Yo ya tenía el 2fa con códigos TOTP (un código de 6 dígitos que cambia cada minuto, la app Google Authenticator también lo implementa) y sin pedirme nada me pusieron el sistema que te hace saltar notificaciones en el móvil, ya no me piden el TOTP.

Creo que rebuscando se puede cambiar alguna prioridad pero no me convenció nada que me lo cambiasen así sin preguntar ni avisar.

No sé si la notificación es más segura que el TOTP, al menos el TOTP lo entiendo y creo que sé valorar los riesgos. A ver si me pongo y lo dejo como estaba.

Lo que faltaba. Si entro en el email 20 veces al día, menudo santo coñazo.

Optativo, bien.

Vaya puta mierda.

#2 Vengo desde el futuro para traeros las cookies de sesión...

Que es broma

#4

La verdad es que me toca las narices.

Me lleva pasando casi un año. A menudo un señor de ventas de un cliente me dice "¿vais a añadir doble factor?" Y yo digo "Sí, en cuanto un usuario nos lo pida, lo hacemos con prioridad máxima para su seguridad".

El de ventas está contento, y el usuario final jamás nos llama para decirlo que lo pongamos porque es un coñazo. Siempre está bien, si no te toca usarlo a ti

#2 tienes que poner la contraseña del email 20 veces al día

#2 normalmente, solo se pide cuando hay un riesgo mayor, como un nuevo navegador, SO, geolocalIzacion, etc.
Es decir se implementa con autenticación evolutiva.

#5 Pero luego las hostias que se llevan las empresas porque les entran hasta en la cocina y se descubre que no estaban usando ni MFA para cuentas críticas son épicas.

El propio ataque a SolarWinds creo que fue descubierto por una autenticación con MFA fallida dentro de FireEye. Piensa también que si comprometes la cuenta de Google de la mayoría de gente, puedes acceder a toda su vida digital, por lo que veo correcta la medida.

Es molesto sí, yo también tengo sufrirlo para mil cuentas en el trabajo, pero en mi opinión es algo tan básico como cerrar la puerta de casa con llave.

Cuando pierdes el móvil y Google te pide enviarte un mensaje al móvil perdido para poder localizarlo te hace mucha gracia tener activado el doble factor.

#5 ¿Verdad? Esto de la seguridad es un coñazo. Supongo que también le aconsejas a la gente que se quite la cerradura de la puerta de casa, porque ¡qué coñazo sacar las llaves cada vez que quiere entrar!
Qué pena no saber quién eres para no contratarte nunca.

#8 La verdad es que la culpa es mía. La noticia dice que hará mfa de forma predeterminada y yo entendí que lo haría obligatoriamente.

Más que echar la llave sería "tener una puerta vieja". Al fin y al cabo una puerta sin llave se puede abrir fácilmente y una contraseña sin mfa no

#9 Y más usando apps como "Google Authenticator". Si pierdes el móvil, adiós a los accesos (siempre puedes tener códigos de seguridad para rescate en ese caso, pero la verdad es que este sistema no me parece muy práctico)

#11 Tienes toda la razón en que la analogía de la llave no es buena, había pensado en ello como una molestia (teniendo que llevar la llave a todos lados y con sus peligros de quedarte fuera si la pierdes) que asumimos con naturalidad. Quizás podría ser también una puerta que para abrirla se necesite llave y la huella dactilar, porque tienes miedo de que alguien esté haciendo copias de tu llave.

El problema fundamental de las contraseñas están en el usuario, creo. No puedes asegurar que estén reutilizando las contraseñas en otros sitios, o que caigan en un ataque de phishing y las den, o que tengan un keylogger instalado en algún momento en su ordenador. El MFA es una capa de protección más para intentar que desistan y vayan a por un objetivo más débil.