Fol News

Tutti gli approfondimenti
Tutte le notizie

NON aggiornate google authenticator

la cosa ancora + strana è che il mio cell VIVO continua a tutt'oggi a non "vedere" la nuova versione di authenticator..... i miei due cell + vecchi (e di tanto) l'hanno già scaricata...
 
tygrys ha scritto:
la cosa ancora + strana è che il mio cell VIVO continua a tutt'oggi a non "vedere" la nuova versione di authenticator..... i miei due cell + vecchi (e di tanto) l'hanno già scaricata...
Clicca per espandere...
identica situazione, ma in caso di installazione, cè una guida per vedere i codici sul cloud ? Grazie
 
Ho ancora la vecchia versione di authenticator.
Oggi mi é comparsa la nuova tra gli aggiornamenti: Versione 6.0 del 18/5/2023.

Tra le novità NON compare il salvataggio in Cloud dei codici, c'è solo

"È stata aggiunta la crittografia del dispositivo per l'archiviazione dei valori dei secret."

Che non capisco nemmeno bene cosa vuol dire, non voglio pensare che prima i secret fossero conservati in chiaro sul cellulare.

Ora: qualcuno l'ha già installata? Sapete quale può essere una procedura safe per evitare i problemi che avete avuto?

denghiú
 
Aquilante ha scritto:
Ho ancora la vecchia versione di authenticator.
Oggi mi é comparsa la nuova tra gli aggiornamenti: Versione 6.0 del 18/5/2023.

Tra le novità NON compare il salvataggio in Cloud dei codici, c'è solo

"È stata aggiunta la crittografia del dispositivo per l'archiviazione dei valori dei secret."

Che non capisco nemmeno bene cosa vuol dire, non voglio pensare che prima i secret fossero conservati in chiaro sul cellulare.

Ora: qualcuno l'ha già installata? Sapete quale può essere una procedura safe per evitare i problemi che avete avuto?

denghiú
Clicca per espandere...
installa authenticator ex novo e da vuoto importa tutti i codici da un secondo telefono.
 
(io sul mio vivo continuo a non vedere la 6.0)
 
Aggiornato poco fa su un telefono secondario...dopo l'aggiornamento chiede se passare in cloud autenticandosi col proprio account google oppure se tenere i codici "offline" senza account. Ovviamente gli ho detto di non loggarsi e tenere offline e mi ha aperto esattamente la solita schermata che avevo con i codici 2FA dei vari account
 
strelly83 ha scritto:
Aggiornato poco fa su un telefono secondario...dopo l'aggiornamento chiede se passare in cloud autenticandosi col proprio account google oppure se tenere i codici "offline" senza account. Ovviamente gli ho detto di non loggarsi e tenere offline e mi ha aperto esattamente la solita schermata che avevo con i codici 2FA dei vari account
Clicca per espandere...
Ottimo, grazie a te ho aggiornato tranquillamente
 
bah io sono contento che salvi su cloud... tra l'altro usavo anche Authy proprio perché non mi fidavo ad avere tutto solo in locale (trovo folle affidare l'accesso solo ad un disco locale dello smartphone che si può rompere/perdere/rubare in qualsiasi momento).
 
Maestr ha scritto:
bah io sono contento che salvi su cloud... tra l'altro usavo anche Authy proprio perché non mi fidavo ad avere tutto solo in locale (trovo folle affidare l'accesso solo ad un disco locale dello smartphone che si può rompere/perdere/rubare in qualsiasi momento).
Clicca per espandere...
Basta backup offline su secondo telefono ma anche su una fotografia (del grande QR che ti genera per esportare tutti i codici) sempre offline.

Mettere online i codici Auth fa perdere metà del senso di questo tipo di 2FA
 
donTango ha scritto:
Basta backup offline su secondo telefono ma anche su una fotografia (del grande QR che ti genera per esportare tutti i codici) sempre offline.

Mettere online i codici Auth fa perdere metà del senso di questo tipo di 2FA
Clicca per espandere...
E se si rompe pure il secondo telefono?
Poi dove la metti la fotografia del QR (che ti devi essere ricordato di fare durante il processo di registrazione... che per carità non è impossibile da recuperare ma molto complicato (lo so perché l'ho fatto))? Perché se la metti su hard disk locale hai lo stesso problema del secondo telefono, se la metti su cloud hai lo stesso problema di cui parli tu (solo peggio perché i dati su cloud google sono criptati, la foto non lo è).

Ciò detto io non sono d'accordo con l'idea stessa che la sicurezza debba essere solo locale (è lo stesso motivo per cui prediligo telegram in modalità default con i dati su server, piuttosto che la end2end stile whatsapp con cui senza il tuo dispositivo fisico non puoi usare whatsapp su pc/browser ed è anche tra i motivi per cui non credo per nulla nell'economia decentralizzata), i dispositivi locali non sono ridondanti (al massimo hai uno o due backup e comunque sempre nello stesso luogo, se ti prende fuoco casa addio ai dati), non sono conservati in maniera ottimale, né hanno un team di professionisti che si occupa di tali dati. Certo non si può neanche dipendere totalmente dal cloud perché i servizi cloud cambiano nel tempo.
Quel che è certo è che, in un modo o nell'altro, vantaggi e svantaggi ci sono per entrambi gli approcci, personalmente parlando preferisco fidarmi di google e altre grosse aziende (la paranoia e i complottismi li lascio ad altri), male che vada cercheranno di indirizzare i miei acquisti con ads personalizzati, piuttosto che fidarmi che i miei hard disk locali durino per sempre.
Non solo, 2FA non mi piace neanche così tanto come sistema, lo uso solo come sistema alternativo di accesso relativamente sicuro in combinazione con SMS (ove gratuiti), nome utente e password ovviamente e tutto il resto. Mi piace avere molti sistemi di accesso per evitare che, con il malfunzionamento di uno di essi, mi sia impossibile l'accesso ad un sito (mi è già capitato, problemi temporanei ovviamente).
 
Maestr ha scritto:
E se si rompe pure il secondo telefono?
Poi dove la metti la fotografia del QR (che ti devi essere ricordato di fare durante il processo di registrazione... che per carità non è impossibile da recuperare ma molto complicato (lo so perché l'ho fatto))? Perché se la metti su hard disk locale hai lo stesso problema del secondo telefono, se la metti su cloud hai lo stesso problema di cui parli tu (solo peggio perché i dati su cloud google sono criptati, la foto non lo è).

Ciò detto io non sono d'accordo con l'idea stessa che la sicurezza debba essere solo locale (è lo stesso motivo per cui prediligo telegram in modalità default con i dati su server, piuttosto che la end2end stile whatsapp con cui senza il tuo dispositivo fisico non puoi usare whatsapp su pc/browser ed è anche tra i motivi per cui non credo per nulla nell'economia decentralizzata), i dispositivi locali non sono ridondanti (al massimo hai uno o due backup e comunque sempre nello stesso luogo, se ti prende fuoco casa addio ai dati), non sono conservati in maniera ottimale, né hanno un team di professionisti che si occupa di tali dati. Certo non si può neanche dipendere totalmente dal cloud perché i servizi cloud cambiano nel tempo.
Quel che è certo è che, in un modo o nell'altro, vantaggi e svantaggi ci sono per entrambi gli approcci, personalmente parlando preferisco fidarmi di google e altre grosse aziende (la paranoia e i complottismi li lascio ad altri), male che vada cercheranno di indirizzare i miei acquisti con ads personalizzati, piuttosto che fidarmi che i miei hard disk locali durino per sempre.
Non solo, 2FA non mi piace neanche così tanto come sistema, lo uso solo come sistema alternativo di accesso relativamente sicuro in combinazione con SMS (ove gratuiti), nome utente e password ovviamente e tutto il resto. Mi piace avere molti sistemi di accesso per evitare che, con il malfunzionamento di uno di essi, mi sia impossibile l'accesso ad un sito (mi è già capitato, problemi temporanei ovviamente).
Clicca per espandere...
Ancora?

Ti ho scritto foto offline, su una SD card da pochi euro su amazon, su due, su 42, fanne quante vuoi. E ti ho già scritto, basta fare procedura di export e ti genera un mega QR con tutti i codici.

Poi visto che lo chiedi, ovviamente ho il backup di ciascun codice, come ti spiegano di fare in ogni procedura di attivazione di 2FA.

Addirittura parli di sentirti più sicuro con 2FA SMS.
Bah...
Ma se la tua unica preoccupazione é l'accessibilità garantita, perché non togli tutta la sicurezza? Rimani con una bella password a 4 caratteri 0000 e vedrai che non perdi mai l'accesso.

Io invece dove possibile non uso neanche 2FA esclusiva su telefono guarda un po', ma chiavi hardware con opportuno backup.

Se vanno a fuoco tutti i backup pazienza, con qualche settimana ripristini gli account.

Che poi cosa dovrei proteggere, i soldi spicci degli Exchange? O ancora tenete il capitale su Exchange? Dai su...
 
Maestr ha scritto:
bah io sono contento che salvi su cloud... tra l'altro usavo anche Authy proprio perché non mi fidavo ad avere tutto solo in locale (trovo folle affidare l'accesso solo ad un disco locale dello smartphone che si può rompere/perdere/rubare in qualsiasi momento).
Clicca per espandere...

Ma infatti anche Io uso sia authy che Google authenticator e authy ha sempre previsto questa feature :o

Per me nessun problema a tenere i codici sul cloud comunque anche perchè dove conta ho implementato altre misure di sicurezza :o (yubikey ecc...)
 
donTango ha scritto:
Ti ho scritto foto offline, su una SD card da pochi euro su amazon, su due, su 42, fanne quante vuoi. E ti ho già scritto, basta fare procedura di export e ti genera un mega QR con tutti i codici.
Clicca per espandere...
quello che devi rigenerare ogni singola volta e che funziona solo su google authenticator... no grazie.

donTango ha scritto:
Addirittura parli di sentirti più sicuro con 2FA SMS.
Bah...
Clicca per espandere...
Non è più sicuro, è semplicemente più comodo avere anche quello.

donTango ha scritto:
Ma se la tua unica preoccupazione é l'accessibilità garantita, perché non togli tutta la sicurezza? Rimani con una bella password a 4 caratteri 0000 e vedrai che non perdi mai l'accesso.
Clicca per espandere...
perché penso ci sia una bella differenza tra avere un buon rapporto tra accessibilità/sicurezza ed esserne ossessionati. Avere una password robusta con un secondo fattore tipo sms e/o authenticator è un conto... preoccuparsi di tenere tutto offline è tutt'altra storia.

donTango ha scritto:
Io invece dove possibile non uso neanche 2FA esclusiva su telefono guarda un po', ma chiavi hardware con opportuno backup.
Clicca per espandere...
ecco ancora peggio...

donTango ha scritto:
Se vanno a fuoco tutti i backup pazienza, con qualche settimana ripristini gli account.
Clicca per espandere...
sempre se riesci a dimostrare che sono tuoi.

donTango ha scritto:
Che poi cosa dovrei proteggere, i soldi spicci degli Exchange? O ancora tenete il capitale su Exchange? Dai su...
Clicca per espandere...
account importanti, come già scritto non credo nelle crypto. per me sono fuffa. i miei soldi sono in banca come tutte le persone normali.

In definitiva non vedo come un backup criptato gestito da google annulli la sicurezza di google authenticator. A voler proprio guardare il pelo nell'uovo ti stai solo fidando di google, ma è quello che facevi anche prima (perché stavi utilizzando un'app prodotta da google... e non hai avuto accesso al codice sorgente della stessa per capire se stessero davvero conservando i tuoi dati offline)... e una volta che ti fidi di google per authenticator non vedo quale sia il problema di far gestire anche a loro un backup in modo da non dover vivere nella paranoia.
Francamente ho vissuto anni in un mondo protetto solo da semplici password senza alcun problema, quando si è iniziato ad implementare dei sistemi di sicurezza aggiuntivi ho pensato che i passi in avanti fossero positivi, ad oggi penso che l'ossessione per la sicurezza sia arrivata a livelli da vera e propria malattia... i complottari pensino quel che gli pare, io ho backuppato su cloud le mie chiavi sia con google che con authy perché trovo comodo avere dei backup in cloud.
 
Vedo una discussione vivace, cmq ognuno si sceglie il proprio abito. Per la sicurezza io ho il 2fa di google & Auty, con codici su carta e cloud di terzi....quindi se và a fuoco la casa ho il cloud....se salta il cloud ho i miei bravi codici su carta
 
Credo che stare attenti alla sicurezza sia giusto, ma non deve diventare un'ossessione o una paranoia, bisogna un po fidarsi della tecnologia, a maggior ragione se si opera sulle crypto ... le nostre perdite nel mondo crypto secondo me sono dovute nella stragrande maggioranza dei casi a due fattori: errori nell'operativitâ e fallimento degli exchange... Gli account craccati sono rari, è un problema sopravvalutato... stiamo tanto attenti al 2fa su cex dove abbiamo pochi k, ma abbiamo la stessa attenzione a scegliere una banca o un cex dove aprire un conto?
O alla scelta delle tempistiche su acquisti/ vendite? O a conservare dati/password/chiavi per evitare di perderli?
Personalmente ho appunto pochi k su Exchange, perlopiù su binance, e l'accesso è con codice inviato su mail o su sms, ma ho intenzione di lasciarci solo cifre simboliche
 
Ultima modifica:
Consiglio andOTP per Android, completamente open source.
 
Devi accedere o registrarti per poter rispondere.
Indietro