Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Tomas878 29. 02. 2024, 07:34:33
-
Ahoj,
má někdo informace co všechno lze přečíst z mobilu díky MS Authentifikátoru, který je použit jako 2FA pro přístup k firemním věcem v Azure/Office 365?
podle soupisu oprávnění mě docela děsí, co všechno v mobilu může číst.
Diky
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis (https://github.com/beemdevelopment/Aegis). Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
EDIT: Máme natvrdo, authentifikaci PUSH notifikací s tím (s lokalitou atd), že se do browseru opisuje dvojciferný číslo.
To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis (https://github.com/beemdevelopment/Aegis). Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).
Právě v rámci Azure lze nastavit pouze tu věc od MS a povinně, takže cokoliv jiného nejde nastavit. (A kontroluje to i dokonce verze a tak dále) Tak proto se zajímám co je schopný správce vytáhnout z mého soukromého zařízení.
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
EDIT: Máme natvrdo, authentifikaci PUSH notifikací s tím (s lokalitou atd), že se do browseru opisuje dvojciferný číslo.
To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis (https://github.com/beemdevelopment/Aegis). Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).
Právě v rámci Azure lze nastavit pouze tu věc od MS a povinně, takže cokoliv jiného nejde nastavit. (A kontroluje to i dokonce verze a tak dále) Tak proto se zajímám co je schopný správce vytáhnout z mého soukromého zařízení.
Nevím sice, co z toho je správce schopný vytáhnout, ale já bych do toho nešla. Váš zaměstnavatel musel mít důvod, proč ostatní TOTP aplikace zakázal, protože co jsem vygooglila tak by default by měla fungovat jakákoliv aplikace + třeba SMS.
-
Váš zaměstnavatel musel mít důvod, proč ostatní TOTP aplikace zakázal, ...
Tipuju, že důvod bude "moc tomu nerozumím, tak jsem to radši zakázal".
-
Ono, hlavně když se přihlašujete, tak je to nastavený podle lokality telefonu atd. Takže se z toho sbírají lokalizační data včetně GPS.
-
A ta stránka https://mysignins.microsoft.com/security-info nefunguje? Já když chci Přidat metodu přihlašování - Ověřovací aplikace, tak sice dost agresivně to vnucuje Microsoft Authenticator, ale úplně dole je malým písmem možnost vložení i jiné aplikace:
(https://i.ibb.co/M6NvW8b/Sn-mek-obrazovky-2024-02-29-092456.png)
-
A ta stránka https://mysignins.microsoft.com/security-info nefunguje? Já když chci Přidat metodu přihlašování - Ověřovací aplikace, tak sice dost agresivně to vnucuje Microsoft Authenticator, ale úplně dole je malým písmem možnost vložení i jiné aplikace:
(https://i.ibb.co/M6NvW8b/Sn-mek-obrazovky-2024-02-29-092456.png)
Funguje, a přesně toto tam nemám. Je to zakázaný.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
Na zaklade ceho si firma mysli, ze muze prinutit zamestnance k akceptovani licencni smlouvy s MS/Google, resp. ke koupi a pouzivani soukromeho smartphonu pro pracovni ucely?
Zamestnavatel je povinen zamestnanci poskytnout prostredky nutne pro vykon zamestnani, cimz padem mi z toho vychazi, ze pokud si zamestnavatel vymysli nutnost pouziti smartphonu pro nejakou konkretni aplikaci, musi prislusny smartphone, samozrejme na sve naklady, zamestnanci poskytnout.
... jo, nas to v praci ceka taky, taky je mi to proti srsti a taky hledam trosku pisku, co bych do toho mohl nasypat.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
Vzhledem k tomu, že aplikaci Autentifikátor pro činnost stačí mít povolen pouze foťák, sejmutí QR pro spárování telefonu s účtem, tak k ničemu jinému by se neměla v mobilu dostat. Toto je ale důvěra v operační systém mobilu.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
Vzhledem k tomu, že aplikaci Autentifikátor pro činnost stačí mít povolen pouze foťák, sejmutí QR pro spárování telefonu s účtem, tak k ničemu jinému by se neměla v mobilu dostat. Toto je ale důvěra v operační systém mobilu.
A například GPS (vynucena firemní politikou, pro určování kde je to authentifikováno), pak má přístup ke všem datům v uložišti, k SMS (podle seznamu oprávnění)
-
ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.
Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.
Na zaklade ceho si firma mysli, ze muze prinutit zamestnance k akceptovani licencni smlouvy s MS/Google, resp. ke koupi a pouzivani soukromeho smartphonu pro pracovni ucely?
Zamestnavatel je povinen zamestnanci poskytnout prostredky nutne pro vykon zamestnani, cimz padem mi z toho vychazi, ze pokud si zamestnavatel vymysli nutnost pouziti smartphonu pro nejakou konkretni aplikaci, musi prislusny smartphone, samozrejme na sve naklady, zamestnanci poskytnout.
... jo, nas to v praci ceka taky, taky je mi to proti srsti a taky hledam trosku pisku, co bych do toho mohl nasypat.
no, mě to z pohledu věci nevadí, protože sebou tahat dva krámy se mi úplně nechce. Ale chci mít nějaké info o tom co vše lze sbírat z mobilu za data, a popřípadě to pak řešit.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.
Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.
Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.
Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.
Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.
Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?
IT Admin ví pouze Country (stát) a jestli ti přístup by na základě lokací a nastavené policy umožněn nebo ne. Lokace se posílá z aplikade na MS servery, ale sám tvrdí, že lokace nejsou ukládány pouze kontrolovány a zahozeny. Historie lokací zůstává uvnitř aplikace, má tam drobnou historii.
Proč to vůbec řešíš?
-
Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.
Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.
správce nic z té aplikace nezískává, výjma těch technických informací, že byl použit, z jakého zařízení a v jaké verzi.
Pokud ale máš telefon součástí domény firmy, je možné, že ti firma může vzdáleně měnit nastavení, nastavovat pro internet proxy, vidět přehled instalovaných aplikací atd. atd. To ale nezáleží na MS Auth. aplikaci, ale obecně integraci telefonu do domény firmy.
Takže ani lokalitu? Kterou to kontroluje? Když jsou nastavený limity lokality kde se lze k aplikaci přihlásit?
IT Admin ví pouze Country (stát) a jestli ti přístup by na základě lokací a nastavené policy umožněn nebo ne. Lokace se posílá z aplikade na MS servery, ale sám tvrdí, že lokace nejsou ukládány pouze kontrolovány a zahozeny. Historie lokací zůstává uvnitř aplikace, má tam drobnou historii.
Proč to vůbec řešíš?
Protože to je aplikace nainstalována nedobrovolně na soukromý telefon, kde nejsou profily pro oddělení aplikací jako má například Samsung. A člověk pořádně neví co to dělá a co to komu jak kdy a co reportuje, když má přístup i k SMS...
-
Ze samotného autentikátoru bez dalších MDM aplikací jako je např. Portál společnosti nezjistí nic. To zařízení se nezaregistruje do tenantu, pouze ten ten autentikátor. Správce může maximálně to propojení zrušit
-
Ze samotného autentikátoru bez dalších MDM aplikací jako je např. Portál společnosti nezjistí nic. To zařízení se nezaregistruje do tenantu, pouze ten ten autentikátor. Správce může maximálně to propojení zrušit
nikoliv nic, zjistí třeba tu zemi.
Protože to je aplikace nainstalována nedobrovolně na soukromý telefon, kde nejsou profily pro oddělení aplikací jako má například Samsung. A člověk pořádně neví co to dělá a co to komu jak kdy a co reportuje, když má přístup i k SMS...
Popsané to mají tady v dokumentaci https://support.microsoft.com/en-us/account-billing/common-questions-about-the-microsoft-authenticator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd#:%7E:text=Permission%20to%20access%20your%20location
Zaměstnavatel tě nemůže nutit nainstalovat jakkoukoliv aplikaci na tvůj osobní telefon, pokud to odmítneš, musí ti poskytnout pracovní telefon nebo nutnost přihlašování přes aplikaci zrušit. K instalaci čehokoliv, co potřebuješ pro pracovní účely na svůj telefon je nutný tvůj dobrovolný souhlas (ten můžeš udělit implicitně i tím, že si tu aplikaci sám nainstaluješ a spáruješ), pokud ho ale nedáš, je to problém zaměstnavatele.
-
Tak si proste v praci vypytaj pracovny telefon, co dnes kazda normalna firma kvoli takym veciam dava. Ak to nemieni dat, nie si povinny suhlasit s instalovanim pracovnych veci na sukromne zariadenia - ak sa vdaka tomu niekam nepripojis, je to prekazka v praci na strane zamestnavatela.
Nechapem ale tu nutnost aby to malo pristup k sms a polohe. Sam mam tu aplikaciu na sukromnom telefone a nic take nevyzaduje, vsetko funguje uplne normalne. Pouzivam ju v dvoch rezimoch - bud mi pride push notifikacia kam opisem kod z notebooku, tym padom sa mi automaticky dalej vpnka v notebooku pripoji, alebo v nej mam (neviem ako to pomenovat) zaregistrovanu vpnku s premenlivym kodom, tak ho odpisem z telefonu do vpnky na notebooku.
-
na jabku vidím, že má přístup k:
* kamera (foťák)
* face id (identifikuje osobu)
* mobilní data
bavím se o MS Authenticator
-
na jabku vidím, že má přístup k:
* kamera (foťák)
* face id (identifikuje osobu)
* mobilní data
bavím se o MS Authenticator
ty práva jsou na ios lazy, správce musí zapnout policy, že se při přihlašování kontroluje pozice, pak si MS auth. vyžádá povolení na lokaci i na ios, viz co má v app storu v manifestu. Samotná aplikace má možnost si vyžádat na ios tyhle oprávnění: location (precise), contact email, user ID/device ID, mobile data, others diagnostics data (drobná telemetrie o používání aplikace)
-
Oprávnění k SMS je z důvodu, že si to samo opisuje kód z SMS, pokud je nějaký takový doručen. Na iOS tohle oprávnění neexistuje, tam si kód musí přepsat* uživatel.
* Existuje tam totiž usnadnění, že kódy z SMS se ukazují v napovídači nad numerickou klávesnicí a tak stačí jen jednou kliknout a nic se přepisovat nemusí.
SMS . Used to make sure your phone number matches the number on record when you sign in with your personal Microsoft account for the first time. We send a text message to the phone on which you installed the app that includes a 6-8 digit verification code. You don't need to find this code and enter it because Authenticator finds it automatically in the text message.
https://support.microsoft.com/en-us/account-billing/common-questions-about-the-microsoft-authenticator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd (https://support.microsoft.com/en-us/account-billing/common-questions-about-the-microsoft-authenticator-app-12d283d1-bcef-4875-9ae5-ac360e2945dd)
-
Copak MS Authenticator, to je ještě na pohůdku. Ale když vám firma vnutí Microsoft Intune … to je teprv libůstka :D.
MS Authenticator jsem si v klidu nainstaloval. Na MS Intune jim nikdy nepřistoupím, na to ať mi daj extra telefon, protože si tím nehodlám ten svůj rozj***t. Ono samo za sebe hovoří i hodnocení 2,8* Na Google Play ;) (něco jako když děcka na Google Play hodnotí Family Link, ta idea je hodně podobná).
-
no, mě to z pohledu věci nevadí, protože sebou tahat dva krámy se mi úplně nechce.
Proč sebou tahat dva krámy? Pracovní telefon může zůstat v práci v zamčeném šuplíku, protože přeci když je človek mimo práci, tak ho nemá nikdo s prací otravovat.
Pracovní věci bych si zásadně na soukromý zařízení neinstaloval, nezávisle na tom jak moc intrusivní to je. Práci a soukromý život nemixovat.
-
Pokud se vrátím ke kořenům dvou faktorové autentizace, pro její fungování v SMS formě je potřeba:
- server umět vygenerovat nějaký random kód, který dorazí na zvolený a ověřený endpoint majitele (tedy v případě SMS je to číslo),
případně lépe , aby to bylo storageless na serveru, tak hash nějakého časového rozmezí, id usera a třeba IP adresy, případně prohnaný přes HMAC a/nebo šifrování
-přihlašovací dialog má třetí políčko nebo dál výzvu pro vložení kódu
-zadaný kód se musí shodovat
Ale jak je tomu v moderním pojetí, když je autentikátor pokrokovější a není nutné opisovat SMS, jen něco potvrdit? Tedy je zbavena nutnost něco opisovat, ale logika se přesunula, že nestačí hloupý zařízení co přijme a zobrazí 8 znaků, ale musí vyslat nějaký signál Confirm/Deny (opět asi nějak zakódovaně) na zpět na server.
Je možné naprogramovat nebo dokonce existuje open source autentifikátor ve variantě Potvrď (a ne zastaralý "Opiš"), který si každá může nasadit, nebo dokonce někdo (významnější) už provozuje? Je napadnutelný, pokud je open source? (nějaký klíče nebo Inicializační vektory má organizace v tajnosti samozřejmě)
Jenom logická poznámka - nestačí v přihlašovacím dialogu (samotného přistupovaného zdroje, ne autentikátoru) odklepnoutjen nějaké potvrzení "Ano jsem to já", to pak ten záškodník to může odklepnout, musí zadat nějaký secret
PS funguje takový to appka s ořezanými právy přes x-posed, na rootnutém telefonu nebo je potřeba nějaký modul do androidu co skryje stopy prozrazující rootnutí?
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
To ale zalezi od toho ci autentifikacia je TOTC alebo OTC. Bez smartfonu TOTC asi tazko pojde. Banky&spol maju OTC ale pokrocilejsie webove aplikacie maju TOTC.
-
Copak MS Authenticator, to je ještě na pohůdku. Ale když vám firma vnutí Microsoft Intune …
Android umí víc profilů. Mám firemní telefon, v něm osobní profil s osobními aplikacemi a firemní profil s firemními včetně Intune. Že by to něco rozbíjelo jsem nepozoroval. Aplikace z obou profilů mohou běžet najednou, tedy není třeba nějaké složité přepínání.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
To ale zalezi od toho ci autentifikacia je TOTC alebo OTC. Bez smartfonu TOTC asi tazko pojde. Banky&spol maju OTC ale pokrocilejsie webove aplikacie maju TOTC.
Co je TOTC? Naše české banky používají interně HOTP a některé dovolují použít legacy režim s OTC/OTP, ale to nemají všechny.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
To ale zalezi od toho ci autentifikacia je TOTC alebo OTC. Bez smartfonu TOTC asi tazko pojde. Banky&spol maju OTC ale pokrocilejsie webove aplikacie maju TOTC.
Co je TOTC? Naše české banky používají interně HOTP a některé dovolují použít legacy režim s OTC/OTP, ale to nemají všechny.
One-Time Code a Time-based One-Time Code. Niekedy oznacovane T/OTP namiesto T/OTC.
OTP/OTC je jednorazovy kod/heslo, nieco ako nonce, a TOTC/TOTP je to iste ale ma to casovu zlozku takze ten kod je platny len v konkretnom casovom useku, najcastejsie 30 sekundove okno. A teda kazdych 30 sekund sa generuje novy kod.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
To ale zalezi od toho ci autentifikacia je TOTC alebo OTC. Bez smartfonu TOTC asi tazko pojde. Banky&spol maju OTC ale pokrocilejsie webove aplikacie maju TOTC.
Co je TOTC? Naše české banky používají interně HOTP a některé dovolují použít legacy režim s OTC/OTP, ale to nemají všechny.
One-Time Code a Time-based One-Time Code. Niekedy oznacovane T/OTP namiesto T/OTC.
OTP/OTC je jednorazovy kod/heslo, nieco ako nonce, a TOTC/TOTP je to iste ale ma to casovu zlozku takze ten kod je platny len v konkretnom casovom useku, najcastejsie 30 sekundove okno. A teda kazdych 30 sekund sa generuje novy kod.
ani google mi tenhle termín nenašel :), u některých těch bank jsem ten systém 2FA navrhoval.
Odjakživa se používá (T)OTP, v poslední době jsem občas někdy zaslechl OTC, ale že někdo z toho udělá i TOTC? V angličtině má totiž code význam něčeho, co je známo obecně a dopředu, zatímco v češtině se někdy kód používá i ve významu hesla. Řekl bych, že to je nejspíš nesprávně používané v našich končinách. V angličtině to nedává smysl.
-
Tak když jsme u té termitologie, jak se jmenuje 2FA autentizace, kdy používám jako druhý faktor autentizátor ve smartphonu, ale místo prostého potvrzení, že se opravdu do webové aplikace hlásím já, tam ještě musím vepsat kód zobrazený na přihlašovací stránce webové aplikace?
Tzn. je to opačný směr, než že mi HW klíč vygeneruje unikátní, kód který vpisuju do web aplikace.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
To ale zalezi od toho ci autentifikacia je TOTC alebo OTC. Bez smartfonu TOTC asi tazko pojde. Banky&spol maju OTC ale pokrocilejsie webove aplikacie maju TOTC.
Co je TOTC? Naše české banky používají interně HOTP a některé dovolují použít legacy režim s OTC/OTP, ale to nemají všechny.
One-Time Code a Time-based One-Time Code. Niekedy oznacovane T/OTP namiesto T/OTC.
OTP/OTC je jednorazovy kod/heslo, nieco ako nonce, a TOTC/TOTP je to iste ale ma to casovu zlozku takze ten kod je platny len v konkretnom casovom useku, najcastejsie 30 sekundove okno. A teda kazdych 30 sekund sa generuje novy kod.
ani google mi tenhle termín nenašel :), u některých těch bank jsem ten systém 2FA navrhoval.
Odjakživa se používá (T)OTP, v poslední době jsem občas někdy zaslechl OTC, ale že někdo z toho udělá i TOTC? V angličtině má totiž code význam něčeho, co je známo obecně a dopředu, zatímco v češtině se někdy kód používá i ve významu hesla. Řekl bych, že to je nejspíš nesprávně používané v našich končinách. V angličtině to nedává smysl.
Tiez ma to vzdy plietlo lebo niektore kniznice pouzivaju C a niektore P. Asi som si uz zvykol na C.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
A víte o tom, že toto může správce ve firmě zakázat? A potom se s tlačítkovou Nokií můžete jít klouzat
-
no, mě to z pohledu věci nevadí, protože sebou tahat dva krámy se mi úplně nechce.
Proč sebou tahat dva krámy? Pracovní telefon může zůstat v práci v zamčeném šuplíku, protože přeci když je človek mimo práci, tak ho nemá nikdo s prací otravovat.
Pracovní věci bych si zásadně na soukromý zařízení neinstaloval, nezávisle na tom jak moc intrusivní to je. Práci a soukromý život nemixovat.
Někdy pracuju v práci, někdy na HO, takže neustále myslet mám ho vzít nemám ho vzít?
-
Copak MS Authenticator, to je ještě na pohůdku. Ale když vám firma vnutí Microsoft Intune …
Android umí víc profilů. Mám firemní telefon, v něm osobní profil s osobními aplikacemi a firemní profil s firemními včetně Intune. Že by to něco rozbíjelo jsem nepozoroval. Aplikace z obou profilů mohou běžet najednou, tedy není třeba nějaké složité přepínání.
Jak na jakým telefonu, u mě s tím je průser s průserem. Má nějaký oddělený profily, takže pokud mám aktivovaný firemní, tak se mi nedobouchá ani soukromý gmail... Možná to je implementací výrobce, nevím nechci zjištovat.
-
nevim co řešíte borci, autentikátor v mobilu imho nepotřebujete. Používejte buď smsky a přepisujte kod anebo si nechejte zavolat a potvrďte křížkem. mě to takhle funguje už leta a se starou tlačítkovou nokií...
A víte o tom, že toto může správce ve firmě zakázat? A potom se s tlačítkovou Nokií můžete jít klouzat
Nemůže, nemám firemní mobil a svůj soukromý nebudu poskytovat firmě. Pokud to budou tak vyžadovat, musí mi poskytnout buď firemní mobil který budu používat pro firemní věci a tedy si nainstaluju co budou chtít, anebo to musejí zařídit jinak.
-
Jak na jakým telefonu, u mě s tím je průser s průserem. Má nějaký oddělený profily, takže pokud mám aktivovaný firemní, tak se mi nedobouchá ani soukromý gmail... Možná to je implementací výrobce, nevím nechci zjištovat.
Samsung S23+. Funguje to úplně v pohodě, z hlediska používání jsem nepozoroval rozdíl v tom, jaká aplikace je v jakém profilu.
-
Jak na jakým telefonu, u mě s tím je průser s průserem. Má nějaký oddělený profily, takže pokud mám aktivovaný firemní, tak se mi nedobouchá ani soukromý gmail... Možná to je implementací výrobce, nevím nechci zjištovat.
Samsung S23+. Funguje to úplně v pohodě, z hlediska používání jsem nepozoroval rozdíl v tom, jaká aplikace je v jakém profilu.
Ne všichni mají telefon za 30...
-
Ne všichni mají telefon za 30...
Ptal ses na jakém telefonu, tak jsem odpověděl.
Nebude to spíš verzí Androidu / výrobcem, než cenou? One UI je snad (skoro?) stejné na všech Samsungách v dané verzi.
-
Ne všichni mají telefon za 30...
Ptal ses na jakém telefonu, tak jsem odpověděl.
Nebude to spíš verzí Androidu / výrobcem, než cenou? One UI je snad (skoro?) stejné na všech Samsungách v dané verzi.
Může být. Samsung ke mě domů nesmí po posledních příhodách s S8+. A taky nemám nejnovější Android, protože se snad všichni výrobci mobilů zbláznili, protože nebudu dávat skoro 30 za telefon aby měl to přes co nejede vlak.
-
Ked sa prihlasis cez mysignins.microsoft.com a kliknes na "Security Info" https://mysignins.microsoft.com/security-info
vies si tam pridat cez
+ Add sign-in method
napr. Phone
alebo Security key (USB YUBI key) ?
-
Ked sa prihlasis cez mysignins.microsoft.com a kliknes na "Security Info" https://mysignins.microsoft.com/security-info
vies si tam pridat cez
+ Add sign-in method
napr. Phone
alebo Security key (USB YUBI key) ?
Ne, nejsem. Je to zakázaný.
-
Admin vidi "Recent activity"
datum, cas, lokaciu, operacny system, prehliadac, verejnu IP, ... uspesne/neuspesne prihlasenie