Έκανα εγγραφή στο bitcoinsgreece.com και πήγα να ενεργοποιήσω το 2 Factor Authentication (2FA) στον λογαριασμό μου αλλά δεν το έκανα, προς το παρόν, για δυο λόγους:
1) όταν ενεργοποιείς την επιλογή 2FA σου παρουσιάζει μόνο το QR για να το σκανάρεις στο Google Authenticator app (GA) χωρίς να σου εμφανίζει το "shared key" έτσι ώστε να μπορέσεις να το κάνεις backup σε ένα άλλο ασφαλές μέρος. Δηλ. εάν κάτι δεν πάει καλά με την GA εφαρμογή ή χάσεις το κινητό σου δεν μπορείς να ξαναπεράσεις τα στοιχεία στο GA.
2) δεν έχει κάποιο δεύτερο στάδιο επαλήθευσης (verification) πριν ενεργοποιηθεί οριστικά το 2FA στον λογαριασμό. Δηλ. δεν ζητάει να εισάγουμε μετά έναν κωδικό από το GA έτσι ώστε η web εφαρμογή σας να εξασφαλίζει ότι όλα έγιναν σωστά από τον τελικό χρήστη πριν ενεργοποιήσει μόνιμα την επιλογή στο λογαριασμό του χρήστη.

Οι δύο παραπάνω παραλήψεις στην web εφαρμογή σας μπορεί να οδηγήσουν στον άμεσο ή μελλοντικό αποκλεισμό του χρήστη από τον λογαριασμό του. Επειδή το 2FA σήμερα είναι ένα απαραίτητο στοιχείο για την ασφάλεια ελπίζω σύντομα να υλοποιήσετε τις δύο παραπάνω υποδείξεις για την καλύτερη προστασία του χρήστη.

Σε όσα site χρησιμοποιούν 2FA προειδοποιούν ότι εάν ο χρήστης για οποιοδήποτε λόγο δεν μπορεί να κάνει login λόγω 2FA σφάλματος, ο λογαριασμός δεν μπορεί να ανακτηθεί από κανέναν ούτε από τον adminstrator του συστήματος. Μερικά site παρέχουν κάποιο bypass code που μπορεί να χρησιμοποιηθεί μόνο μια φορά μαζί με κάποιον άλλο τρόπο ταυτοποίησης (πχ sms code στο κινητό του χρήστη) στη περίπτωση σφάλματος λόγω 2FA.

Σε εσάς τι ισχύει ?