabezpieczenie przed phishingiem. Przykład. Dostajesz maila, w którym znajduje się link do złośliwej strony podszywającej się pod Twój menadżer. Podajesz na niej swoje hasło główne. To hasło atakujący może użyć na oficjalnej stronie by odczytać Twoje hasła.
Tu do gry wchodzi 2FA. Atakujący zna Twoje hasło więc serwer zwróci mu całą bazę. Ale jeśli masz włączone 2FA - serwer przed wysłaniem bazy zapyta jeszcze o kod z aplikacji/poprosi o włożenie klucza do portu USB. A tego przestępca nie ma. Masz czas aby zmienić hasło główne.
2FA NIE POMAGA w przypadku gdy atakujący zdobędzie zaszyfrowaną bazę z serwera producenta. Ponieważ kod 2FA nie bierze udziału w szyfrowaniu - bezpieczeństwo haseł zależy tylko od hasła głównego. Ta sytuacja ma miejsce w przypadku wycieku LastPassa. 2FA Ci tu NIE POMOŻE.
2FA/YubiKey nie pomoże też w przypadku jeśli ktoś ukradł Twój telefon/ma dostęp do Twojego komputera. Bo zaszyfrowana baza już jest na Twoim urządzeniu. Została wcześniej ściągnięta z serwera producenta. I ponownie - bezpieczeństwo zależy od naszego hasła głównego/kodu PIN.
Czy zatem warto używać 2FA? Moim zdaniem TAK. Nie przeszkadza on w normalnym użytkowaniu bo większość menadżerów prosi o kod tylko wtedy, kiedy używamy nowego urządzenia/telefonu. Logując się na tej samej przeglądarce - nie musimy co chwilę podawać kodu bo jest on zapisany.