Megbízható eszközök (Remember device 2FA-nál)

3 perc olvasás

Ha bekapcsolta a 2FA-t és bejelentkezéskor a megszokott PC-ről vagy mobilról szeretné kihagyni a 6 jegyű kódot, jelölje be az "Eszköz megjegyzése" opciót - 30 napig nem fogjuk újra kérni a TOTP-t.

Hogyan működik

1. Az adott eszközön az első sikeres 2FA bejelentkezéskor jelölje be az "Eszköz megjegyzése" opciót
2. A böngészőbe HTTP-only sütit mentünk aláírt tokennel (HMAC, nem manipulálható)
3. A következő bejelentkezéskor (ugyanaz a böngésző, ugyanaz az eszköz) megtaláljuk ezt a sütit és kihagyjuk a 2FA lépést
4. 30 nap után a token lejár és újra meg kell adnia a TOTP-t

Megbízható eszközök kezelése

A Beállítások -> Biztonság szakaszban -> Megbízható eszközök alatt látja a listát:

• Eszköz neve (a user-agentből - pl. "Chrome Windows 11-en")
• Az utolsó bejelentkezés IP-címe és országa
• Hozzáadás és utolsó használat dátuma
• Eltávolítás gomb - azonnal visszavonja a bizalmat (a süti a következő kérésnél elutasításra kerül)

Mikor érdemes eltávolítani egy eszközt

• Ha idegen vagy nyilvános PC-n jelentkezett be (kávézó, könyvtár)
• Ha elveszítette/eladta a notebookot vagy a mobilt
• Ha a listán olyan eszközt lát, amelyet nem ismer fel (és IP-t / országot)

Biztonsági biztosítékok

• HMAC aláírás: a token szerveroldali titokkal van aláírva - a támadó a titok feltörése nélkül nem tud érvényes sütit előállítani
• HTTP-only: a JavaScript az oldalon nem látja a sütit (XSS-en keresztüli kiszivárgás elleni védelem)
• Secure flag: a süti csak HTTPS-en keresztül kerül elküldésre
• Fiókonként: a token tartalmazza a user ID-t - az A fiókról ellopott süti nem működik a B fiókon
• Automatikus lejárat: 30 napos érvényesség, utána újra szükséges a TOTP
• Jelszóváltáskor (az "Elfelejtett jelszó" vagy jelszó-visszaállítás útján) minden megbízható eszköz automatikusan eltávolításra kerül - a sütivel rendelkező támadó már nem tudja kihagyni a 2FA-t