1login od wp - aplikacja do weryfikacji dwuetapowej

Czesc, jakiś czas temu wp wprowadziło możliwość założenia weryfikacji dwuetapowej na stronach należących do nich za pomocą aplikacji 1login od wp. Macie może jakies opinie o tej aplikacji? Warto używać, prawda?

Jak dla mnie wadą, jest że nie da się jej podpiąć pod:

  • Authy
  • Duo Mobile

Czyli WP bawi się jak Microsoft ze swoim 2FA i własnym Microsoft Authenticator (testowane na próbie uruchomienia 2FA dla outlook/hotmaila - https://authy.com/guides/microsoft/).


Opcję SMS raczej należy uznać z podatną na ataki.

2lajki

Nie tylko WP się tak bawi. Steam też ma swoją wariację 2FA, ale na szczęście swego czasu ich aplikacja była dziurawa i udało się wydobyć algorytm. Niektóre aplikacje open source mają go zaimplementowanego np. KeepassXC, Keepass2Android.
Problem stanowi sekretny klucz. Jak masz np. TWRP lub roota na smartfonie to można się dokopać do pliku Steam Guard i w postaci jawnej jest tam klucz zapisany, wtedy da się używać z innymi apkami mającymi enkoder Steam.

Generalnie 1login od WP nie jest dobry i jest to kolejny syf z trackingiem i reklamami. Poza tym patrz: https://1login.wp.pl/regulamin punkt V. podpunkt 3, 4, 10 - syf, syf i jeszcze raz syf.

Unikałbym go jak ognia, żeby grupa WP nie miała przeświadczenia, że robi dobrze serwując własne rozwiązanie zamiast zastosować TOTP lub inny standard 2FA, który można używać z dowolnie wybraną aplikacją uzyskując tylko sekretny kod przy aktywacji.

Popatrz tylko jak to wygląda:
https://www.epicgames.com/id/login

Jak każda firma będzie tworzyć swój standard jednolitego konta, aby zalogować się na wielu serwisach lub w obrębie danych usług to będziesz mieć w przyszłości listę kilka razy taką i zanim się zalogujesz to będziesz szukał Zaloguj się przy pomocy XXXXX, … , Zaloguj się przy pomocy ZZZZZ. Swoją drogą widać na liście, że Epic ma na pieńku z Apple :smiley:

1lajk

Dwa tygodnie temu na kontakt WP zadałem pytanie, czy mając jednocześnie pocztę na WP i konto na DP będę się musiał logować za pomocą jednego loginu. Tu, na DP, występuję, jako Timotheos, ale login przy adresie jest moim imieniem i nazwiskiem, a ja nie życzę sobie, aby potem być zaskoczonym podczas logowania się na DP, że zamiast Timotheos pojawią się moje personalia (RODO). Pytanie zadałem, odpowiedzi nie mam. Czyżby to był tak poważny problem? Nie pachnie to ładnie.

Mnie ciekawi czy pod “1 login WP” można podpiąć więcej niż po jednej poczcie WP/O2.

Jak piszesz do WP to najczęściej odpowiada BOT i to jakimiś bełkotem, który próbował dopasować do zadawanego pytania, a czasami w ogóle nie odpowiada.

Używanie logowania za pomocą WP lub Google itp. na wielu serwisach samo w sobie jest kompromitacją, bo mają dane telemetryczne i mogą łatwo profilować.
Najlepiej to chyba standard: login+hasło + TOTP (Time-based One-Time Password), ale bynajmniej nie z udziałem Google Authenticator tylko, coś co pozwoli wyeksportować klucze.
andOTP/authy itp.

@krystian3w można, ale nie w pakiecie FREE :stuck_out_tongue:

Z wad to jeszcze około 2-10 sekund zawiechy zanim aplikacja wygeneruje nowy kod.

Albo ostatnie 10 sekund leci za szybko (od 2 do 4 razy za szybko).

Pewnie uruchomili “time.wp.pl”/"czas.wp.pl" z zegarem atomowym…

W ogóle ten cały 1login jest jakąś bzdurą dla użytkowników (co wcale nie znaczy, że jest bzdurą dla WP).
Wielu ludzi nie ma kompletnie pojęcia o co chodzi, ba - sam do końca nie wiem, a regulamin jest tak długi i zawiły, że odnoszę wrażenie, że inspirowali się licencjami Microsoftu.

Po jaką cholerę wymuszają go do zwykłego logowania się do poczty na WP, gdy do tego potrzebny jest przecież tylko adres pocztowy i hasło. A jak ktoś ma wiele kont pocztowych na WP?

Kilka kont 1login lub “płatne” konto 1login.

Dawno się nie logowałem przez WWW na spam-pocztę WP.
Jest tam taki ładny napis:

Już niedługo 1login
stanie się jedyną metodą logowania w Poczcie

Pytanie tylko, czy nadal będzie można używać klienta poczty IMAP z zestawem login+hasło ?

Tak, przewidzieli coś takiego jak hasło “jednorazowe” (https://pomoc.wp.pl/1login/hasla-jednorazowe-aplikacji), które nie jest jednorazowe:

https://mozillapl.org/forum/viewtopic.php?t=50521&hilit=jednorazowe#p247229

Outlook chyba ma coś podobnego, jak używa się aplikacji mobilnej dla Android / iOS / BlackBerry / Outlook na “PC”.

Dzięki. Czyli wyjdzie na to samo, co przedtem? Czy to inaczej jednak będzie działać?
Mówię oczywiście o kilku darmowych kontach.

No ja też często przez WWW się tam nie loguję, bo korzystam z klienta poczty na komputerze, ale czasem jednak trzeba - np. gdy jestem na jakimś innym komputerze.

Szczerze powiem - nie rozumiem tego “razloginu” :wink: Czy to w ogóle ma sens? Bo przecież klient poczty (np. Outlook) wymaga adresu i hasła (POP3 czy IMAP, nieważne), jak ma się do tego ten 1login? Oczywiście bez jakiejkolwiek aplikacji na smartfonie.

Czyli wygląda na to, że trzeba będzie je wygenerować teraz, bo po zmianach WP trzeba będzie użyć do tego 1login, aby się w ogóle zalogować =.=

Moje konta mają zablokowaną migracje, pewnie z racji że 2 dni poużywałem i na obu wybrałem opcje kasacji “1login”, na jednym chyba 2 razy kasowałem “1login”.

Najlepsze jest też jak jakiś mail z kodem nie dochodzi, to proces rejestracji zaczynamy od zera, bo niby stary kod z jakiegoś powodu wygasł.

Jak to się ma do tego?

Kurcze opcja niedostępna w pomocy jest napisane, żeby z niej skorzystać to trzeba i tak mieć aktywny 1login z 2FA =.=
No nic trzeba będzie pozmieniać adresy w innych serwisach i przenieść się na np. Tutanoda :stuck_out_tongue:, szkoda, bo jako wieloletnia skrzynka na SPAM i rejestracje na pseudoserwisach, gdzie tylko jakiś e-mail był potrzebny sprawdzała się dobrze. :wink:

Ma się nijak - mam komunikaty:

  • “Wystąpił błąd podczas migracji konta.”
  • “Logowanie nie powiodło się”.

Jak na siłę wyłączą logowanie standardowe to raczej konta jednak pójdą w kosmos.


Co do logowania to wtedy na WWW po prostu trzeba sobie zmienić miejsce w bazie zapisanych haseł z profil.wp.pl / poczta.wp.pl na 1login.wp.pl a uruchamiając 2FA pewnie generować te hasła “jednorazowe”.

Jak hasła się wpisuje ręcznie to przyzwyczaić, że będzie nowy adres się otwierał z innym układem formularza.

Fakt, odpowiedź z WP na moje pytanie może pasować do każdego rodzaju pytania. To, jak w Kabarecie Dudek w monologu Kobuszewskiego „Książka życzeń”: https://www.youtube.com/watch?v=ZzivIBKepP4

Mam nadzieję, że WP nie wymyśli żadnych rozwiązań typu: albo-albo. Albo się zgadzasz na 1login, albo do widzenia. Póki co, nie mam zamiaru aktywować tego „wynalazku”. Pozdrawiam.

A ja aktywowałem i coś im na serwerze zapchałem, wycofując się.

@Domker Czy to wydobycie algorytmu z 2fa steama nie zmniejsza jego bezpieczeństwa?

Co do tego 2fa od WP to nie polecacie jak widzę.
Mam też pytanie: gdy się loguje na pocztę na o2 to na ich stronie wchodzę na pocztę i wpisuje login i hasło. Po tym otwiera się nowa karta z pocztą, natomiast ta karta na której wpisywalem dane do logowania pozostaje otwarta z zapamiętanym mailem i hasłem. Zapamiętane dane znikają gdy odswiezę lub zamknę kartę. Wszystko jest w porządku?