Опасность двухфакторной аутентификации

mrPix

member

Activity: 308

Merit: 29

Quote from: k0er on May 02, 2018, 07:13:58 AM

Quote from: mrPix on May 02, 2018, 05:02:47 AM

Quote from: k0er on May 02, 2018, 04:18:28 AM

Quote from: mrPix on May 01, 2018, 09:09:32 AM

Quote from: kriptoserg on April 29, 2018, 02:33:08 PM

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

Случай: https://xakep.ru/2016/06/13/fake-google-alert/

Это не взлом и не перехват. Обычный фишинг, рассчитанный на совсем уж непонимающих людей, которым бесполезно обьяснять что ни одна официальная служба никогда не станет просить вводить(а уж отсылать тем более!) свой пароль для подтверждения чего либо, где то кроме их собственного официального сайта/приложения.

По-моему фишинг есть самый что ни на есть взлом, только человека, а не машины.

К чему метафоры.. Есть постоянное напоминание пользователям от сайтов/сервисов о необходимости помнить о том ,что администрация(поддержка) ресурса никогда не станет запрашивать пароль ни по почте, ни в смс, ни как либо еще, кроме как при логине на официальном сайте/в приложении. У кого это в мозгу не отпечатывается, тут сложно чем то помочь. Это ведь не программный баг. Так что никакого взлома. "Ключ от квартиры" хозяин отдает сам.

А не смущает, что единственное отличие - это распространенность информации? Кто-то и правила не читает, а кто-то следи за новоиспеченными способами взлома. Так что Ваше отрицание не имеет под собой аргументации.

k0er

legendary

Activity: 1134

Merit: 1068

Quote from: mrPix on May 02, 2018, 05:02:47 AM

Quote from: k0er on May 02, 2018, 04:18:28 AM

Quote from: mrPix on May 01, 2018, 09:09:32 AM

Quote from: kriptoserg on April 29, 2018, 02:33:08 PM

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

Случай: https://xakep.ru/2016/06/13/fake-google-alert/

Это не взлом и не перехват. Обычный фишинг, рассчитанный на совсем уж непонимающих людей, которым бесполезно обьяснять что ни одна официальная служба никогда не станет просить вводить(а уж отсылать тем более!) свой пароль для подтверждения чего либо, где то кроме их собственного официального сайта/приложения.

По-моему фишинг есть самый что ни на есть взлом, только человека, а не машины.

К чему метафоры.. Есть постоянное напоминание пользователям от сайтов/сервисов о необходимости помнить о том ,что администрация(поддержка) ресурса никогда не станет запрашивать пароль ни по почте, ни в смс, ни как либо еще, кроме как при логине на официальном сайте/в приложении. У кого это в мозгу не отпечатывается, тут сложно чем то помочь. Это ведь не программный баг. Так что никакого взлома. "Ключ от квартиры" хозяин отдает сам.

mrPix

member

Activity: 308

Merit: 29

Quote from: k0er on May 02, 2018, 04:18:28 AM

Quote from: mrPix on May 01, 2018, 09:09:32 AM

Quote from: kriptoserg on April 29, 2018, 02:33:08 PM

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

Случай: https://xakep.ru/2016/06/13/fake-google-alert/

Это не взлом и не перехват. Обычный фишинг, рассчитанный на совсем уж непонимающих людей, которым бесполезно обьяснять что ни одна официальная служба никогда не станет просить вводить(а уж отсылать тем более!) свой пароль для подтверждения чего либо, где то кроме их собственного официального сайта/приложения.

По-моему фишинг есть самый что ни на есть взлом, только человека, а не машины.

k0er

legendary

Activity: 1134

Merit: 1068

Quote from: mrPix on May 01, 2018, 09:09:32 AM

Quote from: kriptoserg on April 29, 2018, 02:33:08 PM

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

Случай: https://xakep.ru/2016/06/13/fake-google-alert/

Это не взлом и не перехват. Обычный фишинг, рассчитанный на совсем уж непонимающих людей, которым бесполезно обьяснять что ни одна официальная служба никогда не станет просить вводить(а уж отсылать тем более!) свой пароль для подтверждения чего либо, где то кроме их собственного официального сайта/приложения.

mrPix

member

Activity: 308

Merit: 29

Quote from: kriptoserg on April 29, 2018, 02:33:08 PM

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

Случай: https://xakep.ru/2016/06/13/fake-google-alert/

Juliya_D

sr. member

Activity: 1134

Merit: 314

Quote from: faust666 on April 18, 2018, 08:51:47 AM

как говорится, на любой замок - есть свой ключ, если Вас уже надумали взломать, то никакая защита не поможет.

Золотые слова. Их можно отнести ко всему, что нас окружает. Действительно вы ездите на своей машине со всякими противоугонками, только до того момента, пока она не понравится другому.

dtkt

full member

Activity: 630

Merit: 115

Quote from: alexeyLis on April 29, 2018, 04:55:57 PM

А я думал это я параноик, а здесь вон что ... Все таки я верю в двухфакторную аутентификациею, и её взламать не так то и просто, некоторые меры пред осторожнсти это через чур. Самое главное по меньше трепаться, это вы верно отметили

Не знаю, сколько битков должно быть на счету у клиента, чтобы разрабатывать спецоперацию по изъятию этих самых BTC с помощью создания базовой станции и т.д.
Хотя... После прочтения статьи в памяти всплыли несколько описанных на форуме случаев, когда у людей легко воровали крипту с биржи, защищенной 2FA... И никаких смс при этом не приходило... Может и правда есть такие умельцы Huh

alexeyLis

member

Activity: 415

Merit: 29

А я думал это я параноик, а здесь вон что ... Все таки я верю в двухфакторную аутентификациею, и её взламать не так то и просто, некоторые меры пред осторожнсти это через чур. Самое главное по меньше трепаться, это вы верно отметили

tool_462

hero member

Activity: 924

Merit: 507

Quote from: refaelsh on April 22, 2018, 03:30:35 PM

По вашей версии про взлом базовой станции для начало нужно еще подобрать пароль, что является сложностью, если конечно он у вас не 111, мое мнение, самая главная опасность заключается в том, что вы поставили двухфакторку, но забыли сохранить материалы для его восстановления, а потом потеряли телефон. Тогда ваши деньги попадут к самым страшным злодеям- владельцам бирж и кошельков.

Именно поэтому нуэно бэкап коды записывать на бумажку или на другом устройстве, чтобы такого казуса не произошло

kriptoserg

jr. member

Activity: 210

Merit: 1

Дфухфакторная аутентификация от гугл позволяет обезопасить себя от мошенников. Я пока не слышал случаев перехвата или взлома аутентификатора гугл. СМС аутентификация хоть и имеет риски описанные в статье но тоже очень полезна.

refaelsh

full member

Activity: 308

Merit: 100

По вашей версии про взлом базовой станции для начало нужно еще подобрать пароль, что является сложностью, если конечно он у вас не 111, мое мнение, самая главная опасность заключается в том, что вы поставили двухфакторку, но забыли сохранить материалы для его восстановления, а потом потеряли телефон. Тогда ваши деньги попадут к самым страшным злодеям- владельцам бирж и кошельков.

tolikroomyantcev

newbie

Activity: 70

Merit: 0

да и вообще, купить трубу на чёрном рынке, чтоб нигде не пробивался) запихать его в сейф, сейф на пароль, пароль запечатать в конверт и положить в банковскую ячейку) всё зависит от количества денег у тебя. если у тебя пара тысяч долларов на счету, то врядли дядьки с паяльником станут рисковать. а вот если у тебя 200 или 2 млн... язык в попу и будь серой мышкой для всех) правда тебя выдадут дорогая тачка, новая квартира и мини-яхта на причале в ближнем порту Grin

lego17

full member

Activity: 462

Merit: 117

Quote from: Bitco on April 22, 2018, 09:39:25 AM

Хотелось бы отметить, что 2ФА, это не только СМС. Это гугл аутентификатор его техническими методами не украсть.

Гугл аутентификатор это сейчас пожалуй единственный способ которым можно обезопасить себя от разного вида сломов аккаунтов на биржах и других подобных платформах.

Udrujex

jr. member

Activity: 87

Merit: 4

Quote from: Dr_Nefario on April 18, 2018, 03:04:23 PM

Советы очень полезные. А по поводу 2фа, то я записываю в блокнотик ручкой коды, на случай потери мобильного устройства, уже больше шансов все восстановить.

Идеально купить отдельный телефон и вообще за него никогда ничего никому не говорить.. И туда уже устанавливать все двухфакторки

Enot1971

newbie

Activity: 313

Merit: 0

Распределить средства если их много, на несколько кошельков, и если что отдать один из них с более-менее приемлимой суммой. Мол вот мой кошелек, на нем приличная сумма. И естественно НИКОМУ не говорить о том что ваши средства распределены по разным кошелькам.

CriptoMorph

full member

Activity: 546

Merit: 105

Chromia - Relational Blockchain

Ну да, может скоро и такое повсеместно практиковать начнут. Мошенник не дремлет и повышает квалификацию.
И насчет трепаться - тоже согласен) Cool

Militta

jr. member

Activity: 168

Merit: 1

Соглашусь, что основная беда - это длинный язык и болтовня. Если начал хорошо зарабатывать в крипте - не трепись об этом и не хвастайся. Никакая защита не поможет, если наведаются в гости "доброжелатели" с паяльником.

Bitco

sr. member

Activity: 746

Merit: 253

Хотелось бы отметить, что 2ФА, это не только СМС. Это гугл аутентификатор его техническими методами не украсть.

Xorrer

newbie

Activity: 140

Merit: 0

Сто процентной защиты не существует, поэтому если захотят, то тебя взломают. Но всё же не стоит пренебрегать базовыми методами защиты, которая хоть как-то усложнит взломщикам доступ к вашим данным.

Golstrim

sr. member

Activity: 1456

Merit: 253

Margin Trader

Про последний пункт не понял, как мы будем его держать в недоступном месте и не вставлять в телефон, если при входе в личный кабинет нам необходимо принять смс на этот номер?

babos8383

sr. member

Activity: 728

Merit: 250

“A nexgen decentralized ride hailing ”

Quote from: greatdn on April 22, 2018, 03:42:33 AM

Никакой опасности нет ) Пользование данной программой позволяет кратно сократить возможность взлома. Правда рекомендую пользоваться не гугл аутентификатором, а authy, дабы потом не мучиться при смене телефона...

тоже пользуюсь данной прогой, на другом телефоне установил пинкод ввел и все добавленные двухфакторки восстановились

greatdn

sr. member

Activity: 588

Merit: 250

Никакой опасности нет ) Пользование данной программой позволяет кратно сократить возможность взлома. Правда рекомендую пользоваться не гугл аутентификатором, а authy, дабы потом не мучиться при смене телефона...

Igor_ab

newbie

Activity: 238

Merit: 0

Ну да, слегка параноидально думать что тебя везде и постоянно подслушивают. Но в общих чертах этого не избежать, главное не трепаться что ты вообще с этим связан,либо обсуждать это с доверенным лицом в живом диалоге.
Автору спасибо за инфу!

ingvarfervent

sr. member

Activity: 826

Merit: 302

Ну, если же говорить о паранойи, то сейчас умудряются вшивать вирусняки ещё на производстве телефона\смарта, так-что покупая новый, чистый аппарат вы уже, по сути, отдали свои данные, но не подозреваете о таком... Shocked

Мне, пока, хватает ведроида в режиме палёта и простенькой мобилы исключительно для смсок.

Дабы меня взломать и попасть на биржу необходимо: получить 2фа - раз, получить доступ к почте - два. Зайти на почту с нового устройства = ввести смс, которая должна придти на мобилку.

Шанс такого расклада равен нулю, т.к. знаний и умений не хватит, а у кого хватит, те взламывают ПО банков, а не мелочь, вроде, нас Cheesy

Cactushere

newbie

Activity: 196

Merit: 0

Спасибо за полезную информацию, недавно был топик про KYC , и увидев двухфакторную аутентификацию в том же контексте - удивилась.
Действительно, сейчас не просто себя оградить от ленивых охотников простой и быстрой прибыли, но как и во всем я думаю тут важен момент продолжать читать такие полезные статьи и др.информацию дабы защитить себя)

Noizebtc

full member

Activity: 434

Merit: 100

Двухфакторная авторизация необходима везде, особенно когда работаешь с криптой. Конечно взломать можно все что угодно но здесь уже нужно будет попотеть

Poum

newbie

Activity: 67

Merit: 0

Тема интересная. Но, самой , пожалуй, важное это не заходить на разные сомнительные сайты, дабы не занести вирусы и т.д., и конечно же, не рассказывать никому о том, чем вы занимаетесь

jstorm

member

Activity: 378

Merit: 10

Quote from: mrPix on April 21, 2018, 05:45:20 AM

Quote from: chimk on April 20, 2018, 07:08:52 PM

ёпта а пароль кошелька подобрать совсем не проблема чтоле?

проблема-не проблема, но есть фишинг, вирусы, которые с радостью прочитают твой пароль. Ну а если там все совсем тухло - можно побрутить.

Да уж, в наше время персональные данные и так постоянно перепродаются базами и воруются и без криптопроектов.

revizorro

sr. member

Activity: 722

Merit: 252

CryptoTalk.Org - Get Paid for every Post!

Статья очень полезная особенно для параноиков, некоторые KYC с радостью проходят, а тут как раз и рассказывается чем опасно сливать документы неизвестно кому при том что этот кто то будет знать что вы связаны с миром крипты и будет пытаться это использовать чтобы увести у вас крипту.

kapac

member

Activity: 322

Merit: 11

хорошая статья.
сам считаю, что самый главный враг - это болтовня.
но не только в прямом смысле, но и в переносном. Например, оставить на рабочем компе, открытую ссылку, на ресурсе о крипте или не дай бог кошельке, и при этом отойти, хотя бы на пару минут - может обернутся проблемами.

mrPix

member

Activity: 308

Merit: 29

Quote from: chimk on April 20, 2018, 07:08:52 PM

ёпта а пароль кошелька подобрать совсем не проблема чтоле?

проблема-не проблема, но есть фишинг, вирусы, которые с радостью прочитают твой пароль. Ну а если там все совсем тухло - можно побрутить.

chimk

hero member

Activity: 784

Merit: 814

ёпта а пароль кошелька подобрать совсем не проблема чтоле?

Olympic

member

Activity: 532

Merit: 10

Молчать - конечно это основное. Никто не должен знать о ваших активах. Если в новостях пишут, что на дороге не известные заблокировали машину бизнесмена и о отобрали сумку с 10 миллионами - они действовали по наводке, а не ездили по городу и искали кого бы грабануть.

Udrujes

member

Activity: 224

Merit: 10

A decentralized registry for unique assets

Ну все описываемые способы слишком хакерские, которые требуют ощутимых затрат. Но все равно это самый простой способ значительно усилить защиту. Можно конечно использовать генератор кодов для двухфакторной аутентификации, но и там есть подобные трюки.

nartovs05

newbie

Activity: 168

Merit: 0

Quote from: milename on April 18, 2018, 03:08:15 PM

Однозначно один из самых опасных способов двухфакторной аутентификации это с помощью смсок, так как например в россии при сговоре с сотрудником оператора изи можно сделать дубликат симки и побыстрому взломать все что можно тебе.

Конечно полностью обезопасить свой крипто кошелек наверное нельзя но это не значит что двухфакторная аутентификация плохо.

Mars13

member

Activity: 266

Merit: 12

Игры в шпионов с прослушкой телефонов будут рентабельны для злоумышленника при конкретной наводке и все описанные способы могут быть воплощены в реальность лишь при значительных суммах на счетах. Даже не знаю какая должна быть сумма что бы начать заморачиваться по поводу украденных sms.

NORD YGGDRASIL

member

Activity: 602

Merit: 10

Quote from: Bitico777 on April 20, 2018, 04:54:27 AM

Да уж, спасибо за советы. Страшновато, хотя и суммы не такие большие. Перестал в последнее время говорить всем подряд, что занимаюсь криптой, а раньше любил похвалиться.

Первое правило держать рот на замок. Многие все равно ен в теме, а кто в теме то понимает что здесь крутятся деньги,так что реально лучше об этом молчать и кроме самого себя лучше не кому не знать.

Natali98

member

Activity: 336

Merit: 10

Получается, что 100 процентной гарантии безопасности просто не существует? Компрометация персональных данных всегда вероятна. Надо быть начеку.Но главное, чтобы это не превращалось в паранойю, а то так окончание своих дней можно провести в психбольнице

Bitico777

member

Activity: 280

Merit: 14

The P2P Marketplace For Digital Content

Да уж, спасибо за советы. Страшновато, хотя и суммы не такие большие. Перестал в последнее время говорить всем подряд, что занимаюсь криптой, а раньше любил похвалиться.

OverGluK

newbie

Activity: 210

Merit: 0

Спасибо за информацию автору. Уже рассматривал некоторые дыры в безопасности по 2FA по sms, но тут все разложено по полочкам и с примерами. Теперь буду внимательнее относится к этому вопросу и для двухфакторки с СМСками заведу пару отдельных симок.
По гугловскому 2FA уже разок столкнулся с проблемами когда телефон решил покончить свою электронную жизнь упав на асфальт... Теперь все ключи записываю отдельно Wink

FACE 2 FACE

full member

Activity: 756

Merit: 103

Quote from: a-pavlyc on April 18, 2018, 07:06:44 AM

Паранои много не бывает Grin

Почитал,интересно, мысли совпадают. Симка бугорная давно в работе)))
Хотел бы добавить что как и в любом бизнесе профессионал всегда обставит любителя. И если у кого-то появилась причина взломать или прослушать, то скорее всего он преуспеет.

Я конечно о многом догадывался,но не думал что опасность прям в самом простом может быть)) спасибо за интересный топик,некоторые моменты прям заставили задуматься по поводу безопасности.

AlexandrInt

full member

Activity: 420

Merit: 101

Quote from: alexrums on April 20, 2018, 03:45:40 AM

Достаточно интересная статейка. Однако как было сказано кем-то выше, взломать могут что угодно и когда угодно. Все эти способы защиты просто приятный бонус, для того, чтобы человек мог спать спокойно, надеясь на то, что его не ограбят. На самом же деле, лишиться можно всех средств за одну минуту.

Тоже с интересом почитал статью и посты, очень понравилось, но люди знают о нас столько, насколько мы говорим о себе, так что самая лучшая защита, это ваше молчание по данному поводу, ну а баунтистам, думаю, что действительно беспокоиться не о чем, хотя всякое может быть.

alexrums

sr. member

Activity: 924

Merit: 283

Достаточно интересная статейка. Однако как было сказано кем-то выше, взломать могут что угодно и когда угодно. Все эти способы защиты просто приятный бонус, для того, чтобы человек мог спать спокойно, надеясь на то, что его не ограбят. На самом же деле, лишиться можно всех средств за одну минуту.

juni4000

sr. member

Activity: 555

Merit: 253

Справедливости ради стоит сказать, что уже не осталось операторов перевыпускающих симку только по копии паспорта. Даже по правам менять запретили. Что не отменяет других перечисленных способов компрометации.

mrPix

member

Activity: 308

Merit: 29

Quote from: huanglui on April 18, 2018, 09:13:55 AM

Вопрос к автору топика: если двухфакторная аутентификация стоит не через SMS, а через QR-код, то какие угрозы существуют помимо кражи или потери самого QR-кода? Спасибо.

могут применить старую добрую СИ, пример:

Quote

«(Уведомление от Google™) Недавно мы обнаружили подозрительную попытку входа в ваш аккаунт [email protected] с IP-адреса 136.91.38.203 (Вакавилл, Калифорния). Если вы не пытались авторизоваться из этого места и хотите чтобы работа вашего аккаунта была временно приостановлена, пожалуйста, ответьте на это уведомление шестизначным кодом верификации, который вы получите в ближайшее время. Если попытку авторизации предпринимали вы, просто проигнорируйте данное предупреждение».

есть ещё способы, при желании и в целях себя обезопасить, лучше, конечно, знать о них.

veraro

full member

Activity: 966

Merit: 100

Harmony for One and All

Quote from: Sier86 on April 18, 2018, 08:35:51 AM

спасибо за статью,много полезного и интересного, сам стараюсь везде 2фа подключать,от греха подальше, правда риск потом просрать все тоже остается,если устройство похерится, но на это меньше шансов чем,что у тебя уведут пароли,ключи

Если относится к процессу безответственно то конечно в случае поломки или потри телефона можно потерять все аккаунты, или по крайней мере очень помучится восстанавливая доступ. Достаточно делать скрины QR кодов и сохранять их где нибудь в надежном месте. И не обязательно использовать гугл аутентификатор, есть и другие программы где аккаунты легко восстанавливаются с помощью сохраненных ключей. Authy можно на несколько устройств установить.

Mr_Rich

full member

Activity: 476

Merit: 122

Quote from: MilanaPay on April 18, 2018, 03:06:05 PM

Что может быть опасного в двухфактороной аутентификации? Наоборот она самая безопасная и жалко что ее нет у таких кошельков например как MyEtherWallet. Она бы спасла от фишинга и подобных взломов!

Я вот кстати не понимаю почему MyEtherWallet не может сделать двухфакторку, нет какой то технической возможности? Просто это очень удобно и безопасно

Red Ron

member

Activity: 350

Merit: 17

Quote from: mihacrypto on April 18, 2018, 03:10:52 PM

ну двухфакторку очень тяжело ломануть, практически невозможно, я полностью доверяю этой системе и пользуюсь уже давно

В топике речь идет о двухфакторке через смс. Вот ее как раз при желании специалисту сломать не так трудно. Собственно основные способы автор описал. А вот гугл аунтификатор подобрать действительно сложно, сам везде пользуюсь и не слышал проблем по нему. Главное ключ не забывать сохранять

eiwf32

full member

Activity: 784

Merit: 101

Все перечисленные угрозы - это в случае с 2fa по SMS.
Существуют разные способы 2fa.
Например, google authenticator.
И если сервис позволяет, лучше просто отказаться от 2fa по SMS.

maloy1cs

member

Activity: 644

Merit: 18

EXIP A Decentralized Domain & Top-level domain ser

Криптa любит тишину! Если меньше трепаться о своих доходах и не переходить по всяким ссылкам в письмах на почте, не лазить на непонятных сайтах, тогда всё будет нормально! По большому счёту в случае взлома мы виноваты сами! И не забываем за диверсификацию.

Luckyinvestment

full member

Activity: 266

Merit: 117

А если все же использовать двухфакторную аутентификацию, нужно обязательно сохранять ключ в надежном месте.
Как-то переставил ось на мобиле, не было ключа, пришлось запариться, чтоб восстановить доступ к акку на Битрексе

T.Stuart

hero member

Activity: 644

Merit: 500

One Token to Move Anything Anywhere

У меня забавная ситуация у друга была с двухфакторной аутиентификацией. Его жена на бинанс решила сама поставить двухфакторку (на его логин), в приложении создалось 2 пароля. Она решила - зачем два то, и удалила один. А это оказался правильный... А 16-значный код восстановления не сохранила... Месяц восстанавливали через админов! Grin

mihacrypto

full member

Activity: 574

Merit: 100

ну двухфакторку очень тяжело ломануть, практически невозможно, я полностью доверяю этой системе и пользуюсь уже давно

Grossmeister

full member

Activity: 308

Merit: 100

Да, интересно все это. И я уверен в том, что большинство случаев взлома возникают из-за того, что люди халатно относятся к безопасности в интернете

milename

newbie

Activity: 126

Merit: 0

Однозначно один из самых опасных способов двухфакторной аутентификации это с помощью смсок, так как например в россии при сговоре с сотрудником оператора изи можно сделать дубликат симки и побыстрому взломать все что можно тебе.

MilanaPay

member

Activity: 196

Merit: 10

The Premier Digital Asset Management Ecosystem

Что может быть опасного в двухфактороной аутентификации? Наоборот она самая безопасная и жалко что ее нет у таких кошельков например как MyEtherWallet. Она бы спасла от фишинга и подобных взломов!

Dr_Nefario

member

Activity: 518

Merit: 10

minter.network

Советы очень полезные. А по поводу 2фа, то я записываю в блокнотик ручкой коды, на случай потери мобильного устройства, уже больше шансов все восстановить.

Burovik99

hero member

Activity: 924

Merit: 502

Довольно интересно изложено, хотя все в том или ином виде читал ранее. ТС, спасибо за компиляцию

Хотя, если честно, практически все советы по безопасности, изложенные в статье можно ограничить, можно ограничить фразой из первого абзаца - "Не трепись"

. Потому как слабо я представляю себе организацию например поддельной базовой станции для изъятия биточков у жирненького хомяка Grin

Придут, проведут терморектальный криптоанализ и сам отдаст все подчистую.

cr1ptoman

member

Activity: 210

Merit: 10

Quote from: faust666 on April 18, 2018, 08:51:47 AM

Спасибо за статью, весьма интересная, но как говорится, на любой замок - есть свой ключ, если Вас уже надумали взломать, то никакая защита не поможет.

ну Вы и мастак на пословицы Grin

я тоже одну такую слышал : Вопрос - "Один в поле ни кто? ответ Ни кто " Извините , не смог удержаться Grin

А по статье , я с Вами согласен , статья нужная и интересная спасибо автору. И не наговаривайте на себя, всё Вы нормально расписали. Так же хотел добавить, что если оппонента язык как помело, то никакая безопасность не спасёт. Помните летом был случай в Тайланде : у двух туристов в забрали всю крипту которая у них была. Муж и жена , где-то трепанулись , вечером в номер пришли "" пионеры"" и угрожая жизни одному вытребовали все пароли кошельков. было похищено со слов потерпевших крипты на 50 косарей . Отдохнули блин.

kriptoserg

jr. member

Activity: 210

Merit: 1

Статья интересная и познавательная. Я сам не пользуюсь аутентификацией через СМС. Использую программу гугл аутентификатор. Возможно его тоже как-нибудь научились перехватывать злоумышленники - не знаю, но думаю что это надежней чем СМС. Безопасность конечно нужно соблюдать, хотя бы по минимуму, и такая информация очень полезна.

Barben

sr. member

Activity: 616

Merit: 250

Не думаю, что кто-то будет перехватывать ваши смс, когда есть более доступные методы с 90-х....
Но как выше было сказано главное не болтать), тогда и вероятность что на вас обратят внимание минимальная. Думаю хомякам с баунти можно не переживать.

more^power

full member

Activity: 504

Merit: 100

Да уж.. Я свой аккаунт на гугл активирую через Леджер Нано С, с помощью приложения FIDO U2F - безопасно, стопудово! Плюсом гугл аутентификатор, тоже тема! А СМС это всё шляпа - итак давно понятно уж!

ilnick

newbie

Activity: 322

Merit: 0

Присоединяюсь к благодарностям автору.
Мне конечно нечего пока защищать, но вот подумать о будущем имеет смысл. Об отдельном номере подумываю давно, но всё никак не сделаю этого. Это будет дополнительным толчком.

huanglui

sr. member

Activity: 529

Merit: 250

Вопрос к автору топика: если двухфакторная аутентификация стоит не через SMS, а через QR-код, то какие угрозы существуют помимо кражи или потери самого QR-кода? Спасибо.

filip039

newbie

Activity: 18

Merit: 0

вопрос только времени когда вы допустите ошибку, перейдете на какой то фишинговый сайт к примеру и тд.

faust666

sr. member

Activity: 672

Merit: 252

Спасибо за статью, весьма интересная, но как говорится, на любой замок - есть свой ключ, если Вас уже надумали взломать, то никакая защита не поможет.

somebodyhelpme

newbie

Activity: 124

Merit: 0

Решил свою проблемы симкой другой страны, отдельным смартфоном под 2-fa и чистой системой на виртуалке. Естественно номер, почты нигде больше не светятся.

Очень жаль не везде есть возможность по IP фильтрацию ставить с последующим предупреждением на почту в случае неудачного входа.

Sier86

member

Activity: 154

Merit: 10

X-Block.io

спасибо за статью,много полезного и интересного, сам стараюсь везде 2фа подключать,от греха подальше, правда риск потом просрать все тоже остается,если устройство похерится, но на это меньше шансов чем,что у тебя уведут пароли,ключи

a-pavlyc

hero member

Activity: 728

Merit: 501

Паранои много не бывает Grin

Почитал,интересно, мысли совпадают. Симка бугорная давно в работе)))
Хотел бы добавить что как и в любом бизнесе профессионал всегда обставит любителя. И если у кого-то появилась причина взломать или прослушать, то скорее всего он преуспеет.

mrPix

member

Activity: 308

Merit: 29

Ранее тут я перечислил список ошибок, которые приведут вас к потере кровью и потом заработанной криптовалюты. Однако в комментариях обнаружил, что многие сочли мой лист чересчур параноидальным, и что обычный юзер ни за что не будет блюсти и малую часть. Ну что же, сегодня мы подробнее разберем самый базовый пунктик IRL, аки первая заповедь криптобогача, а именно: НЕ ТРЕПИСЬ

Речь, отнюдь, не пойдет о том, как злые дядьки с радостью проломят арматурой голову хвастуну-блогеру взамен на приватные ключи. И даже не о том, как могут взять в заложники и проводить терморектальный криптоанализ, пока несчастный не рассыпется в подробностях. Оставим это ~~ВРИ~~ СМИ. Сегодня нас ждёт разрушение юношеских упований на ~~химеру~~ всесилие двухфакторной аутентификации по SMS. Я сделал выжимку из материала, подготовленного Никитой Кнышем — White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT (CEO ProtectMaster). А в конце, для особо любознательных, я оставлю ссылки на пару статеек, посвященных устройству сотовой связи, случаев взлома сим-карт и прочих интересных подробностей.
_________________________________________________________________

Here we go!

Основные варианты

Прослушка. Перехват SMS право хранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий. Тут всё ясно, расписывать не будем
Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Дублирование

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.
Допустим, злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница). В принципе, сегодня заказать скан вообще не составляет труда. Также против вас может быть применена банальная СИ. (например, устройство на работу через интернет)
После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи. После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках.

Собсна, осталось звякнуть оператору.

Ложная базовая станция

В интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом, что было продемонстрировано еще в 2013 году.

Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”. Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит как-то так с определенными “модификациями” и, как правило, требует подготовки всей инфраструктуры заранее. Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой.

Взлом персонального кабинета абонента на сайте

Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя.

Есть реальный пример одного сотового оператора Украины, допустившего возможность привязки произвольного номера, или забавная история с российским оператором. Все это иллюстрирует отношение операторов к информационной безопасности. Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.

Подведем итоги.

Защита уровень базовый.
Я уверен, что если вы ещё не успели завладеть мульенами бетховенов, вам хватит левого никому неизвестного номера(ов), на который будет привязано все самое ценное. В принципе, даже если вы успели трепануть, это может помочь.

Защита уровень PRO
А вот, что предлагает Никита: "Нашим клиентам мы запрещаем использовать в качестве номера восстановления доступа к важной информации основной телефон. Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине (чтобы нельзя было найти и связать по IMEI). Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования.

Мы рекомендуем никогда не включать такой номер в стране постоянной дислокации и активировать сервисы, привязанные на этот номер, где-то за рубежом. Это связано с особенностью работы сотовых операторов и проведения прослушки.
Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя."

_______________________________________________________________________________ __________________________________________
Вместо послесловия Wink

1) https://xakep.ru/2017/05/05/ss7-attacks/ - "Как дыры в SS7 используют для обхода 2FA"
2) https://3dnews.ru/923316 - "Взлом сотовых сетей: не просто, а очень просто"
3) https://www.kaspersky.ru/blog/sim-card-history/10189/ - "Как устроены SIM-карты?"
4) https://www.kaspersky.ru/blog/sim-card-history-clone-wars/10529/ - "Как устроены SIM-карты. Часть вторая: атака клонов"
5) https://www.kaspersky.ru/blog/gemalto-sim-hack/7149/ - "Ночной кошмар наяву: 2 миллиарда скомпрометированных SIM-карт"
6) http://telegra.ph/Opasnost-sim-kart-podmena-nomera-i-mini-razoblachenie-08-15 - "Опасность сим карт, подмена номера и мини разоблачение"

Topic: Опасность двухфакторной аутентификации (Read 785 times)