1login od wp - aplikacja do weryfikacji dwuetapowej

@Manaphy Nie zmniejsza, bo to standardowy algorytm TOTP tylko wzbogacony o ciąg literowy, aby kody wyglądały na jednolite w serwisie Steam. Taka można powiedzieć wariacja standardowego TOTP dostępnego publicznie, ale w wykonaniu Steam.
Zwiększa to natomiast wygodę użytkowania jak komuś udało się dokopać do swojego kodu sekretnego, bo można używać sobie z np. KeepassXC i ładnie generuje kody jednorazowe dla Steama.

Jakiś bug, bo poczta powinna ładować się w tym samym oknie.

Co do opcji z CSS keyloggerem to on raczej nie da rady czytać literek, bo WP nie używa atrybutu value dla pół logowania.

https://github.com/maxchehab/CSS-Keylogging#how-it-works (Instagram dalej może mieć podatne logowanie na to jak nie zablokował wstrzykiwania obcego JS/CSS w stronę).

Za każdym razem otwiera mi się w nowym. Inaczej gdy loguje się nie że strony o2 a pocztyo2. Tak czy siak to chyba nic poważnego?

Ok. Może być kwestia ustawień przeglądarki. Ważne, że domena się zgadza.

W sensie no jest to o2 lub pocztą o2 dwie strony jakby ale oba prowadzą do tego samego (jedno to ogólnie portal o2 a drugie to tylko poczta. To zapisywanie hasła do momentu odswiezenia/zamknięcia karty nie powinno być problemem?

Co rozumiesz przez to, że opcja SMS jest podatna na ataki?

Niby ludzie umieją podchodzić pod mieszkania by klonować karty sim.

@krystian3w 0_0 Jak to działa? Czy w takim razie weryfikacją dwuetapowa za pomoca SMS jest bezpieczna? Niektóre strony oferują tylko taka opcję.

Dobra, poczytałem, że sms w teorii to najgorsza opcja 2fa ale wciąż duzi lepsza niż brak 2fa.
Nie wiem jednak co z tym 2fa od wp bo innej opcji weryfikacji dwuetapowej nie ma.

@Manaphy Zgadza się, wymaga więcej zachodu, ale coraz częściej nie stanowi problemu, bo kody mogą być przechwycone nawet z powiadomienia SMS przez pozornie nieszkodliwą aplikację w Twoim smartfonie lub jak w grę wchodzi jakaś sumka pieniędzy to ktoś może wyrobić duplikat na fałszywy dowód, były już takie przypadki.

Innego 2FA na WP nie ma, bo na tym polega “własna piaskownica”. Udostępniają skrzynkę teoretycznie za free, więc wprowadzają sobie, co chcą i jak chcą.
Zawsze można migrować. Darmowych skrzynek na różnych warunkach nie brakuje, przynajmniej SPAMu nie będzie :stuck_out_tongue:

Kody umie generować aplikacja:

Ale jak ktoś nie dba o bezpieczeństwo telefonu to kod może i print screenem bez powiadomień podkradną.

I na screenie chyba mają błąd, bo kody są na “30 sekund” (lag powoduje, że licznik leci z prędkością 1.25 czy nawet 1.5 - co widać… i mamy od 20 do 24 sekund).

@Domker
@Radek68
@krystian3w

Kilka dni temu (już pisałem o tym) wysłałem do WP następującą wiadomość:

Mam od lat adres pocztowy na WP i swoje konto na Dobrych Programach, ale oparte o inny email. Czy, aby korzystać z tych dwóch usług, coś się przymusowo dla zmieni w aspekcie wejścia projektu 1login? Mnie nie zależy, aby wchodzić wszędzie jednym loginem. Na DP mam swój nick, który jest moim loginem i nie ma mowy, aby występował w dyskusjach pod loginem z adresu email .

I teraz otrzymałem odpowiedź:

Uprzejmie informujemy, że po przejściu na 1login od wp, sposób logowania się nie zmieni, wszystkie dane zostaną zachowane, wszystko zostanie tak jak dotychczas.

1login od WP jest funkcjonalnością rozwijającą usługę poczty, która oprócz użytkowników pocztowych daje też innym użytkownikom zwiększenie bezpieczeństwa w Internecie.

1Login od WP jest usługą autoryzującą. Nie wpływa na skrzynki pocztowe, ich zawartość i działanie, a jedynie na bezpieczeństwo logowania do nich. Usługa umożliwi weryfikację historii logowań, oraz udostępni listę urządzenia z których odbywały się logowania.

1Login nie wymaga aplikacji, aplikacja jest opcjonalna, która umożliwia większe zabezpieczenie konta przed jego utratą dzięki dwustopniowej weryfikacji. Tego typu weryfikacja umożliwia zabezpieczenie konta pocztowego/konta 1login w podobny sposób jak zabezpieczone jest logowanie do bankowości internetowej/aplikacji bankowej.

W razie dodatkowych pytań prosimy o odpowiedź zwrotną.

Nie jest to odpowiedź, o jaką mi chodziło. W zasadzie jest niejasna, bo trzeba się nadal domyślać, co znaczy co. Jasne jest tylko, że do poczty będzie 2FA. Czy odpowiedź z WP wyjaśnia kolegom wszystkie wątpliwości? A może ktoś zasugeruje, aby wysłać jakieś pytanie dodatkowe? Nie chce mi się ponownie śledzić posty. Kanał zwrotny do WP teoretycznie jest pozostawiony.

Oczywiście, że nie.
Nie wiem, oni mają jakąś specjalną szkołę pisania (i mówienia) tak, aby napisać dużo, ale nic nie wyjaśnić?

Tak, mam pytania.

  1. Do zalogowania się do poczty WP potrzeby jest login i hasło. Czy to się zmieni?
    Jeśli nie, to po co jest ten “razLogin” (1login), gdy korzysta się niego TYLKO do poczty?
    Jeśli tak, to co będzie potrzebne do zalogowania się do poczty?

  2. Jak będzie przebiegać obsługa poczty poprzez programy pocztowe (np. MS Outlook), poprzez POP3 i IMAP?

  3. Co zrobić z wieloma kontami poczty na WP? Do wszystkich jeden 1login, czy do każdego inny 1login?

@Radek68
Dziękuję za odzew. Ja te Twoje pytania i zapewne jeszcze jakieś swoje, wyślę w ramach kanału via email do WP. A może jeszcze ktoś z kolegów dołączy, więc się chwilę wstrzymam.

A co do Twojego pytania nr 1. Wygląda na to, że potem logowanie będzie odbywać się w trybie 2FA. Ale trzeba się domyślać, że trzecie zdanie z odpowiedzią WP właśnie o tym traktuje.
Co do Twojego drugiego pytania. Mam w rodzinie kogoś, kto do poczty loguje się już nie tylko z loginem+hasło, ale w trybie 2FA, czyli z SMS-em z kodem, jak w banku. I u tej osoby działa to tak, że jeśli loguje się poprzez stronę www, to 2FA jest każdorazowo. Natomiast jeśli poprzez klienta pocztowego, to 2FA jest tylko raz, przy pierwszym logowaniu. Tak to funkcjonuje, jak mnie poinformowano, w poczcie Apple’a (Mail). Ale czy tak samo będzie na WP, to tego nie wiadomo, bo nie mogę znaleźć żadnej ściągi na WP, jak ma przebiegać procedura logowania w różnych wariantach. Chciałbym wierzyć, że te niejasne informacje, które wywołują Twoje pytania, są jedynie skutkiem bylejakości w informowaniu po stronie WP. Ale chyba jesteśmy tu w gronie osób, które doświadczyły niejedno, lub były tego świadkami, stąd wątpliwości i niepewność.
Natomiast w kwestii wielu kont pocztowych na WP, z tej odpowiedzi nic nie wiadomo, ale ja o to nie pytałem.
Również nie znalazłem niczego o terminie wprowadzenia 1Login i co się stanie, jeśli użytkownik poczty na WP przed tym momentem nie zrobi żadnego ruchu. Odetną go na siłę od usług? O to też trzeba chyba zapytać.
Pozdrawiam!

Skoro 1login nie będzie wymagać aplikacji od WP to, czy pozwoli na włączenie 2FA i używanie do generowania kodów jednorazowych (TOTP) aplikacji firm trzecich np. Authy, andOTP, Google Authenticator, KeepassXC itp.

To, czy będzie można korzystać z IMAP/POP … to wiadomo już z opisów pomocy do poczty, bo jest tam wspomniane, że przy włączonym 1login będzie można ustawić osobne hasło dla klienta poczty. (podobnie jak w przypadku Gmail/Outlook)

@Domker
Jeśli nie masz nic przeciw temu, to kwestię poruszoną przez Ciebie w pierwszym akapicie dołączę do pytań moich i kolegi @Radek68 i razem skieruję do WP.

Możesz się dopytać co zrobią z kontami gdzie migracja zwraca błąd:

Ten z popu-pa po zalogowaniu:

Ten ze strony rejestracji 1login.wp.pl:

Bo nie wierze, że samo się “odetka”. Jako podejrzaną przyczynę możesz im podrzucić, że przynajmniej 2 podejścia do stosowania 1login były i oba zakończyły się kasacją 1login i niby teraz zablokowali opcje kolejnych testów.

Owszem, ale mi chodzi o dwie inne sytuacje.

  1. Gdy ktoś korzysta tylko z POP3 (lub IMAP) i nie nigdy nie loguje się poprzez WWW. On nawet tego komunikatu o 1login nie zobaczy.
    A mam parę starszych osób (80+ i 90+), którym kiedyś ustawiłem wszystko w Outlooku czy Thunderbirdzie i oni nawet nie wchodzą na WP, a tym bardziej na pocztę poprzez stronę.
  2. Nie chcemy korzystać z weryfikacji dwuetapowej, 1login traktujemy tylko jako zło konieczne, ale chcemy mieć swoją pocztę w programie pocztowym. Czy coś (i jeśli tak, to co) się zmienia?

Jak nie odpalą 2FA to będą mieć stare hasło, więc trzeba czekać czy konta dostaną:

  • stałego “bana” z brakiem możliwości odzyskania i próby wysłania na nie maila aż będą zwracać “mailer daemon”,
  • zawieszenie z wymogiem ręcznej aktywacji logowania usługą 1login i jaki komunikat będzie wypluwać Outlook/TB.