Pozdrav svima, da li mi može netko objasniti šta je 2FA ( two-factor autent.)?

Nisam se još s time susreo, a vidim da pravi dosta drugim ljudima problema.

Nadam se da će neki znalac uletjeti sa odgovorom.

U kontekstu AppleID, 2FA znači da, kad se prijavljuješ na iCloud odnekud, nije dovoljno utipkati svoj AppleID i password, nego ti nakon toga stigne push notifikacija na mobitel, s upitom jesi li to ti tko se pokušava logirati na tvoj AppleID, kažeš "Dozvoli" i dobiješ push sa 6-znamenkastim brojem kojeg moraš utipkati natrag u dijalog koji ti je popnuo tamo gdje se prijavljuješ na iCloud, nakon što si unio AppleID i pass.

Dakle, jedna provjera, pa onda druga. Zato se zove 2FA. Za prvu provjeru moraš znati AppleID i password, a za drugu moraš imati iPhone (ili iPad, ili Mac) te osobe i da je isti otključan za uporabu.

Čekaj, čekaj, jel se to pojavi samo ako se idem logirati na iCloud?

Recimo imam sada iPhone SE 2016, i to me nikada nije tražilo, e sada planiram kupiti novi iPhone SE 2020, pa hoće me to tražiti?

Kada prvi put upalim novi iPhone, ja obično preskočim korak dodavanja AppleID, i to dodam tek kada namjestim telefon, da li to ima ikakve veze? Da li sam te dobro skužio da je to samo za iCloud, a ne za AppleID i App Store?

Nemoj se ljutiti, ako su pitanja glupa, kažem nisam se nikada sa tim još susreo.

Nema glupih pitanja.

Meni se 2FA upit pojavljuje *SAMO* kad se prijavljujem na neki od Apple servisa odnekud odakle to inače ne radim (s novog Maca, iz surfalice, tako nešto). Ne sjećam se da sam ikad nečem pristupao sa svog mobitela i da mi se aktivirala 2FA, ali nisam zapravo siguran. Naime, ne sjećam se što se točno događalo kad sam aktivirao novi iPhone.

Da li AppleID podešavaš odmah ili naknadno, nema nikakve veze. Kod podešavanja on te "upita" želiš li 2FA (prilično je "skriven" način kako se to zaobilazi).

2FA se pojavljuje i kod dosta drugih servisa(meni na Amazonu sigurno i još nekim, ali mi sad ne padaju na pamet (još se razbuđujem jbga )).

To mi se dešava na poslu jer idemo na internet preko stranih vodova, a par puta su nam mijenjali neke postavke, pa me nekad očitava da sam u MIlanu, a nekad u Beču, a ja sjedim na Voltinom

Ne znam jesam li ja problem ili to što imam masu mobitela i kompova ali meni ta 2FA radi često OK ali ponekad skroz blesavo.

Recimo u firmi imam Mini na kojem je još High Sierra jer sam je lijen podignuti i tamo mi kod logiranja na Apple pošalje 2FA na isti taj komp. Tj. svaka čast cijelom konceptu ali koji je smisao slati 2FA brojeve na isti uređaj na kojem se logiram?

Isto tako moj iPhone 5s me svaki put kad ga spojim na komp pita: Trust this computer? Ali svaki put. Nakon dosta vremena shvatio sam da je nebitno što odgovorim jer nakon pozitivnog odgovora moram ukucati pin a nakon negativnog ne moram. Što god da izaberem, telefon je potpuno dostupan u iTunesima / Musicu kao i za korištenje unutar Xcodea.

IgorD kaže:


Naravno. To radi svima. Logiraš se na nešto preko safarija, zar ne? On nema načina znati da je to Safari koji se vrti baš na tom kompu kamo ti šalje 2FA. Zar ti ne nudi nakon logina u tom Safariju kvačicu da kažeš "trust this browser" da te više ne pita 2FA idući put?



Uključen ti je osobni hotspot i opcija da dozvoljavaš pristup internetu računalu koje je spojeno kabelom. Naravno da te pita svaki put, jer ne može znati koje je to računalo koje spajaš.

2FA je appleova unaprijedjena varijanta klasicnog 2-Step-Verification (btw. nude oni jos uvijek oboja, ali naravno guraju 2FA a skrivaju 2SV). Ne dobijate prompt za 2nd verification sa postojecih telefona jer je taj uredjaj automatski dodan u Trusted devices kad se prvi put prijavis na bilo koji servis sa tog uredjaja (to je upravo to unaprijedenje u odnosu na klasicni MFA ili sto apple po svom zove 2-Step-Verifcation). Uz napomenu da ovo ne vrijedi kad se prijavljujes u neki servis kroz Safari (a pretpostavljam i druge browsere) jer zbog raznih anti-tracking opcija kojim se opet tako ponosno hvale, browser nije moguce tako lako identificirati. Kroz browser imaju onu opciju ‘zapamti me...’, ali to je obicni cookie koji istice nakon x vremena a i mozes ga sam ocistiti.

smayoo kaže:


Kad si aktivirao novi iPhone nije te nista trazio, ali kad si se prvi put logira u iCloud ili iTunes/AppStore morao te je traziti 2FA ukoliko si ga prethodno ukljucio.


smayoo kaže:


Samo ovdje treba naglasiti da te ovo pita samo ako nisi vec prethodno ukljucio 2FA za taj account, kad ga jednom ukljucis samo te pita onaj 6-digit verification code kod prve prijave.

Nebitno je jesi zavrsio pocetni setup bez unosa accounta pa ga dodajes kasnije ili dodajes odma u pocetnom setupu. Jedino je malo zahebano ako ti je to jedini  uredjaj, jer onda nemas nikoji trusted device di ce stici kod pa mora ici na SMS, a dok si u pocetnom setupu ne mozes primiti(tj. procitati) SMS (ali to su rijesili u zadnjem iOS-u jer sad iOS automatski prepoznaje i unosi verifikacijske kodove iz SMS-a (ne samo za njihove nego i vecinu 3rd party servisa).

Druga stvar je da trusted device nije hardware based.
Kad god restoreas uredaj on dobiva novi Device Identifier, te zbog toga isto vrijedi i za restoreane uredjaje kao i za nove.

smayoo kaže:


Ma da? Uvijek sam nekako mislio da je poanta 2FA slanje poruke na neki drugi uređaj. Ovo mi baš i nema smisla. Recimo da je komp ukraden, na njega bi došla poruka koju lopov mora prekucati u browser?

S drugo strane, mislim da mi na druge uređaje nikad nije došla takva poruka dok sam ih koristio za login. Ali ok. Vjerojatno griješim jer na tom miniju uvijek skidam zadnji Xcode i zato vjerojatno to mislim.



A, da. To je počelo od kad sam na tom telefonu često koristio hot spot, istina. Na žalost nastavilo se i dalje.

Mada mi nije jasno, zašto ne može znati koje je to računalo? Kako iTunes prikaže ikonu telefona prije nego što ja ukucam pin? Najbolji indikator da je nešto zaista čudno je da me to pita kad ga spojim na bilo koji komp osim onog na kojem ga synkam tj. tamo gdje stavljam mjuzu i filmove, gdje radim backup itd.

Aha da, hot spot je isto funkcionira bez obzira na moj pozitivan ili negativan trust odgovor.

Edit - upravo sam se sjetio da je to prestalo prošli tjedan, tj. kad sam napravio update na najnoviji iOS koji na njega ide, mislim da je neki noviji 12.4.x

Hvala ljudi na odgovorima.

Imam još pitanja..

Da li onda savjetujete da se uključi taj 2FA, ili ne?

Kako se to može zaobići kada se pojavi?

Ja ne znam kako se odredi gdje dolazi onaj kod.
Obično dođe na telefon, ali ako je telefon nedostupan (razbijen, ukraden, pokvaren...) od kuda se taj kod onda dobije?
Kako se makne jer po uputama s neta to nije tako (nema opcija koje se prikazuju po uputama).

IgorD kaže:


Pa naravno, zasto bi uopce treba ista prekucavati, ako je to trusted device koji prima kod znaci da je vec logiran u neki servis (iCloud/iTunes/AppStore) direkt, ni ne triba se logirati kroz browser.

Zato kad je uredjaj ukraden logiras se u svoj account i maknes taj uredjaj iz Trusted devices (smo iz Trusted device, FMI ne diras).

songoku kaže:


Ok, valjda znaju što rade jer istina, ako mi netko ukrade uređaj i zna moj password onda ga 2FA ne spriječava za potpunu kontrolu. S druge strane, 2FA je dobar kada treba spriječiti da netko koristi moje servise sa svog računala nakon što je saznao samo moj password.

Ima smisla.

edit, nastavak na tvoju zadnju poruku, prekucava je kad se u Safariju logira na neki servis. Npr. developer.apple.com/download/more

jura22 kaže:


Ako nemas nikoji trusted device na account, kod ide automatski na SMS. Ako imas bar jedan trusted device, kod po defaultu ide na sve trusted device-ove, pa na kojem prvom odobris automatski nestane sa svih. Ako postoje ali svi trusted devices su ti trenutno nedostupni, imas opciju tipa "Didn't receive the code" ili "Don't have access to trusted device" (ne sicam se kako tocno glasi) i kad to izaberes kod ide na SMS.

@songoku - a šta da ja radim ako mi izbaci taj 2FA? Trenutno koristim Macbook, ali nije mi na njemu podešen iCloud/AppleID.

I imam samo taj jedan iPhone SE 2016, ali planiram uzeti SE 2020.

Hoće mi ako mi se to pojavi doći na taj SE 2020? Mislim na taj 6-tero znamenkasti kod doći preko SMS-a?

@invictus

Dobit ces ovo na telefon:

Kad odaberes Alow dobit ces taj 6-digit code

Ako nemas pristup telefonu imas uvijek ovo:

I kad to odaberes ide kod na SMS

IgorD kaže:


Pa da, ali sto sam htio reci je da se ni ne treba logirati nigdje kroz Safari, jer vec ima pristup tvom accountu kroz System Preferences (iCloud) ili iTunes/AppStore.

Ali ne zaboravi da ti imas punu kontrolu nad trusted device:

songoku kaže:


Hm, imam eSIM, dok se ne dokopam novog SIM-a ili sSIM-a kojeg ubacim u drugi mobitel, imam problem. OK, shvatio sam, da se upravljati s time.
Hvala

jura22 kaže:


Ok, pa ne kuzim sto ti je Apple tu kriv, tako funkcionira klasicni 2FA sa SMS verifikacijom.
Apple je jedino u svoj doda opciju za trusted device da ne ovisis samo o SMS-u i da ne moras svakih par minuta ukucavati kod na uredjaju kojeg koristis svakodnevno.

Jedino mogu jos uvesti podrsku za razne Authenticator appove kao punokrvni MFA, ali onda opet moras imati uredja di je taj Authenticator app instaliran, pa ti dodje na isto (ne mozes ni Authenticator app pristupiti na razbijenom telefonu).

@songoku - zaboravio sam jedno bitno pitanje, da li je taj 6-tero znamenkasti kod jedinstven? Znači da uvijek upisujem taj isti? Ili svaki puta dođe drugi kod? To je bitno da znam hoću taj kod što prvi puta dobijem negdje zapisati, da ne bih kasnije imao problema?

@invictus - Uvijek drugi naravno, pa to je smisao svega.

Ne bi bilo bas sigurno da ti da jedan kod i to je to koristi uvijek isti.
Pa jednako ko sto ce ti ukrasti sifru phishingom tako ti mogu ukrasti i taj kod i di si onda.

@songoku - hvala na objašnjenju!

A šta se desi ako odaberem "Do Not Allow"? Ako to ne odobrim kada mi se izbaci?

Pa jednostavno ti nece dati taj 6-digit code sto moras uniti tamo.
I jos ce ti odma ponuditi da prominis sifru, jer logicno, smatra da netko drugi pokusava pristupiti ako si odbio. Ali nece te prisiliti da moras prominiti sifru, samo ce ponuditi ako zelis.